Security Lab

Как создать систему авторизации для ваших приложений RAG с помощью LangChain, Chroma DB и Cerbos

https://www.cerbos.dev/blog/authorization-for-rag-applications-langchain-chromadb-cerbos

Сканер уязвимостей для образов контейнеров и файловых систем

https://github.com/anchore/grype

Как защитить приложения TypeScript...??

https://dev.to/shafayeat/how-to-secure-typescript-applications-5a27

Создание красивых ключей API

https://docs.agentstation.ai/blog/beautiful-api-keys

Менеджер одноразовых паролей для Laravel

https://laravel-news.com/one-time-password-manager-for-laravel

Как я легко получил доступ к учетным данным
Элитный Google Dorking🥷

https://medium.com/@abhirupkonwar04/how-i-got-access-to-credentials-easily-00ced4ba15bd

Как я нашел 4 IDOR в одной цели

Сегодня я расскажу вам о 4 IDOR, которые я нашел в одной и той же цели, а также расскажу, как я их обнаружил. https://medium.com/@Ahmed0x00/how-i-found-4-idors-in-the-same-target-73db8760a4be

Прокси против обратного прокси

https://blog.bytebytego.com/p/ep137-proxy-vs-reverse-proxy

Обзор способов защиты контейнеров Docker: от простого к сложному

Безопасность Docker — один из главных вопросов, занимающих умы DevOps‑инженеров и аналитиков безопасности. Согласно последним отчетам Snyk и Red Hat более 44% всех контейнеров, которые находятся в коммерческой эксплуатации, содержат уязвимости, даже несмотря на доступность обновления базовых образов. Угроза не ограничивается выявленными недостатками — хакеры беспрерывно ищут новые векторы атак на системы, построенные с использованием Docker и Kubernetes. https://habr.com/ru/companies/selectel/articles/854850/

#вакансия #job #vacancy #remote #parttime #преподаватель #educator #DevSecOps

Компания: OTUS – EdTech платформа.

Вакансия - Преподаватель онлайн-курса «Внедрение и работа в DevSecOps». (Интересные темы по программе курса и нагрузку можно выбирать, материалы к занятиям есть).

Формат: удалённая работа.
Занятость: частичная.

Требуется практический опыт работы по тематике курса. Можно без опыта преподавания. Мы с удовольствием поможем Вам освоить Best Practices преподавания: для этого у нас есть вводный курс по преподаванию и пробные уроки с методистом.

Преподаватель раскрывает тему урока с помощью теории и примеров из практики.

Условия:
✅стандартное занятие длится 1,5 часа с 20:00 до 21:30 по МСК.
✅ уроки проводятся в онлайн формате на Webinar ru.
✅ на занятиях используется презентация с теорией и практические примеры, чтобы раскрыть тему урока.

С нами Вы сможете:
✅ внести свой вклад в развитие IT
✅ структурировать свой опыт и знания.
✅ развивать личный бренд.
✅ прокачать софт-скиллы.
✅ получать от 4000 до 6000 руб. за один вебинар (полтора часа) + отдельно оплачивается проверка ДЗ, разработка/ доработка/ актуализация материалов к занятиям и другие активности.

Бонусы:
✅ наши курсы со скидкой/бесплатно.
✅ воркшопы и конференции для наших преподавателей.

Подробнее в telegram: @ElenaAlias

Как изучить API?
со списком всех важных ресурсов, которые вам когда-либо понадобятся.

https://newsletter.techworld-with-milan.com/p/how-to-learn-api

Как использовать ReactJS для безопасного управления доступом на основе ролей

https://www.cerbos.dev/blog/how-to-use-react-js-for-secure-role-based-access-control

Как на самом деле работает SSH

https://www.youtube.com/watch?v=rlMfRa7vfO8

Охота за (не)аутентифицированным удалённым доступом в роутерах Asus

Почитав в сети подробности о нескольких обнародованных критических CVE, связанных с маршрутизаторами Asus, мы решили проанализировать уязвимую прошивку этих устройств и, быть может, написать подходящий эксплойт «n-day». В итоге в процессе поиска уязвимой части программы и написания эксплойта для получения возможности удалённого выполнения кода мы также обнаружили, что в реальных устройствах приписываемое названным уязвимостям свойство «Unauthenticated Remote» в зависимости от конфигурации устройства может не действовать https://habr.com/ru/companies/ruvds/articles/854576/

Лучшая аутентификация.
Самая полная библиотека аутентификации для TypeScript.

https://www.better-auth.com/

Шифрование для облака: разные подходы

Облачные сервисы по-разному подходят к шифрованию данных на своём хостинге. В некоторых случаях это шифрование не удовлетворяет требованиям безопасности, поэтому приходится брать задачу в свои руки и шифровать файлы самостоятельно. https://habr.com/ru/companies/ruvds/articles/846478/

Slack Watchman — это приложение, которое использует API Slack для поиска потенциально конфиденциальных данных, размещенных в рабочем пространстве Slack, а также для сбора другой полезной информации для красных, синих и фиолетовых команд. https://github.com/PaperMtn/slack-watchman

Инновационные решения в области безопасности: основные выводы из исследований управления паролями (чтение в течение 5 минут)

В этом блоге рассматриваются последние исследования в области безопасности паролей, новые интересные идеи, неожиданные открытия и вопросы для будущего изучения. https://medium.com/@3ubati/innovative-security-solutions-key-insights-from-password-management-research-35d1487fe57d

Kali New Release 2024.3 | Изучите 11 новых инструментов для взлома

https://medium.com/offensive-black-hat-hacking-security/kali-new-release-2024-3-explore-11-new-tools-for-hacking-37e571a6434b

