​Думай как хакер: cлабые места PHP• 🔎 Какие уязвимости можно найти в типичном PHP-проекте?

• ❗️Удивительно, но любые — от слабых мест и уязвимостей в коде никто не застрахован. Чем быстрее мы их найдем, тем меньше риск для компании, а также и для своих проектов.

• ♻️ Но чем лучше будем понимать, как можно атаковать наше приложение и как взаимодействуют друг с другом наши фичи, тем легче будет защитить код еще на уровне разработки. Тем более, что в PHP есть свои специфичные уязвимости — те же type juggling, insecure deserialization и local file include.

• 🕹🔒 Чтобы повысить уровень безопасности кода, полезно думать как хакер и тестировщик одновременно, проверяя все возможные лазейки в коде. Сканеры уязвимостей, SSL-сертификаты, аудиты и прочие многочисленные инструменты защиты будут хорошим дополнением.

• Наиболее распространенные уязвимости из списка OWASP Top 10 (доля приложений) ⬇️

• 🌏 Интернет — пространство безграничных возможностей, но если пользоваться им без должной осторожности, со своими данными можно попрощаться: отсюда и нежелательные спам-звонки, и потерянные пароли от соцсетей и банковских карт.

• 📞⛔️ Если вы не хотите получать звонки от «сотрудников банка», скачайте бесплатный гайд по кибербезопасности от Нетологии.

💬 В нём рассказывают:
— как данные достаются мошенникам;
— как действуют реальные схемы обмана в интернете;
— как правильно покупать в интернете;
— что делать, если взломали.⬇️ Пользуйтесь гайдом и оставляйте мошенников без работы

#Безопасностьдоступа
#Приватностьдляначинающих

@SingleSecurity 🛡

l.netology.ru

Как защитить свои данные – гайд по кибербезопасности

Скачайте бесплатный гайд и узнайте, как работают мошенники в интернете, как защитить свои личные данные и что делать, если вас взломали.

​👨🏻‍💻 Сайты, которые помогут тебе стать хакером и оттачивать своё мастерство•❓Задумывался ли ты когда-нибудь с чего начать, где получить больше знаний и даже проверить и улучшить свои хакерские навыки?• ⚠️ Перечисленные ниже сайты, помогут понять каждый аспект безопасной (или, скорее, небезопасной) стороны программного обеспечения, сетей, серверов и каждого отдельного элемента, который может быть представлен в мире информационной безопасности.1️⃣ Hack The Box – это онлайн-платформа, позволяющая вам проверить свои навыки тестирования на проникновение и обменяться идеями и методологиями с тысячами людей в области безопасности. Что бы начать пользоваться этой платформой вам нужно пройти регистрацию в стиле CTF. Hack The Box предоставляет множество задач – в виде виртуальных машин – имитирующих реальные проблемы безопасности, которые постоянно обновляются, также у вас есть возможность проходить разные задачи, такие как стеганография, реверсинг и т. д. На момент написания статьи доступно 182 CTF задания.

2️⃣ Vulnhub – это сайт, на котором можно найти образы уязвимых виртуальных машин, на которых вы можете попрактиковаться в своей локальной сети. Обычно они отмечены уровнем сложности, в большинстве из них есть пошаговые инструкции, если вы застряли, и они полностью легальны. Платформа также используется школами, университетами и правительствами для обучения, а также организациями при проведении собеседований.

3️⃣ Smash The Stack проводит несколько варгеймов. Варгейм можно описать как этическую хакерскую среду, которая моделирует реальные уязвимости программного обеспечения и допускает легальное применение методов эксплуатации. Программное обеспечение может быть операционной системой, сетевым протоколом или любым пользовательским приложением. Каждый варгейм содержит множество задач, начиная от стандартных уязвимостей и заканчивая задачами на реверс-инжиниринг.

