|
|
rss_habr
Обзор OWASP ZAP. Сканер для поиска уязвимостей в веб-приложенияхВторник, 10 Января 2023 г. 11:12 (ссылка)
Сегодня почти у каждой организации есть собственный веб-сайт. Вместе с ростом интернета возрастают и атаки на веб-сайты, становясь все более серьезнее и масштабнее. Однако существует обширный список инструментов, которые могут производить сканирование и находить уязвимости в веб-приложениях. Одним из таких инструментов является сканер уязвимостей под названием OWASP ZAP. OWASP ZAP — сканер веб-приложений, основанный на методике DAST (Dynamic Application Security Testing). В русском варианте этот метод принято называть методом тестирования «черного ящика». Методика позволяет обнаруживать проблемы безопасности в работающем приложении или веб-сайте при помощи их сканирования на известные уязвимости. Читать далееhttps://habr.com/ru/post/709586/?utm_source=habrahabr&utm_medium=rss&utm_campaign=709586
rss_habr
Создаем кибер-разведку в компании на основе OSINTЧетверг, 22 Декабря 2022 г. 11:13 (ссылка)
Привет ХАБР. Тема, которой посвящена эта статья с одной стороны важна, ведь в кибер-пространстве «неспокойно». Каждый день приходят новости, что ту или иную компанию взломали хакеры, получили дампы или зашифровали данные. Защищаться от кибер-угроз, выстраивая целую инфраструктуру из всевозможных средств защиты хорошо и нужно, но никогда не стоит забывать о разведке. В кибер-пространстве как в армии. Хорошо, когда на границах вырыты окопы, дежурит артиллерия и ПВО, но без разведки не понятно куда и чем противник будет атаковать. В цифровом мире базовая военная стратегия в целом не отличается. Разведка важна и нужна, чтобы быть готовыми и собирать данные, которые собирают злоумышленники о вас и вашей инфраструктуре. В этой статье разберем вопрос о том как создавалось направление кибер-разведки(OSINT open-source intelligence ) в компании. С чего зародилась идея создания направления OSINT? В наше время стал мейнстримом тренд на защиту персональных данных и всякой конфиденциалки в компании. Запрос на поиск источников утечек и их закрытия очевиден. Самое сложное расставить приоритеты или ответить на вопрос: "Что будем собственно искать?" Если открыть внутренние документы любой компании, то сведений, составляющих какую-либо из тайн (персональные, конфиденциальные, коммерческие) большое количество. Важно выбрать те, которые являются самыми важными для контроля и утечки которых реально можем находить и устранять. Путем расстановки приоритетов и реальных возможностей мы выделили основные направления для OSINT: Читать далееhttps://habr.com/ru/post/706656/?utm_source=habrahabr&utm_medium=rss&utm_campaign=706656
rss_habr
Как заработать на Bug BountyВторник, 13 Декабря 2022 г. 16:37 (ссылка)
Меня зовут Алексей Гришин, я руководитель направления Bug Bounty VK. За 9 лет участия в программе по поиску уязвимостей на различных платформах мы накопили огромный опыт получения, проверки и оплаты самых разношерстных отчетов, поэтому в этой статье я хочу поделиться советами о том, как правильно написать отчет, чтобы его оплатили, и рассказать, что делать, если ваши ожидания по выплатам не совпали с реальностью. Добро пожаловать под кат. Читать далееhttps://habr.com/ru/post/705222/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705222
rss_habr
SAST для самых маленьких. Обзор open-source инструментов поиска уязвимостей для C/C++Четверг, 01 Декабря 2022 г. 06:30 (ссылка)
Привет, Хабр! Навыки статического анализа кода в арсенале исследователя безопасности приложений фактически являются must-have скиллом. Искать ручками уязвимости в коде, не прибегая к автоматизации, для небольших проектов вполне быть может и приемлемый сценарий. Но для больших задач с миллионами строк кода — это непозволительная роскошь с точки зрения временных затрат. Читать дальше →https://habr.com/ru/post/702652/?utm_source=habrahabr&utm_medium=rss&utm_campaign=702652
rss_habr
Бумажек — меньше, денег — больше: почему багхантеру полезно быть самозанятым?Вторник, 22 Ноября 2022 г. 12:00 (ссылка)
Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат. Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа неделями и порезанные налогами выплаты. Но есть вариант, как приблизиться к ожидаемому. В августе мы зарелизили собственную платформу для поиска уязвимостей BI.ZONE Bug Bounty. Вы уже можете искать баги в VK, еще несколько компаний разместят свои программы совсем скоро. Поговорим о том, как автоматизация выплат и самозанятость позволят получать вознаграждения быстро и с максимальной выгодой. Читатьhttps://habr.com/ru/post/700418/?utm_source=habrahabr&utm_medium=rss&utm_campaign=700418
rss_habr
Цифровые робингуды, или Кто и как зарабатывает на поиске уязвимостейПонедельник, 31 Октября 2022 г. 12:25 (ссылка)
В гостях у девятнадцатого выпуска подкаста «Сушите вёсла» — руководитель продукта The Standoff компании Positive Technologies Ярослав Бабин. Говорили о Bug Bounty — программе, которая предлагает вознаграждение за нахождение уязвимостей, — вопросе национальной безопасности и о том, берут ли спецслужбы на работу пойманных хакеров. Читать далееhttps://habr.com/ru/post/696454/?utm_source=habrahabr&utm_medium=rss&utm_campaign=696454
rss_habr
Виды Application Security Testing. Как не запутаться среди SAST, DAST и IASTПонедельник, 25 Июля 2022 г. 15:48 (ссылка)
Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST). Читать дальше → https://habr.com/ru/post/676718/?utm_source=habrahabr&utm_medium=rss&utm_campaign=676718
rss_habr
[Перевод] Аппаратный взломПонедельник, 06 Июня 2022 г. 16:00 (ссылка)
https://habr.com/ru/post/669276/?utm_source=habrahabr&utm_medium=rss&utm_campaign=669276
rss_habr
[recovery mode] Поиск вредоносного кода «голыми руками»Суббота, 16 Апреля 2022 г. 16:02 (ссылка)
Последнее время появилась острая необходимость проверять, что прилетело с очередными обновлениями кода в папку /vendor /venv или любую другую, где лежат исходники внешних зависимостей проекта. (poetry, composer, go install и тд., кто на чем пишет). Сканеры безопасности решают данный класс задач, но их может не оказаться под рукой или тяжелое решение не подходит. Гугл не дал быстрого готового решения, когда под рукой только консоль. Часть задач сводится к тому, чтобы найти определенный текст, ключевые слова, хардкод (например ip адрес) или опасный системный вызов. В голову сразу приходит grep. Но мы же хотим не только искать по одному слову и только в одном или группе файлов. Мы хотим проверить весь код по всем возможным словарям, которые определим сами. Читать далееhttps://habr.com/ru/post/661317/?utm_source=habrahabr&utm_medium=rss&utm_campaign=661317
|
LiveInternet.Ru |
Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат О проекте: помощь|контакты|разместить рекламу|версия для pda |