О безопасности Kubernetes. Часть 2. Ищем уязвимости и защищаемся

В предыдущей статье мы рассмотрели архитектуру Kubernetes, и обсудили те виды уязвимостей, которые можно встретить в его программных компонентах и их настройках. Теперь перейдем к практическим аспектам защиты и поговорим о том, как обнаружить уязвимости и как грамотно от них защититься. Читать далее...

Все блоги / Про интернет

Особенности тактик вымогателя AvosLocker

AvosLocker — относительно новый вымогатель. Его операторы приняли на вооружение все «передовые» методы, которые уже отработаны коллегами по цеху. Это и многоуровневое вымогательство, и модель «вымогатель как услуга». AvosLocker стал одним из нескольких семейств, стремящихся перехватить инициативу...

Все блоги / Про интернет

Без патча и протокола: какие уязвимости чаще всего встречаются в корпоративной инфраструктуре

Последнее время ни дня не проходит без новостей о новых найденных уязвимостях в том или ином ПО. И если раньше с момента их публикации до эксплуатации проходило 1,5 – 2 года, сегодня – уже пара часов. Мы регулярно проводим сканирование инфраструктуры для разных компаний, и не понаслышке знаем,...

Все блоги / Про интернет

СheckKarlMarx: утилита для поиска уязвимостей в продовых сборках

Всем привет! Меня зовут Дмитрий Терёшин, в СберМаркете я занимаюсь Application Security — безопасностью веб- и мобильных приложений. Во время аудитов мобильных приложений я часто натыкался на плавающие уязвимости: они появляются только в конечной сборке, которая отправляется в стор. Я разработал...

Все блоги / Про интернет

Лучшая защита – нападение: как моделирование действий злоумышленника помогает укрепить инфраструктуру

Иногда бывает полезно взглянуть на ситуацию под другим углом. Для информационной безопасности это правило работает так: надо посмотреть на свою инфраструктуру с точки зрения потенциального злоумышленника. Как тебя будут ломать? И что будет, когда сломают? Такой подход к оценке уровня защищенности...

Все блоги / Про интернет

[Перевод] Что такое Re-entrancy attack?

Говорят, что процедура является re-entrant, если ее выполнение может быть прервано в середине, инициировано заново, и оба запуска могут завершиться без каких-либо ошибок при выполнении. В контексте смарт-контрактов Ethereum повторный вход может привести к серьезным уязвимостям. Самым известным...

Все блоги / Про интернет

Карты, фаззинг, OSM: ищем поверхность атаки для сложного приложения

Фаззинг - это такое тестирование, в котором не надо придумывать тесткейсы, потому что умная машина (или настойчивый алгоритм перебора) делает это за вас. Но с фаззингом есть одна неприятность - непонятно, как тестировать любую достаточно сложную систему. Мы бы хотели генерировать много тестов и...

Все блоги / Про интернет

Как я Хабр взломал

Всегда хотел взломать Хабр. Мечта такая, но как-то руки не доходили. И вот, вдохновившись статьей о праведной борьбе с Безумным Максом, я, как и автор поста, решил исследовать функционал Хабра на предмет уязвимостей. Читать далее...

Все блоги / Про интернет

Почему моё приложение при открытии SVG-файла отправляет сетевые запросы?

Вы решили сделать приложение, работающее с SVG. Набрали библиотек, запаслись энтузиазмом, и в итоге всё удалось. Но вот незадача! Внезапно вы обнаруживаете, что приложение отправляет странные сетевые запросы. Кроме того, с хост-машины утекают данные. Как же так? Читать дальше →...

Все блоги / Про интернет

Сканирование на уязвимости: обзор продуктов, которые есть на рынке

Aloha всем хабравчанам! Я Влад, системный администратор Cloud4Y. В этой статье расскажу, как мы выбирали продукт сканирования на уязвимости, почему важно контролировать, какие сервисы доступны извне и зачем необходимо проводить постоянный аудит состояния сети. Чай, кофе, па-а-а-аехали! Читать далее...

Все блоги / Про интернет

[Перевод] Топ-10 методов веб-взлома 2021 года по версии PortSwigger

Добро пожаловать в топ-10 новых методов веб-взлома 2021 года. Это заключительный этап ежегодной работы нашего сообщества. Цель работы — выявить самые значимые в области веб-безопасности, опубликованные в 2021 году. PortSwigger — разработчик инструментов для этичного хакинга, работа с которыми —...

Все блоги / Про интернет

[Перевод] Как я хакнул все районные школы, чтобы показать рикролл, и что из этого вышло

30 апреля 2021 года автор проделал рикролл по своему школьному округу. Это не только моя школа, но и весь школьный городской округ 214 (далее — D214), один из крупнейших школьных округов в Иллинойсе, состоящий из 6 школ, в которых учатся более 11 000 человек. Подробности рассказываем в этом...

Все блоги / Про интернет

ОБЗОР УЯЗВИМОСТЕЙ CVE ПО POSTGRESQL 11,12,13,14 ВЕРСИЯМ ЗА 2021

Внимание! Статья имеет ознакомительный характер и предназначена для специалистов по обеспечению информационной безопасности. Автор не несёт ответственности за любой вред, причиненный с применением изложенной информации. Помните, распространение вредоносных программ, нарушение работы систем и тайны...

Все блоги / Про интернет

Захватываем сеть через сервер централизованного управления и защищаемся от таких атак

Привет, меня зовут Дмитрий, в команде Бастион я отвечаю за этап внутреннего тестирования на проникновение. Сегодня на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу...

Все блоги / Про интернет

Как я technicalseo.expert проходил (уровень 2)

Продолжение исследования головоломки technicalseo.expert которая будет сломана самым нетривиальным образом. Предыдущий уровень и чуть подробнее о самой головоломке в первом посте: ссылка technicalseo.expert - это головоломка для SEO, хотя я сел не имея никакого бэкграунда в SEO, а сейчас работаю...

Все блоги / Про интернет

2021 год: новый рекорд по количеству уязвимостей

Привет, Хабр! Сегодня мы хотим поделиться интересной статистикой о количестве уязвимостей, которые были обнаружены в самом различном ПО на протяжении 2021 года. И хотя он еще не закончился, мы уверенно приближаемся к новому рекорду. Показатели уже выше, чем в прошлом, позапрошлом и других годах....

Все блоги / Про интернет

[Перевод] Вычитываем прошивку STM32

Почти в каждом микроконтроллере с интегрированной флэш памятью есть защита от вычитывания прошивки. Это делается чтобы защитить интеллектуальную собственность, криптографические ключи и алгоритмы от злоумышленников. Микроконтроллеры серии STM32, получившие широкое распространение в последнее время,...

Все блоги / Про интернет

Безопасная разработка: какую часть Sec занимает в DevSecOps

Всем привет! Меня зовут Тимур Гильмуллин, я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры занимаются автоматизацией различных процессов и помогают программистам и тестировщикам. В числе прочего...

Все блоги / Про интернет