Кибер ПТУ | Кибербезопасность

Настало время уязвимостей Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс). Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть. Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены. Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку. Ну а вот и эти платформы-агрегаторы 👇 📂 CVE Crowd – один из самых популярных сервисов 📂 CVE Shield – один из самых старых агрегаторов 📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни 📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки 📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете. #BaseSecurity #AppSec #DevSecOps #Pentest 🧠 Твой Пакет Знаний | 🛍 Другие каналы

Заходят как-то в бар AntiDDoS, Anti-Bot, WAF и NGFW Сразу предупреждаю – пост будет хоть и коротким, но душноватым, поэтому вдыхаем. Когда-то давно на одном собеседовании мне задали архитектурный вопрос к которому я абсолютно не было готов. После десятка вопросов по безопасности кода, настройке мониторинга и защите различных ОС, мне под самый конец интервью задают всего один и очень простой вопрос: "Расположи в правильном порядке WAF, AntiDDoS, FW и балансировщик". Казалось бы, вопрос максимально простой, вывести ответ на который не так уж и сложно, но видимо тогда в моей голове уже образовался абсолютный вакуум. И да. на вопрос я ответил, но какой ценой... Так вот, я тут наткнулся на статейку, где простым и понятным языком наконец-то разобрали базовую базу того, что происходит на периметре безопасности (и чуть дальше) с внешним трафиком, и как вообще его фильтровать – ссылка Думаю, что даже смогу пристроить эту статейку к себе в менторсткую программу, чтобы на мои грабли никто больше не наступал. Ну всё-всё, выдыхаем. #Полезное ⚡ Пакет Безопасности | 💬 Чат 🛍 Другие каналы

Харденинг Есть такая область безопасности и ДевОпса под названием харденинг. Если коротко, то с помощью этого подхода можно обеспечить дополнительную безопасность чего-угодно (сервера, сети, БД, ОС) за счет уменьшения поверхности атаки = заколачивания окон досками. Делается это обычно при помощи достаточно сурового затягивания болтов через конфигурации, отключения избыточных функций и доступов. Вещь в работе и на собесах нужная, так что забираем. ⚙ Целый сборник харденинг-годноты – раз и два ⚙ Чеклисты по харденингу всего и вся – ссылка #BaseSecurity #DevSecOps #Network 🧠 Твой Пакет Знаний | 🛍 Другие каналы

Для тех, у кого туговато идёт чтение литературы на иностранных языках – ловите нейросеть, которая умеет переводить целые книги – ссылка Она частично бесплатная – до 20 000 слов, но платный тариф стоит всего $10/месяц. В нейронке зашито очень много языков и форматов (в том числе .doc, .docx, .xls, .xlsx, .pdf), которые она воспринимает. Зарубежных книг, исследований и аналитических материалов очень много, так что точно пригодится. 🧠 Твой Пакет Знаний | 🛍 Другие каналы

Ну а теперь плавно переходим практической безопасности в мире криптовалют web3 и блокчейнов. Да, такие тоже есть и их достаточно.

Тренажеры по web3 - CryptoZombies – [ссылка](https://cryptozombies.io/) - The Cryptopals Crypto Challenges - [ссылка](https://cryptopals.com/) - LearnWeb3 – [ссылка](https://www.learnweb3.io/) - Smart Contract Engineer – [ссылка](https://www.smartcontract.engineer/) - Solidity by Example – [ссылка](https://solidity-by-example.org/) - Web3 University – [ссылка](https://www.web3.university/) - useWeb3 – [ссылка](https://www.useweb3.xyz/)

CTF по web3 - Capture the Ether – [ссылка](https://capturetheether.com/) - Security Innovation Blockchain CTF – [ссылка](https://blockchain-ctf.securityinnovation.com/#/) - Damn Vulnerable DeFi – [ссылка](https://www.damnvulnerabledefi.xyz/) - The Ethernaut – [ссылка](https://ethernaut.openzeppelin.com/) - ONLYPWNER - EVM CTF Platform – [ссылка](https://onlypwner.xyz) - GOAT Casino – [ссылка](https://github.com/nccgroup/GOATCasino) - ciphershastra CTF – [ссылка](https://ciphershastra.com/) - Paradigm CTF – [ссылка](https://github.com/paradigm-operations/paradigm-ctf-2021) - Blocksec CTFs – [ссылка](https://github.com/blockthreat/blocksec-ctfs) - DeFiVulnLabs – [ссылка](https://github.com/SunWeb3Sec/DeFiVulnLabs) - Vulnmachines (Blockchain hacking) – [ссылка](https://www.vulnmachines.com/) - QuillCTF – [ссылка](https://quillctf.super.site/)

#web3 #Practice 🧠 Твой Пакет Знаний | 🛍 Другие каналы

Продолжаем тренироваться, а это значит, что настало время самых популярных тренажёров и сервисов для Красной команды 🤬

