Белый хакер
Один из ведущих каналов по информационной безопасности. Связаться с админом - @school_network_feedback Реклама - @bashmak_media Мы на бирже: https://telega.in/c/bezopasno_soft
Ko'proq ko'rsatish20 560
Obunachilar
-624 soatlar
-217 kunlar
+96130 kunlar
- Kanalning o'sishi
- Post qamrovi
- ER - jalb qilish nisbati
Ma'lumot yuklanmoqda...
Obunachilar o'sish tezligi
Ma'lumot yuklanmoqda...
Photo unavailableShow in Telegram
🧑💻 Результаты аудита безопасности библиотек Boost
Привет, друзья! Недавно я наткнулся на интересные результаты аудита безопасности библиотек Boost, проведенного фондом OSTIF (Open Source Technology Improvement Fund). Если вы, как и я, активно используете Boost в своих проектах на C++, эта информация вам точно пригодится.
🔔 OSTIF, при поддержке Amazon Web Services, заказал аудит безопасности библиотек Boost у итальянской компании Shielder. Результаты оказались весьма поучительными: было выявлено 7 проблем, из которых одна получила средний уровень опасности, четыре – низкий, и две были опубликованы как информационные замечания.
⏺ Средняя уязвимость:
• Boost.Beast: Уязвимость допускает подстановку символов возврата каретки и перевода строки (CRLF) в HTTP-заголовки, что может привести к расщеплению заголовков. Уровень опасности – средний.
⏺ Низкие уязвимости:
• Boost.Regex: Переполнение стека при рекурсивном выполнении операций с несколькими элементами end_line.
• Boost.Regex: Переполнение стека при рекурсивном выполнении операций с несколькими группами захвата и объединения.
• Boost.Regex: Переполнение стека при рекурсивном выполнении операций с несколькими открытыми круглыми скобками в строке форматирования.
• Boost.Graph: Переполнение стека при рекурсивном выполнении операций с несколькими вложенными графами.
⏺ На основе полученной информации команда разработчиков Boost уже устранила 4 проблемы и внесла 15 улучшений для расширения охвата кода и функций при проведении fuzzing-тестирования. Однако проблема с расщеплением заголовков в Boost.Beast и информационные рекомендации пока остаются неучтенными.
P. S Если вы используете библиотеки Boost в своих проектах, обязательно следите за обновлениями и устанавливайте исправления.
#Boost #Уязвимости
Белый хакер
👍 6
00:04
Video unavailableShow in Telegram
Как стать Пентестером (Белым Хакером) за 4 месяца? 🧙♀️ Об этом расскажут аж на 3-х бесплатных уроках от Merion Academy!
Забирай целый набор из бесплатных полезностей:
📍3 бесплатных урока, где вы узнаете, кто такой пентестер и чем он занимается, развернете собственную виртуальную лабораторию пентестера, где вместе с ментором разберете на практике пентест.
📍 В дополнение бесплатный интенсив по развитию карьеры, где HR-эксперты расскажут лайфхаки, как создавать сильные резюме и проходить собеседования, так, чтобы вас взяли на работу.
📍Курс по английскому для IT в подарок.
👉 Регистрируйтесь по ссылке чтобы забирать бесплатные уроки, интенсив по карьере и гайд.
Что еще важно знать:
1. У ребят одна из самых доступных цен, которая в 4-5 раз ниже, чем в других известных школах, но качество обучения на том же уровне. Это достигается за счет того, что в Мерионе не тратят миллионы на продвижение, а рекламируются только на собственных ресурсах и в тематических телеграм-каналах. Кроме этого у них также отсутствуют расходы на младших менторов, которые в большинстве онлайн-платформах представляются вам как "персональный ментор-преподаватель", но на самом деле являются просто бывшими студентами этих же курсов.
2. Есть возможность опции оплаты через сервис "Яндекс-Долями", т.е. учиться сразу, но платить по чуть-чуть.
Merion Academy – это экосистема доступного образования, которая включает в себя:
Youtube-канал, где простыми словами говорят о сложных вещах.
IT-академию, где обучат востребованным направлениям по самым доступным ценам.
IT-базу знаний с полезными статьями
Этичный хакинг.mp44.00 KB
🤮 7👍 2🤣 1👨💻 1
Photo unavailableShow in Telegram
🔔 Уязвимость в Fluent Bit
Эй, друзья! Если вы плотно сидите на работе с логами и метриками, то новости про уязвимость в Fluent Bit вам точно пригодятся. Итак, давайте разберем, что к чему.
