Информационная безопасность *

Многие компании выбирающие для себя средства хранения кода и «комбайны» организации процессов CI/CD останавливают свой выбор на Gitlab. С точки зрения небольших и больших организаций, функционала Gitlab вполне хватает, чтоб решать повседневные задачи разработки. Продукт хорошо документирован, имеет платные подписки с расширением функционала (множество доменов для аутентификации, полнотекстный поиск, системные хуки и прочее).

Как показала практика использования продукта, основные проблемы начинаются при попытке кастомизировать или расширить внутренний функционал системы. В нашем случае в качестве расширения функционала рассматривается улучшение уровня аудита по работе с репозиториями в части соответствия требованиям ЦБ и ГОСТ Р 56 939–2016.

Обязательный инструмент для всех багхантеров!

Nuclei - это современный, мощный и гибкий инструмент для сканирования веб-приложений и поиска уязвимостей в них. Его простой и понятный синтаксис позволяет создавать свои собственные шаблоны для сканирования тех уязвимостей, которые вас интересуют. В данной статье мы погрузимся в мир nuclei, изучим его возможности и рассмотрим, как создавать кастомные шаблоны для эффективного тестирования безопасности веб-приложений. Не упустите возможность изучить один из самых перспективных инструментов в области информационной безопасности!

Так что не стоит откладывать эту выполнимую задачу на потом - начинайте изучение nuclei прямо сейчас!

В рамках текущей статьи будет рассказано о способах инструментации байт-кода java или другим языком, внесения изменений в компилированный файлы java .class. Здесь будут приведены примеры работы с фреймворками Javaassist и ASM и базовое описание байт-кода.

Три года назад, весной 2020, пандемия COVID-19 только начиналась и все переходили в режим самоизоляции. Мы в один миг оказались в ситуации, когда у нас имеется огромное количество данных, доступ к которым можно получить лишь из офиса, в который, разумеется, невозможно попасть. Работать без доступа к документам не реально, нам критически необходимо продолжать размечать данные, а значит нужно разработать подход, при котором можно это делать удалённо. Именно тогда мы в очередной раз подняли тему, которая и так периодически возникала в наших обсуждениях: а так ли нам нужны настоящие данные? Ответ очевидный: нет, если мы сохраняем их вид (ФИО меняем на ФИО, адрес на адрес и т.д.). Этот процесс называется обезличиванием.

Кулхацкеры всех стран — соединяйтесь!

Если у вас паранойя, это не значит, что за вами не следят.

В этой статье я расскажу как сделать так, чтобы ваша линуксовая машинка выглядела невинной игрушкой, но при вводе нескольких команд превращалась в настоящую боевую единицу. Конечно, у вас могут найти на диске сектора с необычно высокой энтропией, несколько подозрительных системных настроек, но никаких явных зашифрованных разделов, файлов, или сторонних шифровалок. Конечно, вас могут спросить - "а для чего тебе cryptsetup, сынок?", на что вы ответите - "это же Linux Mint, это всё искаропки!" Хуже, если бы вас спросили: зачем ты используешь LUKS, или, что ещё хуже, зачем ты поставил VeraCrypt или Shufflecake.

В любом случае как отмазываться - не тема этой статьи. В комментариях расскажут всё, и даже гораздо больше. Я лишь описываю способ со всеми его достоинствами и недостатками, а уж анализ рисков - на ваше усмотрение.

Главное в системе с двойным дном - это, конечно же, секретные зашифрованные разделы, которые нигде не отсвечивают. Мой способ - это...

Доброго дня коллеги. Сегодня я хотел бы поделиться своим опытом взлома современных сайтов в финансовом секторе, созданных современными разработчиками в реалиях 2023 года, того стека что используется и актуальных технологий. Пишу данную статью после захвата 2 корпоративных сайтов написанных на современных фреймворках, в которых удалось провести инъекции типа Command and Code Injection

Видео на тему как провести атаку LFI или RFI в PHP или как просто найти секреты открыв исходный код страницы или поглядев robots.txt к сожалению не работают. Не работают и топорные методы просто натравить общеизвестные сканеры типа Acunetix или Burp Scanner и ждать пока мы что‑то насобираем в таком ключе.

Я бы хотел подсветить именно те методы которые нам в этом помогут:

Тот самый первый баг, он же и самый известный.

Здравствуйте, дорогие хабровчане. Хочу поделиться с вами маленьким кейсом по программе bug bounty Яндекса. Как это обычно бывает, нашёл уязвимость в сервисах компании, написал письмо, дождался ответа, в котором мне сказали спасибо и заявили, что этот баг вовсе и не баг.