Почему многие не рекомендуют использовать JWT?

https://dev.to/safdarali/why-do-many-people-not-recommend-using-jwt-1ol5

Rabona Tunnel — это быстрый и безопасный способ сделать ваш локальный хост доступным в Интернете. Идеально подходит для разработки, тестирования и обмена!

https://rabonatunnel.com/

Ghostport (репозиторий GitHub)
Ghostport — это инструмент, который вводит в заблуждение сканеры портов, предоставляя им убедительные сигнатуры. https://github.com/vxfemboy/ghostport


Lynis (репозиторий GitHub)
Lynis — это инструмент аудита безопасности для систем на базе UNIX, таких как Linux, macOS, BSD и других. Он выполняет углубленное сканирование безопасности и работает в самой системе. Основная цель — протестировать защиту безопасности и предоставить советы по дальнейшему укреплению системы. https://github.com/CISOfy/lynis

Может ли вредоносное ПО обойти виртуальные машины?

https://www.youtube.com/watch?v=zg0IUhrvkRk

Suricata: Анализ сети с открытым исходным кодом и обнаружение угроз
Suricata — это система обнаружения сетевых вторжений (IDS), система предотвращения вторжений (IPS) и механизм мониторинга сетевой безопасности с открытым исходным кодом. https://www.helpnetsecurity.com/2024/10/02/suricata-open-source-network-analysis-threat-detection/

CUPS: обзор критической уязвимости Linux 9.9 (чтение занимает 3 минуты)
Критическая уязвимость Linux в Common UNIX Printing System (CUPS) позволяет злоумышленникам выполнять команды на целевом компьютере с помощью вредоносных заданий печати. ​​Для эксплуатации уязвимости требуются определенные условия, такие как включение службы cups-browsed и доступ к целевому серверу. Смягчение включает отключение службы cups-browsed и блокировку трафика на порт UDP 631.
https://www.aquasec.com/blog/cups-a-critical-9-9-linux-vulnerability-reviewed

Все приложения Proton Drive теперь имеют открытый исходный код
https://proton.me/blog/drive-open-source

Самый неисправный протокол Интернета

https://www.youtube.com/watch?v=cOE2miIh1_o

Защита вашего приложения Node.js от SQL-инъекций и XSS-атак

https://blog.arcjet.com/protecting-your-node-js-app-from-sql-injection-xss-attacks

Масштабная утечка данных: использование секретов в файлах .env для взлома облачных учетных записей и серьезного ухудшения работы бизнеса

https://infosecwriteups.com/large-scale-data-exfiltration-exploiting-secrets-in-env-files-to-compromise-cloud-accounts-107dce22e601

Схема атаки GitHub Actions (репозиторий GitHub)
Диаграмма атак GitHub Actions предоставляет руководство по выявлению уязвимостей в конвейерах GitHub Actions.

https://github.com/jstawinski/GitHub-Actions-Attack-Diagram

Изучаем Rust ради развлечения и бэкдоров (10 минут чтения)
Rust, современный язык системного программирования, который предлагает производительность C/C++ без их ловушек, становится все популярнее. Этот автор делится своим опытом изучения Rust в 2024 году, подчеркивая обилие доступных учебных ресурсов и свои личные рекомендации. https://security.humanativaspa.it/learning-rust-for-fun-and-backdoo-rs/

Как использовать ИИ для OSINT?

https://www.youtube.com/watch?v=BLtBnZIQaDA

SUASS (репозиторий GitHub)

Репозиторий Secure ur Ass By Learning Cybersecurity — это комплексный ресурс для профессионалов в области кибербезопасности, студентов, новичков и всех, кто интересуется кибербезопасностью. Он содержит широкий спектр учебных материалов по кибербезопасности, которые помогут студентам улучшить свои знания и навыки. https://github.com/GTekSD/SUASS

Анализ безопасности выполнения заданий Azure DevOps (чтение занимает 15 минут)

Azure DevOps — это ключевой инструмент в практиках CI/CD, в частности, его функция Azure Pipelines для автоматизации сборки и тестирования кода. В этой статье рассматриваются серверные процессы при запуске конвейеров, особое внимание уделяется потенциальным рискам безопасности и важности защиты от несанкционированного доступа и утечек данных в современных рабочих процессах разработки. https://www.cyberark.com/resources/threat-research-blog/a-security-analysis-of-azure-devops-job-execution

Обнаружьте скрытые камеры наблюдения с помощью телефона

https://medium.com/@redfanatic7/detect-hidden-surveillance-cameras-with-your-phone-d1dd553ada1a

Как 100% ручной взлом (даже без Kali и Burp) привел к 2 средним уязвимостям на YesWeHack

https://medium.com/@manan_sanghvi/how-100-manual-hacking-without-even-kali-and-burp-led-to-2-medium-vulnerabilities-on-yeswehack-bbda00fcd84e

Uniqkey (выпуск продукта)
Решение Uniqkey для управления паролями и доступом позволяет сотрудникам использовать мобильные приложения для входа в корпоративные системы, сохраняя пароли в зашифрованном виде.
https://www.uniqkey.eu/

Dalec (репозиторий GitHub)
Dalec предоставляет декларативный формат для построения системных пакетов и контейнеров из этих пакетов. Он предназначен для построения контейнеров для Azure и поддерживает Azure Linux 2 и 3 и контейнеры Windows. https://github.com/Azure/dalec


Nettacker (репозиторий GitHub)
Проект OWASP Nettacker был создан для автоматизации сбора информации, сканирования уязвимостей и, в конечном итоге, создания отчета для сетей. Он включает информацию о службах, ошибках, уязвимостях, неправильных конфигурациях и других темах. https://github.com/OWASP/Nettacker