1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Да, в настройках репы remote пайп укажи и все
Читать полностью…
Вебхук глянь, там в настройках гитлаб проекта, может чё придумаешь
Читать полностью…
Мосска Фонсека № N
/channel/linkmeup_podcast/9585
Наверно, самая весёлая история последних дней с отличным уровнем драммы. Если никто не придумал лишнего, то расклад такой.Читать полностью…
- Внутри правительства США используется ещё более безопасный форк мессенджера для параноиков Signal, известный под названием TM Signal
- Разрабатывается он в Израиле конторой Smarsh (уже чувствуется Феликс Эдмундович, да?)
- Этот Smarsh, по городским легендам, коммерческий кусок Управления военной разведки Израиля. Но всё строго по слухам и никто ни в чём не сознается
- TM SGNL является куском более крупного продукта, именуемого TeleMessage. Ну потому что у нас тут сириус бизнес и надо продавать сразу экосистему, а не просто жалкую чатилку
- TM SGNL невозможно просто взять и скачать. Бинари дают только уважаемым людям и любимым клиентам
- 3 мая всем известный специалист по кибербезу по имени Анонимус, прислал журналисту Micah Flee сообщение примерно следующего вида: "Мужик, смотри прикол- можно скачать исходники TM SGNL прямо с их сайта, потому что там не патченный вордпрес и кривые права на директории"
- Товарищ Micah удивлённо икнул и оказалось что не врут. /wp-content/uploads/2024/12/ и забирай всё что там лежит
- А дальше по накатанной. Сорцы публикуются на гитхабе, в них находят хардкоженные креды и ну вот так вот. Сесурити, все дела...
ось Ubuntu 24.04.2 LTS . В целом не вижу причин, почему ему не работать
Читать полностью…
И поддерживается ли вообще
Читать полностью…
apparmor + bpf record, в дескрайбе spod вижу
Error: failed to get container spec opts: failed to generate apparmor spec opts: apparmor is not supported
шалом, православные. По security-profiles-operator тут можно вопрошать?
Читать полностью…
Презентации рисуют для руководства со встреч с бизнесом, правда не понимая что они там сами написали))
Читать полностью…
есть можешь в личку зайти
Читать полностью…
в Jobs чате (ты там есть) были запросы на Business Partner от ВБшечки .
Читать полностью…
Лентяи не смотрят профиль
Читать полностью…
а в профиле написано что 60 евро)
Читать полностью…
Всем привет , кто может в войс помочь с тестовым заданием
Читать полностью…
@Controllersthrush: user has been CAS banned
Читать полностью…
если кратко: миссконфига раскрывающая информацию злоумышленнику
Читать полностью…
Так вынеси гитлаб сиай файлы из реп во внешнее и на уровне настроек закрепи это - что в проекте нет файла и точка
Читать полностью…
Всем бобра!
Коллеги, подскажите, как можно централизованно настроить уведомление в Telegram (или на email) о том, что в каком-либо проекте GitLab был изменён файл .gitlab-ci.yml?
Важно, чтобы не приходилось добавлять отдельную job в каждый пайплайн вручную.
и при запуске spod в логе /var/log/kern.log вижу
2025-04-30T18:08:33.469146+00:00 k8s-control-plane-jeozkm kernel: eth0: renamed from tmp963f5Читать полностью…
2025-04-30T18:08:34.428059+00:00 k8s-control-plane-jeozkm kernel: kauditd_printk_skb: 110 callbacks suppressed
2025-04-30T18:08:34.428082+00:00 k8s-control-plane-jeozkm kernel: audit: type=1400 audit(1746036514.426:407): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="spo-apparmor" pid=26370 comm="security-profil"
2025-04-30T18:08:34.460057+00:00 k8s-control-plane-jeozkm kernel: audit: type=1400 audit(1746036514.458:408): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="bpfrecorder-apparmor" pid=26370 comm="security-profil"
apparmor_status говорит, что даже какие то профили загружены, так что вестимо работает
Читать полностью…
А на ноде все включено?
Читать полностью…
Привет 🤝 какие вопросы ?)
Читать полностью…
@kk0kk9: user has been CAS banned
Читать полностью…
Райф оффзон 2023 рассказывал
Читать полностью…
Да я знаю. Я даже там собесился и концепцию их знаю. Хотелось бы еще народ поспрашивать. Может у кого-то свое видение есть. У остальных пока чаще по описанию вижу людей оркестров.
Но и так же понимаю, что у всех разные бизнес модели и соотвественно роли тоже разные и надо исходить из своих болезней и пробелов, которые хотелось бы закрыть.
Чатик приветствую. А у кого то из присутствующих есть такие роли как Product Security\Business Partner?
Можете кейсами поделиться, чем они у вас занимаюся и что закрывают? Знаю, что у кого-то это люди оркестры, но такая концепция мне не нравится.
Для лентяев повышающий коэффициент
Читать полностью…
А ты точно студент ?
Читать полностью…
@Franky_T: @w0rka3m @mitrukov_jr @dvyakimov @SurmatMG @ViktorBobylkov @aleksey0xffd @gecube
Читать полностью…
А еще, стоит следить за параметризацией таких запросов, если она в них присутствует
Читать полностью…
Вообще все от кейса зависит
Если это админка и только при входе в админку доступен ресурс по которому возвращается *.js с внутренними ресурсами - жить с этим в целом можно. (админку лучше не экспоузить в публику, чисто для примера привел)
Идея в том, что если ресурс по которому возвращается *.js с внутренним IP возвращается авторизованным доверенным пользователям - жить с этим можно
По сути это потенциальный lateral movement в случае нахождения SSRF. Но даже и это не значит, что на этом ресурсе можно будет что-то найти. Поэтому "бить разработчиков по рукам" достаточно категоричная мера как по-мне)
По-хорошему, обращения ко внутренним ресурсам должны быть скрыты за бэком. Пусть сделают отдельный эндпоинт /get/x по которому возвращают контент
Просто если подумать... То вроде бы нет смысла отдавать такой *js, пользователю, который не имеет доступа ко внутреннему ресурсу, иначе разработчики не предоставляют гарантию доступности ресурсов 🙂 Поэтому я бы скорее сказал, что это потенциальная бага бизнес логики