Тренажеры и CTF для Red Team - Две суперзвезды на арене практического тестирования на проникновение – [Hack The Box](https://app.hackthebox.com/machines) и [TryHackMe](https://tryhackme.com/) - Красивый тренажер для эксплуатации всего самого популярного, включая рейтинги OWASP – [Kontra](https://application.security/free/owasp-top-10) - Лабы от PortSwigger – [ссылка](https://portswigger.net/web-security/all-labs) - Для любителей Линукс-дистрибутивов – [OverTheWire Bandit](https://overthewire.org/wargames/bandit/) и [Linux Journey](https://linuxjourney.com/) - Для любителей реверс-инжиниринга – [Crackmes one](https://crackmes.one/) и [pwnable tw](https://pwnable.tw/) - Standoff365 - [ссылка](https://range.standoff365.com/) - Attack-Defense - [ссылка](https://attackdefense.com/) - Alert to win - [ссылка](https://alf.nu/alert1) - CryptoHack - [ссылка](https://cryptohack.org/) - CMD Challenge - [ссылка](https://cmdchallenge.com/) - Defend The Web - [ссылка](https://defendtheweb.net/) - Exploitation Education - [ссылка](https://exploit.education/) - Hacker101 - [ссылка](https://ctf.hacker101.com/) - Hacking-Lab - [ссылка](https://hacking-lab.com/) - ImmersiveLabs - [ссылка](https://immersivelabs.com/) - Infinity Learning CWL - [ссылка](https://cyberwarfare.live/infinity-learning/) - NewbieContest - [ссылка](https://www.newbiecontest.org/) - OverTheWire - [ссылка](http://overthewire.org/) - Pentesterlab - [ссылка](https://pentesterlab.com/) - PentestIT LAB - [ссылка](https://lab.pentestit.ru/) - PWNABLE - [ссылка](https://pwnable.kr/play.php) - Root-Me - [ссылка](https://www.root-me.org/) - SANS Holiday hack - [ссылка](https://www.sans.org/mlp/holiday-hack-challenge-2024) - SmashTheStack - [ссылка](https://www.smashthestack.org/main.html) - Vulnhub - [ссылка](https://www.vulnhub.com/) - Vulnmachine - [ссылка](https://www.vulnmachines.com/) - Websploit - [ссылка](https://websploit.org/) - Zenk-Security - [ссылка](https://www.zenk-security.com/)

CTF - Сборник различных CTF-ов в одном месте – [CTFtime](https://ctftime.org/) + отечественный аналог – [Codeby.games](https://codeby.games/) - Google CTF - [ссылка](https://capturetheflag.withgoogle.com/) - PicoCTF - [ссылка](https://picoctf.com/)

#Pentest #Practice 🧠 Твой Пакет Знаний | 🛍 Другие каналы

Астрологи объявили неделю практики Теория, это конечно хорошо, но все мы знаем, что если знания вовремя не подкрепить практикой, то они быстро выветрятся. Однажды я уже выложил в этом канале вопросы с собеседований, которые я долго копил и собирал в архивах, ну а теперь заметил, что у меня в материалах с менторства накопилось уже достаточное количество площадок-тренажеров для оттачивания навыков. Ну а это значит, что пора заопенсорсить и эту годноту. Их там правда очень много, поэтому будем делать это партиями. начнём с синей команды.

Тренажеры для Blue Team - Cybersecurity Blue Team Labs & Training – [ссылка](https://cyberdefenders.org/blue-team-labs/) - Blue Team Labs – [ссылка](https://blueteamlabs.online/) - Security Blue Team – [ссылка](https://www.securityblue.team/) - Blue Team Cybersecurity Lab – [ссылка](https://blueteamcybersecuritylabs.com/) - LetsDefend- [ссылка](https://letsdefend.io/) - Defbox - [ссылка](https://defbox.io/) - Attack-Defense - [ссылка](https://attackdefense.com/)

#SOC #Practice 🧠 Твой Пакет Знаний | 🛍 Другие каналы

Ну что, готовы к крутой лекции по безопасности k8s от отца контейнеров @aleksey0xffd? OWASP k8s TOP 10, RBAC, security context для pod и контейнеров в нем, аутентификация и авторизация, безопасная конфигурация workloads, секреты, сегментация сети внутри кубера и многое другое. В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб. #BaseSecurity #DevSecOps 🧠 Твой Пакет Знаний

А что у вас всплывает в голове, когда речь заходит о безопасности API, а возможности загуглить или запромтить нет? А должно вот это 👇

1. Authentication - Use Strong Passwords/Tokens (e.g., OAuth 2.0, JWT). - Multi-Factor Authentication (MFA)

2. Authorization - Role-Based Access Control (RBAC) - Attribute-Based Access Control (ABAC)

3. Rate Limiting - Limit the number of requests per user/IP address to protect against DDoS attacks. - Tiered Access

4. Input Validation & Data Sanitization - Validate All Input - Parameterize Queries

5. Encryption - Use HTTPS - Encrypt Sensitive Data at Rest

6. Error Handling - Avoid revealing sensitive information in error responses. - Log Errors Securely

7. Logging & Monitoring - Real-Time Monitoring - Aggregate and analyze logs for threat detection.

8. Security Headers - Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, etc. - Ensure headers align with current security best practices.

9. Token Expiry - Short-Lived Tokens: Minimize the window of opportunity for attackers. - Refresh Tokens (if needed): Balance security with user experience.