4️⃣ OverTheWire подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Варгеймы, предлагаемые сообществом OverTheWire, могут помочь вам изучить и отработать концепции безопасности в форме игр. Чтобы узнать больше об определенном варгейме, просто посетите его страницу, указанную в меню слева. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач.

5️⃣ Root Me быстрый, простой и доступный способ отточить свои хакерские навыки. У Root-me есть множество видов задач. CTF, взлом, криптоанализ, криминалистика, программирование, стенография. Это определённо один из лучших сайтов в нашем списке.

6️⃣ Defend the Web – интерактивная платформа, где вы можете учиться и проверять свои навыки. За решение задач вы получаете определённое количество очков в зависимости от уровня сложности. Подобно Hack This Site, у Defend the Web также есть живое сообщество, многочисленные статьи и новости о хакинге и форум, на котором вы можете обсудить задачи и вопросы, связанные с безопасностью.

7️⃣ Exploit Education предоставляет разнообразные виртуальные машины, документацию и задачи, которые можно использовать для изучения различных проблем компьютерной безопасности, таких как повышение привилегий, анализ уязвимостей, разработка эксплойтов, отладка, реверсинг и общие проблемы кибербезопасности.

8️⃣ Try2Hack – этот сайт предлагает несколько задач, связанных с безопасностью, для вашего развлечения. Каждая задача требует разного подхода для решения и по мере продвижения становится всё сложнее. Это один из старейших сайтов в нашем списке.

#Разработка
#РазвитиевIT
#Программирование
#Взломдляначинающих

@SingleSecurity 🛡

​⚙️🍏 Apple выпустила Chrome-аддон, синхронизирующий пароли iCloud на Windows• 🖥 🍏 Apple выпустила новое расширение для браузера Chrome, облегчающее пользователям работу с паролями, сохранёнными в Safari. Аддон «Пароли iCloud» будет полезен как тем, кто сидит на Windows, так и любителям «яблочных» устройств: MacBook, iPhone и т. п.

• 🔑 Помимо того, что расширение позволит получить доступ к сохранённым в Safari паролям из браузера Chrome и операционной системы Windows, нововведение даст возможность сохранять в «Связку ключей iCloud (Keychain)» новые пароли.

• ♻️ Другими словами, благодаря разработке Apple мы имеем полную синхронизацию. Сохранив новые учётные данные в Chrome, вы также сможете автоматически добавить их в связку ключей iCloud, а это значит, что на любом устройстве корпорации из Купертино у вас будут всегда актуальные пароли (даже при работе с Windows).

• 📀 Скачать расширение «Пароли iCloud» можно в официальном магазине Chrome Web Store. Также, судя по опубликованной 9to5Google информации, Apple в конце января обновила iCloud для Windows 10 (последняя версия — 12), добавив специальный раздел «Пароли», из которого можно перейти на страницу загрузки нового аддона.

• ⚙️ Сразу после установки расширения пользователям станут доступны пароли, сохранённые ранее в связке ключей iCloud (в Safari для macOS или iOS). По сути, это первый аддон, поддерживающий iCloud Keychain на Windows.

#Новости
#Уязвимости

@SingleSecurity 🛡

​🌍 Google Chrome получил защиту от атак NAT Slipstreaming 2.0• 👥 ⚙️ Разработчики браузера Chrome внесли в список блокировки еще восемь портов в качестве меры противодействия NAT Slipstreaming 2.0 и другим возможным вариантам этой атаки на защищенную сеть. После публикации первоначальной версии NAT Slipstreaming в этот список были добавлены порты 5060 и 5061.

• 🕹 Атака NAT Slipstreaming 2.0 позволяет через интернет добраться до любого сетевого устройства, помещенного за файрвол или NAT. Созданная исследователями концепция предусматривает использование особого JavaScript-сценария и связи по протоколу H.323 (порт 1720). Предложенная схема также полагается на упущения в политиках безопасности браузеров и несовершенство реализации технологии NAT.

