1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Еще бы расшифровать аббревиатуру )
Читать полностью…
Ну в моем случае актуально, поэтому и решил поинтересоваться, интересно. Сам других не знаю, вроде что-то было у /channel/dataleak, но особо информации нет
Читать полностью…
Ну это смотря, в какой момент ведь проверять. Да, не по хранимым в базе. В момент задания, например.
Читать полностью…
у тебя пароль в целом не должен нигде светиться - он попал в базу в виде хэша с солью. Как ты будешь проверять его?
Читать полностью…
у тебя хэши сложные?
Читать полностью…
а требований по комплексити уже стало недостаточно?
Читать полностью…
body-size или че то такое
Читать полностью…
Там же и написано: WAF - митигация на время устранения. Т.е. это относительно быстрая подстраховка пока фикса не будет. А не попытка отказа от фикса как такового в пользу костылей на WAF. Фикс появится - и правило на WAF отменят
Читать полностью…
А почему это должен решать waf, а не обрабатываться на уровне BE? Выглядит странно, что надо извернуться на уровне ИБ, что бы закрыть дыру в бизнес логике
Читать полностью…
Biba: user has been CAS banned
Читать полностью…
Если вы давно не виделись с командой РАД КОП и хотели бы пообщаться с нами лично, то этот пост для вас 🕵♂️
Встречаемся на конференции АБИСС!
8 октября наша команда будет участвовать в ежегодной конференции ассоциации АБИСС.
Эксперты Александр Осипов и Владимир Алферов выступят в роли спикера и модератора на двух сессиях.
⚪ Сессия 5: «Информационная безопасность финансовых организаций»
Спикер: Александр Осипов, руководитель направления комплаенса и методологии, ведущий эксперт ПК «РАД КОП»
Тема: «Системный подход и трансформация ИБ из статьи расходов в фактор ценности»
Александр расскажет, как выстроить ИБ-функцию, которая не тратит ресурсы компании впустую и не создает убытки, а реально увеличивает ценность бизнеса, обеспечивая устойчивость и доверие.
⚪ Сессия 6: «Разработка безопасного ПО»
Модератор: Владимир Алферов, руководитель направления безопасности приложений ПК «РАД КОП».
Эта сессия обещает быть насыщенной, вместе с экспертами обсудим:
🔗 Требования приказа ФСТЭК № 117 — практические шаги внедрения процессов РБПО
Башарина Екатерина, руководитель группы аудита и стратегии, Swordfish Security
🔗 Практико-ориентированный подход в обучении специалистов безопасной разработки
Насонов Виталий, начальник отдела безопасной разработки, ООО «СИГМА»
🔗 Возможен ли Sec между Dev и Ops?
Васин Александр, начальник управления комплексной защиты информации, ПАО «МКБ»
🔗 Бизнес-прозрачность безопасности приложений через метрики и автоматизацию
Султанов Денис, руководитель направления безопасности приложений, Компания БКС
да. были времена =)
отправил пяток тыщь запросов и положил сразу два-три прова в цвепочки, зато понятно через кого сайт обслуживается
а потом делай чё хочш, хоть до провода дойди и стань челом посерёдке
вот да. тупейшая совершенно ситуация. но я пошерстил серва выше и там оказался алгоритм, который шел по адресам с днс таблицы и искал дырки, а по известным протоколам брутил проходки.
потом я выяснил, что хостеры тех серваков подконтрольные америконской оборонки
тухловато. мне по несколько десятков тысяч запросов падало. а где-то месяцев 6-8 назад под лям... в конце-концов коммутаторы прова полегли на паре уровнях.
Читать полностью…
только вчера лям запросов заслали, до 850 в секунду
Читать полностью…
Всем привет. Подскажите пожалуйста , кто работал с такой SIEM как - HELK. Насколько эффективна? Как себя показала? Насколько просто интегрируеться с другими сервисами?
Читать полностью…
ну это не для всех, только если у тебя все веб страницы с вводом пароля инструментированы твоим же жабаскриптом
Читать полностью…
в частности, это забавно - как на АД это натягиваться будет или условный киклоак
Читать полностью…
Какие хэши? Мы про что говорим?
Я подразумеваю credential stuffing
Ну это же дополняющие вещи
Если пароль утек, как комплексити одна поможет
Привет.
Подскажите, что используете у себя для проверки пользовательских паролей в базах утечек, кроме того же haveibeenpwned?
Как понимаю, авторы не то чтобы особо анализируют утечки по рунету. Может быть, есть положительный/отрицательный опыт с чем еще?
Из требований: интересуют именно обновления базы хэшей для проверки на своей стороне, не через API.
так это можно и на reverse proxy сделать
Читать полностью…
Не силён в этой аббревиатуре. Что это?
Читать полностью…
Коллеги, подскажите: в каком WAF и каким правилом можно решить задачку, описанную тут?
Читать полностью…
Наконец-то ИБ обсуждают не как “статью расходов”, а как реальный фактор ценности для бизнеса. хватит ли смелости признать, что без нормальной разработки и внедрения RBPO всё это превращается в красивые презентации без результата?
Читать полностью…
‼️ Официальное объявление ниже, в приложении. Если кратко - приходите, потусим и позагружаемся мудротой на профильной конференции по ИБ от АБИСС. Наш кооператив растет и слава богу "шапочку единственного фронтмена" можно снимать - у нас пока не "Ласковый май" с пятью составами музыкантов, но уже уверенная "рок-н-ролл банда". Конкретном мы будем говорить про трансформацию ИБ в нечто явно ценное для организаций + про безопасную разработку и её последние тренды.
P.S. Участие для заказчиков и клиентов - бесплатное, насколько я понимаю с обедом и фуршетом по принципу "все включено" 🕵♂️
Мой первый ДДоС примерно в 2007м году довел до того, что аплинки Голден-Телекома в Европе резали destination ip, ибо это тормозило международку с РФ... я молчу про наш бедный гигабит до стоек )))
Читать полностью…
таки я про шо... не понятно откуда и главное зачем лезет
Читать полностью…
Тогда какой то не очень умный ддос, типичный ботнет
Читать полностью…
Такое и лет 5 назад работая на аутсорсе видел на вафе. Просто кто то сканером каким то проходится. Несуществующий путь и версия протокола. Чисто проверяют отклик веб сервера
Читать полностью…