10. IP Whitelisting - Allow API calls only from trusted IP addresses. Caution: Not ideal for dynamic IP environments or large user bases.

11. Web Application Firewall (WAF) - Detect and block common web attacks at the application layer. - Keep up with the latest threats.

12. API Versioning - Allow older clients to continue using previous versions while introducing new features. - Clearly communicate end-of-life for older versions.

13. Secure Dependencies - Patch vulnerabilities promptly. - Identify and address security risks in third-party components.

14. Intrusion Detection Systems (IDS) - Monitor network traffic for suspicious patterns. - Analyze logs and system events on individual servers.

15. Use of Security Standards & Frameworks - Follow industry-recognized guidelines. - Consider NIST Cybersecurity Framework, ISO 27001.

16. Data Redaction - Mask Sensitive Data

#API #BaseSecurity 🧠 Твой Пакет Знаний

Пару лет назад у меня на собеседовании спросили "А что происходит после того, как ты вводишь в браузер адрес сайта и нажимаешь Enter?". Мне этот вопрос тогда показался лёгким, поэтому я быстро на пальцах раскидал за 2 минуты, как мы стучимся в DNS, как у нас устанавливается HTTPS-соединение, как запрос улетает с фронта на бэкенд и т.д. Но сразу же после этого меня попросили рассказать поподробнее про каждый этап и в какой-то момент я начал тонуть. По итогу этот вопрос вылился в получасовое расследование того, где там какие пакеты, при чем тут кэш, как мы связываемся с деревом DOM и прочие сложные штуки, о которых я раньше даже не задумывался. И да, оффер я тогда свой упустил, но сколько же опыта и знаний загрузилось в мою голову за эти 30 минут. Так к чему же вся эта история? А к тому, что я наткнулся на гифку, на которой всё это не только описано, но и нарисовано. Советую посмотреть, осознать и сохранить – может пригодиться. UPD: Телеграм по-классике решил съесть у гифки всё качество, поэтому заменил на картинку. #BaseSecurity #Network 🧠 Твой Пакет Знаний

UPD: в комментариях есть гифка в нормальном качестве На собеседованиях часто заходит речь о сетевых протоколах и иногда интервьюер может попросить вас углубиться в тот или иной. Да, модель OSI и TCP/IP – база, но нюанс в том, что сетевых протоколов сотни. Собственно, ловите 12 самых популярных сетевых протоколов с небольшой группировкой по применимости. И да, этот вопрос касается как безопасников, так и ДевОпсов, так и разработчиков, так и тестировщиков.

𝐖𝐞𝐛 𝐂𝐨𝐦𝐦𝐮𝐧𝐢𝐜𝐚𝐭𝐢𝐨𝐧 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬 ➥ 𝐇𝐓𝐓𝐏 & 𝐇𝐓𝐓𝐏𝐒 ➸ 𝐇𝐓𝐓𝐏: Core protocol for web data transfer ➸ 𝐇𝐓𝐓𝐏𝐒: Encrypted version for secure communication ➸ Foundation of modern web interactions ➥ 𝐅𝐢𝐥𝐞 𝐓𝐫𝐚𝐧𝐬𝐟𝐞𝐫 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬 ➸ 𝐅𝐓𝐏: Standard file transfer between client/server ➸ 𝐒𝐒𝐇: Secure channel for remote operations ➸ 𝐒𝐒𝐋/𝐓𝐋𝐒: Security layer for network communications

𝐂𝐨𝐫𝐞 𝐈𝐧𝐭𝐞𝐫𝐧𝐞𝐭 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬 ➥ 𝐓𝐫𝐚𝐧𝐬𝐩𝐨𝐫𝐭 𝐋𝐚𝐲𝐞𝐫 ➸ 𝐓𝐂𝐏: Reliable, ordered data delivery ➸ 𝐔𝐃𝐏: Fast, connectionless communication ➸ Essential for internet functionality ➥ 𝐍𝐞𝐭𝐰𝐨𝐫𝐤 𝐋𝐚𝐲𝐞𝐫 ➸ 𝐈𝐏: Handles packet routing across networks ➸ 𝐃𝐇𝐂𝐏: Manages automatic IP addressing

𝐒𝐩𝐞𝐜𝐢𝐚𝐥𝐢𝐳𝐞𝐝 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥𝐬 ➥ 𝐄𝐦𝐚𝐢𝐥 𝐂𝐨𝐦𝐦𝐮𝐧𝐢𝐜𝐚𝐭𝐢𝐨𝐧 ➸ 𝐒𝐌𝐓𝐏: Handles email sending ➸ 𝐏𝐎𝐏3: Manages email retrieval ➥ 𝐍𝐞𝐭𝐰𝐨𝐫𝐤 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬 ➸ 𝐍𝐓𝐏: Network time synchronization ➸ Critical for system coordination

#BaseSecurity #Network 🧠 Твой Пакет Знаний

Нас тут уже почти 1 000 человек, друзья, на часах 27 декабря, а это значит, что настало время подвести скромные итоги 2024 года. Всех с наступающим ☺️ 🧠 Твой Пакет Знаний