• 🛡 Как оказалось, защита от NAT Slipstreaming 2.0 уже не только реализована, но и включена по умолчанию в десктопном и мобильном Chrome. Выпустив сборку 87.0.4280.117 браузера, разработчики ввели запрет на установку соединений на порту 1720, а также — из предосторожности — на портах 69, 137, 161, 1719, 1723, 6566 и 10080. Владельцам серверов HTTP, HTTPS и FTP, использующих эти порты, теперь придется вносить изменения в настройки и обновлять соответствующие URL.

• ⏳Публикацию обновления политик безопасности Chrome было решено отложить до принятия аналогичных мер вендорами других широко используемых браузеров. На настоящий момент это сделали Mozilla и Microsoft; в Apple, по всей видимости, тестирование кода еще не завершено.

• 💡 В Blink изменения тоже уже доступны: этот браузер был создан в рамках проекта Chromium. Соответствующий патч для Firefox заработал с выпуском версии 85 — в списке закрытых уязвимостей проблема числится как CVE-2021-23961. Заплатка для Microsoft Edge была включена в состав сборки 87.0.664.75; по версии разработчика, она устраняет уязвимость CVE-2020-16043.

#Новости
#Уязвимости

@SingleSecurity 🛡

​💉 Госдума и Роскомнадзор хотят помечать фишинговые сайты в браузерах• 💡 Государственная дума озадачилась более эффективной борьбой с мошенническими сайтами, пытающимися разводить россиян. Совместно с Роскомнадзором Госдума планирует ввести новое регулирование, которое будет подразумевать маркировку опасных веб-ресурсов в браузерах.

• 👥 Специалисты в области кибербезопасности, комментируя намерение Госдумы, обращают внимание на ряд нюансов. Например, механизмом маркировки якобы вредоносных сайтов можно злоупотреблять, а выявить фейковые ресурсы далеко не всегда могут и сами эксперты.

• 🦾 Тем не менее представители Госдумы собираются обсудить с Роскомнадзором методы противодействия онлайн-мошенничеству, а также выработать наиболее эффективные механизмы.• 💬 Антон Горелкин, член комитета Государственной думы по информационной политике, в своём Telegram-канале предложил использовать специальный виджет, который поможет пользователям отправлять жалобы на подозрительные или вредоносные сайты.

#Новости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⁉️Как мошенники разводят Telegram-каналы, представляясь российскими селебрити• 💀 Кибермошенники продолжают осваивать для себя Telegram, разводя крупные компании и администраторов каналов. В новой кампании злоумышленники представляются продюсерами российских знаменитостей — например, Елены Темниковой или Моргенштерна — и предлагают заплатить за размещение рекламы в собственных Telegram-каналах.

• 🌍 Своё поле деятельности злоумышленники ограничили социальными сетями, в которых связывались с различными компаниями и предлагали опубликовать рекламу какого-либо товара или услуг за 10 тысяч рублей.

• 👥 Знаменитости, чьими именами прикрываются преступники, уже в курсе ситуации. Певица Елена Темникова часто предупреждает своих подписчиков о мошенниках и просит связываться со своими представителями только через официальные контакты.

• ♻️ Также используется и немного другая схема: обманщики выходят на какую-либо компанию (тоже, как правило, от лица крупных каналов), сообщают о планах опубликовать материалы о бизнесе компании и требуют оплаты за отзыв публикации.

#Новости
#Приватностьданных

@SingleSecurity 🛡

​💀🔑 Основная причина заражения WordPress-сайтов - это пиратские темы и плагины!• 👥 Исследователи из компании Wordfence, поставляющей на рынок файрволы уровня веб-приложений (Web Application Firewall, WAF) сообщили о том что пиратские темы и плагины стали основной причиной заражения веб-сайтов на движке WordPress в 2020 году.

• 💬🔎 По словам экспертов, их сканер обнаружил более 70 миллионов вредоносных файлов более чем на 1,2 млн WordPress-сайтов. Эту статистику аналитикам Wordfence удалось собрать за весь 2020 год.

