Security Lab

Обзор способов защиты контейнеров Docker: от простого к сложному

Безопасность Docker — один из главных вопросов, занимающих умы DevOps‑инженеров и аналитиков безопасности. Согласно последним отчетам Snyk и Red Hat более 44% всех контейнеров, которые находятся в коммерческой эксплуатации, содержат уязвимости, даже несмотря на доступность обновления базовых образов. Угроза не ограничивается выявленными недостатками — хакеры беспрерывно ищут новые векторы атак на системы, построенные с использованием Docker и Kubernetes. https://habr.com/ru/companies/selectel/articles/854850/

#вакансия #job #vacancy #remote #parttime #преподаватель #educator #DevSecOps

Компания: OTUS – EdTech платформа.

Вакансия - Преподаватель онлайн-курса «Внедрение и работа в DevSecOps». (Интересные темы по программе курса и нагрузку можно выбирать, материалы к занятиям есть).

Формат: удалённая работа.
Занятость: частичная.

Требуется практический опыт работы по тематике курса. Можно без опыта преподавания. Мы с удовольствием поможем Вам освоить Best Practices преподавания: для этого у нас есть вводный курс по преподаванию и пробные уроки с методистом.

Преподаватель раскрывает тему урока с помощью теории и примеров из практики.

Условия:
✅стандартное занятие длится 1,5 часа с 20:00 до 21:30 по МСК.
✅ уроки проводятся в онлайн формате на Webinar ru.
✅ на занятиях используется презентация с теорией и практические примеры, чтобы раскрыть тему урока.

С нами Вы сможете:
✅ внести свой вклад в развитие IT
✅ структурировать свой опыт и знания.
✅ развивать личный бренд.
✅ прокачать софт-скиллы.
✅ получать от 4000 до 6000 руб. за один вебинар (полтора часа) + отдельно оплачивается проверка ДЗ, разработка/ доработка/ актуализация материалов к занятиям и другие активности.

Бонусы:
✅ наши курсы со скидкой/бесплатно.
✅ воркшопы и конференции для наших преподавателей.

Подробнее в telegram: @ElenaAlias

Как изучить API?
со списком всех важных ресурсов, которые вам когда-либо понадобятся.

https://newsletter.techworld-with-milan.com/p/how-to-learn-api

Как использовать ReactJS для безопасного управления доступом на основе ролей

https://www.cerbos.dev/blog/how-to-use-react-js-for-secure-role-based-access-control

Как на самом деле работает SSH

https://www.youtube.com/watch?v=rlMfRa7vfO8

Охота за (не)аутентифицированным удалённым доступом в роутерах Asus

Почитав в сети подробности о нескольких обнародованных критических CVE, связанных с маршрутизаторами Asus, мы решили проанализировать уязвимую прошивку этих устройств и, быть может, написать подходящий эксплойт «n-day». В итоге в процессе поиска уязвимой части программы и написания эксплойта для получения возможности удалённого выполнения кода мы также обнаружили, что в реальных устройствах приписываемое названным уязвимостям свойство «Unauthenticated Remote» в зависимости от конфигурации устройства может не действовать https://habr.com/ru/companies/ruvds/articles/854576/

Лучшая аутентификация.
Самая полная библиотека аутентификации для TypeScript.

https://www.better-auth.com/

Шифрование для облака: разные подходы

Облачные сервисы по-разному подходят к шифрованию данных на своём хостинге. В некоторых случаях это шифрование не удовлетворяет требованиям безопасности, поэтому приходится брать задачу в свои руки и шифровать файлы самостоятельно. https://habr.com/ru/companies/ruvds/articles/846478/

Slack Watchman — это приложение, которое использует API Slack для поиска потенциально конфиденциальных данных, размещенных в рабочем пространстве Slack, а также для сбора другой полезной информации для красных, синих и фиолетовых команд. https://github.com/PaperMtn/slack-watchman

Инновационные решения в области безопасности: основные выводы из исследований управления паролями (чтение в течение 5 минут)

В этом блоге рассматриваются последние исследования в области безопасности паролей, новые интересные идеи, неожиданные открытия и вопросы для будущего изучения. https://medium.com/@3ubati/innovative-security-solutions-key-insights-from-password-management-research-35d1487fe57d

Kali New Release 2024.3 | Изучите 11 новых инструментов для взлома

https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b

Почему многие не рекомендуют использовать JWT?

https://dev.to/safdarali/why-do-many-people-not-recommend-using-jwt-1ol5

Rabona Tunnel — это быстрый и безопасный способ сделать ваш локальный хост доступным в Интернете. Идеально подходит для разработки, тестирования и обмена!

https://rabonatunnel.com/

Ghostport (репозиторий GitHub)
Ghostport — это инструмент, который вводит в заблуждение сканеры портов, предоставляя им убедительные сигнатуры. https://github.com/vxfemboy/ghostport


Lynis (репозиторий GitHub)
Lynis — это инструмент аудита безопасности для систем на базе UNIX, таких как Linux, macOS, BSD и других. Он выполняет углубленное сканирование безопасности и работает в самой системе. Основная цель — протестировать защиту безопасности и предоставить советы по дальнейшему укреплению системы. https://github.com/CISOfy/lynis

Может ли вредоносное ПО обойти виртуальные машины?

https://www.youtube.com/watch?v=zg0IUhrvkRk

Suricata: Анализ сети с открытым исходным кодом и обнаружение угроз
Suricata — это система обнаружения сетевых вторжений (IDS), система предотвращения вторжений (IPS) и механизм мониторинга сетевой безопасности с открытым исходным кодом. https://www.helpnetsecurity.com/2024/10/02/suricata-open-source-network-analysis-threat-detection/

CUPS: обзор критической уязвимости Linux 9.9 (чтение занимает 3 минуты)
Критическая уязвимость Linux в Common UNIX Printing System (CUPS) позволяет злоумышленникам выполнять команды на целевом компьютере с помощью вредоносных заданий печати. ​​Для эксплуатации уязвимости требуются определенные условия, такие как включение службы cups-browsed и доступ к целевому серверу. Смягчение включает отключение службы cups-browsed и блокировку трафика на порт UDP 631.
https://www.aquasec.com/blog/cups-a-critical-9-9-linux-vulnerability-reviewed

Все приложения Proton Drive теперь имеют открытый исходный код
https://proton.me/blog/drive-open-source

Самый неисправный протокол Интернета

https://www.youtube.com/watch?v=cOE2miIh1_o

Защита вашего приложения Node.js от SQL-инъекций и XSS-атак

https://blog.arcjet.com/protecting-your-node-js-app-from-sql-injection-xss-attacks

Масштабная утечка данных: использование секретов в файлах .env для взлома облачных учетных записей и серьезного ухудшения работы бизнеса

https://infosecwriteups.com/large-scale-data-exfiltration-exploiting-secrets-in-env-files-to-compromise-cloud-accounts-107dce22e601