PythonSec

Boo🧨 Асап, так получилось, что я отсутствовал полтора года. Но вроде как, теперь есть вариант писать сюда. Пробуем новый, тестовый формат, где я описываю обезличенные случаи из своей практики AppSec. В рамках такого формата, хотелось бы поговорить про самую частую уязвимость, которую я находил в своих проектах. Это broken access control. Стоит отметить, что понятие уязвимости, которое может вписываться в эту категорию всегда будет разным. Так например одна уязвимость, которую можно "занести" на...

Забавно наблюдать, что после того как я впал в анабиоз на пару лет, появилось огромное количество подобных каналов , где постят какие-то скрипты с гита и тд. Еще и за безопасность рассуждают какую-то💀

🦷

Спойлерим программу конференции VK Security Confab Max 💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря Что нас ждет? Как и обещали – лютый хардкор! 🤘 Нон-стоп! Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний. Ключевые темы: ⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак. 🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфрастру...

SSRF: маленькая уязвимость – большие проблемы На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников. Мы подготовили карточки с ключевыми моментами из его доклада: 🔹Где можно неожиданно встретить SSRF 🔹Какие атаки возможны и к чему они приводят 🔹Какие меры защиты действительно работают 👉 Листайте, а ...

🖼️ Подборка cheat sheet по пентесту различных технологий контейнеризация и оркестрации контейнеризации Kubernetes Pentesting MicroK8s Pentesting Docker Engine API Pentesting Docker Escape Docker Pentesting Docker Registry Pentesting Moby Docker Engine PrivEsc Простой скрипт для проверки базовых векторов побега из Docker https://github.com/eversinc33/JailWhale 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Всем привет ! Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security. Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью. Вот что я подметил для себя: 1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида: 1) Когда безоп...

эх Пашок

Поучаствовал в создании статьи для мейла https://hi-tech.mail.ru/review/124705-spetsialist-po-informatsionnoj-bezopasnosti/#anchor174314712806481185