Раз такое дело, решил поделиться с читателями. Под катом опишу суть уязвимости и как я к ней пришёл, а также небольшой опрос в конце, призванный ответить на вопрос заголовка: является это багом или нет.

Важное примечание: я спросил разрешения у службы информационной безопасности Яндекса на описание этой потенциальной уязвимости, текст письма размещён в конце статьи.

Согласно данным исследовательского центра Positive Research, результативность кибератак осталась на уровне 2021 года: количество атак возросло, но, к сожалению, увеличилось и число успешных взломов. Причин этому несколько: рост числа уязвимостей и их неустранение, нехватка кадров более чем у 90% компаний.

В связи с этим спрос на специалистов по информационной безопасности из года в год растет. По данным сайта hh.ru, количество вакансий по данной специальности – более 3000. Для сравнения, в апреле 2022 года – ~2400 вакансий.

Сотрудник Центра информационных технологий Татарстана рассказывает, как "вкатился" в ИТ, нужно ли высшее образование, и в чем особенности рынка ИБ.

Информационная служба Хабра побывала на мероприятии «Форум будущих технологий». Форум проходил с 9 июля по 14 июля 2023 года в Москве. Как и с KuberConf 2023', я попал в последний вагон уходящего поезда. Форум представляет собой научно‑практические мероприятия в сфере квантовых технологий. Он собирает учёных, экспертов и представителей бизнеса из университетов, исследовательских центров РФ и некоторых других стран, работающих над созданием и внедрением решений на основе квантовых технологий. Форум проводится в рамках мероприятий Десятилетия науки и технологий в России, объявленного с 2022 года указом Президента РФ.

Повышение киберграмотности пользователей, кибергигиена, основы безопасного поведения в Сети, повышение осведомлённости сотрудников… и куча других названий, под которыми скрывается боль сотрудников отдела информационной безопасности. Внезапно оказывается, что регламенты и должностные инструкции – это хорошо, но недостаточно. И надо бы как-то ещё научить сотрудников делать хорошо и не делать плохо. Увы серебряной пули здесь нет. Под катом хочу поделиться советами на основе собственного опыта о том, как сеять умное-доброе-вечное.

Cтатья будет полезна разработчикам и инженерам по ИБ, желающим повысить уровень безопасности приложений за счет внедрения проверок, запрещающих вносить секреты в открытом виде в исходный код.

В случае утечки исходного кода либо ознакомления с ним неуполномоченными лицами компания понесет ущерб.

В статье рассмотрим внедрение Gitleaks применительно к Azure DevOps Server в процесс анализа запросов на вытягивание (pull requests) при слиянии ветвей. Система управления исходным кодом Azure Repos является частью Azure DevOps Server.

Только за первое полугодие 2022 года в России утекло 187 миллионов записей персональных данных. Во всем мире каждый год их утекает до 15 миллиардов. Но даже если утечки случились не у вас, компания все равно может быть под угрозой. 

В статье расскажем, как данные из утечек могут помочь злоумышленникам в целевых атаках на вашу компанию, и что можно с этим сделать.

Python, Java, C++, Delphi, PHP — именно эти разные языки программирования использовались в этот раз для создания виртуальной машины криптомата-банкомата, которую должны были испытать на прочность участники в рамках конкурса $NATCH, проходившего на Positive Hack Days 12, чтобы победить. Весь код от начала и до конца был написан с помощью ChatGPT и показал себя исключительно хорошо. Мы пересмотрели концепцию конкурса и использовали систему репортов. Помимо стандартных задач (обхода киоска, повышения привилегий и обхода AppLocker), в этом году участников ждали новые нестандартные задания, о которых читайте в этой статье.

Эксперты Лаборатории цифровой криминалистики из FACCT сообщают о росте активности новых программ-вымогателей семейства Loki Locker. Больше половины жертв этих шифровальщиков находятся в России и близлежащих странах. Злоумышленники требуют выкуп за расшифровку пользовательских файлов в размере от нескольких долларов до сотен тысяч. 

Из нашей статьи вы узнаете, как распознать этот вирус и что делать, если вы все-таки стали его жертвой.

К классическому комбо «фишинг + программа для получения удаленного доступа» злоумышленники решили добавить изюминку: они стали внедрять легитимное отечественное ПО. Атаку с использованием такого метода, направленную на гостиничный бизнес, отследил и отразил сервис BI.ZONE CESP. Рассказываем, как это было и почему пользователи не могли обнаружить инцидент сами.