🧑💻 В проекте Fluent Bit обнаружена серьезная уязвимость (CVE-2024-4323), получившая кодовое имя «Linguistic Lumberjack». Она позволяет удаленно повредить память сервера, что может привести к отказу в обслуживании, утечке данных и даже выполнению произвольного кода. Критичность уязвимости оценивается на уровне 9.8 из 10. Проблемы вы можете встретить с версии 2.0.7, была устранена в обновлениях 2.2.3 и 3.0.4. Кто под ударом? ⚙️ Fluent Bit используется для обработки и сбора логов и метрик в куче компаний и облачных платформ. Среди пользователей: Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В марте было загружено 13 млн Docker-образов с Fluent Bit. Уязвимость обнаружила компания Tenable, и выяснилось, что многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime. Для обработки этих запросов используется Fluent Bit. 🔔 Уязвимость вызвана багом во встроенном HTTP-сервере, проявляющимся при обработке внешних запросов через API-вызовы /api/v1/traces и /api/v1/trace. Проблема в неверной интерпретации типов некоторых входных полей, передаваемых через JSON. Если указать в массиве нестроковые значения (например, целые числа), то это приводит к повреждению памяти из-за того, что функция flb_sds_create_len() обрабатывает переданное значение как строку. Пример запроса Вот пример запроса, который может вызвать аварийное завершение:P. S Ребята, не забывайте следить за обновлениями своих инструментов и проверять настройки безопасности. Уязвимости могут сильно ударить по вашим системам, если их вовремя не закрыть. #FluentBit #DevOps Белый хакерpython3 -c 'print("{\"output\":\"stdout\", \"params\": {\"format\": \"json\"},\"inputs\":[\"" + "A"*8 + "\"," + str(0xffffffff) + ", \"" + "B"*500 + "\"]}")' > test curl -v http://<your_server>:2020/api/v1/traces/ -H "Content-Type: application/json" -H "Expect: " --data "@test"
👍 4
Как называется набор однотипных данных, имеющий общее для всех своих элементов имя?Anonymous voting
- Множество
- Массив
- Запись
👍 13
Photo unavailableShow in Telegram
🛡 Новый виток развития OpenGL и Vulkan
Привет всем! Сегодня расскажу про свежий релиз Mesa 24.1.0, который открывает новые горизонты для графических API OpenGL и Vulkan. Если вы, как и я, любите возиться с графикой и железом, то вам это точно пригодится.
❕ Начнем с того, что Mesa 24.1.0 пока имеет статус экспериментальной версии. Это значит, что разработчики активно стабилизируют код, и скоро нас ждет стабильный релиз 24.1.1. Но даже сейчас есть на что взглянуть.
⏺ Поддержка Vulkan
В Mesa 24.0 уже была поддержка Vulkan 1.3 для ряда драйверов:
• anv для GPU Intel
• radv для GPU AMD
• NVK для GPU NVIDIA
• tu для GPU Qualcomm
• lavapipe (lvp) — программный растеризатор
• vn — режим эмулятора
Кроме того, поддержка Vulkan 1.0 реализована для:
• v3dv (Broadcom VideoCore VI на Raspberry Pi 4)
• dzn (Vulkan поверх Direct3D 12)
⏺ Поддержка OpenGL
Теперь поговорим про OpenGL. Mesa 24.1 предлагает полную поддержку OpenGL 4.6 для:
• iris (Intel Gen 8+)
• radeonsi (AMD)
• Crocus (старые Intel Gen4-Gen7)
• zink
• llvmpipe
• virgl (виртуальный GPU Virgil3D для QEMU/KVM)
• freedreno (Qualcomm Adreno)
• d3d12 (прослойка для OpenGL поверх DirectX 12)
• asahi (AGX GPU на чипах Apple M1 и M2)
Поддержка OpenGL 4.5 доступна для:
• GPU AMD (r600)
• NVIDIA (nvc0)
А OpenGL 3.3 можно найти в драйверах:
• softpipe (программный растеризатор)
• nv50 (NVIDIA NV50)
P. S Mesa 24.1 открывает широкие возможности для работы с графикой на разных устройствах и платформах. Я думаю, вам это пригодится, особенно если вы разрабатываете приложения с использованием OpenGL и Vulkan.