• 💬 «В общей сложности 206 000 сайтов стали жертвой вредоносов из-за пиратского плагина или темы. Это составляет 17% от общего числа выявленных заражённых сайтов», — описывают специалисты.

• ✔️ В Wordfence отметили, что 154 928 веб-ресурсов были заражены версией вредоносной программы WP-VCD. Известно, что распространители этого зловреда используют в своих кампаниях взломанные темы для движка WordPress.

• 🏆 Более того, WP-VCD оказался настолько успешным вредоносом, что в 2020 году поразил 13% от общего числа всех атакованных сайтов. Тем не менее владельцам веб-ресурсов на WordPress стоит опасаться не только взломанных плагинов и тем.

• 🎲 По данным Wordfence, в 2020 году для онлайн-площадок стал весьма ощутимой проблемой и другой вектор взлома — брутфорс. Всего за прошлый год исследователи зафиксировали более 90 миллионов попыток подбора учётных данных.

• 🕹 Атаки шли с 57 миллионов разных IP-адресов (скорее всего, это результат работы ботнетов или прокси-серверов), а за одну секунду Wordfence отмечала до 2800 попыток подбора паролей.

#Новости
#Приватностьданных

@SingleSecurity 🛡

​💀📨 Хакеры присылают владельцам Telegram-каналов вредонос под видом рекламы• ⚠️ Киберпреступники нацелились на владельцев каналов в Telegram и пытаются с помощью вредоносной программы похитить их учётные данные. Получив доступ к Telegram-каналу жертвы, злоумышленники могут потребовать выкуп или же подсовывать подписчикам ссылки на фишинговые и вредоносные сайты.

• ♟🎓 Для прикрытия атакующие используют предложения разместить в канале пользователя рекламу GeekBrains (образовательная платформа). Однако вместе с вложениями владельцы Telegram-каналов получают зловред.

• 📈 Рост такого рода атак связан с растущей популярностью платформы Telegram, а также немалыми бюджетами, выделяемыми на рекламу в популярных каналах, уверены специалисты в области кибербезопасности.

• 💬 По словам владельцев Telegram-каналов, столкнувшихся с новым видом кибератак, злоумышленники представляются менеджерами GeekBrains и выходят на них с рекламными предложениями.

• 🔎 Сама образовательная платформа GeekBrains, само собой, не имеет никакого отношения к деятельности киберпреступников. Тем не менее её представителям пришлось не раз выслушать жалобы от владельцев каналов.

• 🔔 Призываем владельцев Telegram-каналов быть бдительными и проверять файлы, которые приходят от заказчика рекламы. Если есть подозрения, всегда можно воспользоваться сервисом VirusTotal или обратиться к специалистам в области защиты информации.#Новости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡

​⏳ФОРУМ "КИБЕРБЕЗОПАСНОСТЬ - НАШИ ДНИ. ПРОМЫШЛЕННЫЕ ТЕХНОЛОГИИ"📌 С 17 по 19 февраля в любимом ИБ-сообществом ДЦ «Юбилейный» Форум «Кибербезопасность – Наши Дни» соберёт лучших экспертов, разработчиков решений и представителей промышленности.⚙️ Будем прорабатывать ключевые вопросы промкибербезопасности и вообще всячески взаимодействовать!«Кибербезопасность – Наши Дни» – это три дня плотной деловой программы: мастер-классы, питч-сессии, киберучения!
На повестке: нормативно-правовые, технологические, организационные и кадровые вопросы.

🎓 Также непосредственно на форуме можно будет пройти обучение и получить Удостоверение о повышении квалификации.

«Кибербезопасность – Наши Дни» это также безоблачное февральское небо, морозный горный воздух, ухоженные лыжные трассы и масса фирменного ИБ-веселья! Без впечатлений не уедете!

👑 2021 год.
Новые вызовы. Новые возможности. Присоединяйтесь!