#Mesa #OpenGL
Белый хакер
👍 3🔥 2
Photo unavailableShow in Telegram
📱 Qualcomm подружит Linux и Snapdragon X Elite
Привет, друзья! В этом посте расскажу о свежих новостях от Qualcomm, которые наверняка порадуют всех любителей Linux. Компания активно работает над интеграцией поддержки ARM SoC Snapdragon X Elite в ядро Linux. Если коротко, то Qualcomm делает огромные шаги для того, чтобы мы могли наслаждаться Linux на новых чипах с собственным 12-ядерным CPU Qualcomm Oryon и GPU Qualcomm Adreno.
Новые возможности и производительность
❔ Snapdragon X Elite — это не просто очередной чип. Он показывает впечатляющие результаты, опережая в производительности чипы Apple M3 и Intel Core Ultra 155H. Первые устройства на базе этого чипа ожидаются уже в середине года, и будут они, конечно, под управлением Windows. Вам не нужно расстраивается — Qualcomm уже опубликовала изменения, которые позволят использовать Linux на этих девайсах.
🧑💻 Qualcomm не одна работает над этим проектом. Вместе с Lenovo, Arm и Linaro они развивают драйвер DtbLoader для UEFI-прошивок на основе TianoCore EDK2, загрузчик на базе Grub и скрипты для создания сборок Debian для устройств на базе SoC Snapdragon X Elite и уже выпускающихся SoC. Например, такие ноутбуки как Lenovo Yoga C630 (Snapdragon 850), Lenovo Flex 5G (Snapdragon 8cx Gen 1) и Lenovo ThinkPad X13s (Snapdragon 8cx Gen 3) уже могут загружать Linux. В загрузчике также реализована поддержка двойной загрузки Windows и Linux.P. S Я думаю, эти улучшения и новые возможности пригодятся многим разработчикам и пользователям. Следим за новостями и готовимся к тестированию новых фич! #Qualcomm #Linux Белый хакер
👍 10🔥 4
Photo unavailableShow in Telegram
👨💻Готовы стать джедаем визуализации событий безопасности? 9 июля в 20:00 мск открывается дверь в мир виртуозных дашбордов и отчётов в SIEM!
✔️Что ждет вас на открытом уроке:
- разработка интуитивно понятных дашбордов и отчётов в области информационной безопасности с использованием Python, JavaScript и ресурсов SIEM;
- погружение в мир визуализации данных в SIEM: отчёты, графики, аналитика;
- применение знаний на практике.
🚩Кому будет полезен вебинар:- специалистам по информационной безопасности, желающим выйти на новый уровень экспертизы;- действующим аналитикам и администраторам SIEM, стремящимся улучшить качество своей работы.
Встречаемся в преддверии старта курса «Специалист по внедрению SIEM». Все участники вебинара получат специальную цену на обучение и несколько открытых уроков курса. Регистрируйтесь тут: https://clck.ru/3BVLbT
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
👍 1
Photo unavailableShow in Telegram
Пока не подводило 🫡
P. S Вот и наша любимая суббота, как будете отдыхать?
Белый хакер
🔥 23😁 6🙊 5
Photo unavailableShow in Telegram
📺 Шестой эпизод реалити «PT NGFW за стеклом»
|4 июля в 14:00|
Продолжаем развенчивать мифы вокруг IPS. Сегодня затронем тему экспертизы — той, о которой говорят все, но никто не знает, что скрывается за этим словом.
Алексей Леднев, руководитель отдела обнаружения атак PT ESC:
📍 Расскажет о нашем подходе к созданию сигнатур IPS
📍 Научит, как проверять качество выявления сетевых атак
📍 И ответит, так ли важно количество сигнатур, которыми хвастаются производители NGFW
Не переставайте задавать вопросы и пытаться загнать нас в тупик — это помогает нам создавать классный продукт.
👉 Зарегистрироваться
👍 2
00:10
Video unavailableShow in Telegram
А кто то понимает? 🤣
P. S Хилимся живем, ребята! Еще немного и свобода!
Белый хакер
3.mp41.24 MB
❤🔥 12🎃 3👍 2❤ 1
Boshqa reja tanlang
Joriy rejangiz faqat 5 ta kanal uchun analitika imkoniyatini beradi. Ko'proq olish uchun, iltimos, boshqa reja tanlang.