Pull to refresh

Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2

Nixys corporate blog Information Security *System administration *Nginx *Server Administration *


Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие DoS-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании.

Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 5K
Comments 4

Приглашаем экспертов принять участие в опросе СИГРЭ по лучшим практикам SOC в электроэнергетике

Ростелеком-Солар corporate blog Information Security *
Рабочая группа РНК СИГРЭ по кибербезопасности систем связи и управления в электроэнергетике, «Ростелеком-Солар», АО «РТСофт» и Positive Technologies приглашают электроэнергетические компании принять участие в опросе по ключевым аспектам работы SOC (Security Operation Center) в отрасли. Опрос разработан при активном участии экспертов «Ростелеком-Солар» и направлен прежде всего на оценку технологий, кадровой политики и процессов, применяемых организациями по всему миру при реализации SOC в электроэнергетике.

Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 549
Comments 0

Google Project Zero раскрыл 0-day уязвимость в Windows

Ростелеком-Солар corporate blog Information Security *
Project Zero, функционирующий в рамках Google, сообщил о том, что хакеры активно эксплуатируют уязвимость нулевого дня, которую вряд ли пропатчат в течение ближайших двух недель.


Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 7.7K
Comments 3

GitHub Meetup 20 апреля, тема Security

Microsoft corporate blog GitHub *

Всем привет! Очень скоро, 20 апреля, GitHub будет проводить очередной митап в России. Как и всегда, команда организаторов ждёт вас и вашей обратной связи. Что вам интересно? Приходите послушать и пообщаться

В этот раз митап будет про безопасность. В последние годы наблюдается рост интереса к этой теме. С одной стороны, это совершенно эволюционный процесс – базы уязвимостей растут, надо их имплементировать в инструменты, стараясь делать это так, чтобы эти инструменты сами не стали уязвимыми, писать регламенты. С другой стороны, появились рабочие группы по DevSecOps и Supply Chain Security. В индустрии обратили пристальное внимание на проблему общения о безопасности между командами разработки, саппортом, бизнес-группами и собственно отделом безопасности. Одними из ключевых факторов для попытки решения этой проблемы уже называют аккуратную автоматизацию процесса разработки и интеграцию с партнёрскими решениями. GitHub, являясь местом, которому разработчики доверяют своё самое ценное, плотно работает над новыми технологиями, и на митапе разработчики из GitHub, Алена Глобина и Артём Савельев, расскажут про CodeQL и обеспечение превентивной безопасности в цикле разработки. 

Также недавно GitHub опубликовал пост про управление секретами и использование их в GitHub Actions (за авторством Philip Holleran), перевод которого мы и публикуем.

GitHub Actions – это расширяемый собственными и партнёрскими решениями  механизм по автоматизации этапов разработки. Когда нужно обращаться наружу, можно хранить зашифрованные секреты для GitHub Actions для аутентификации на внешних ресурсах. Это делает доступ более простым и безопасным....

Читать далее
Total votes 3: ↑3 and ↓0 +3
Views 518
Comments 0

Бездействие Electronic Arts на предупреждения о дырах в системах безопасности

Information Security *IT-companies
Recovery mode

В начале июня стало известно о взломе информационных систем издателя игр Electronic Arts, хакеры украли у компании 780 Гбайт данных. Теперь выяснилось, что компания была заранее предупреждена о том, что её системы находятся в опасности, однако не предпринимала никаких мер, что бы предотвратить взлом.

Поехали..
Total votes 6: ↑6 and ↓0 +6
Views 2.9K
Comments 1

Встречайте CrowdSec v1.1.x: новые пакеты и репозитории

CrowdSec corporate blog Information Security *Open source *Server Administration *

Привет, Хабр. У нас хорошие новости: вышел новый релиз — CrowdSec v.1.1x, его теперь можно скачать через облачную платформу Package Cloud. 

Читать далее
Total votes 10: ↑10 and ↓0 +10
Views 428
Comments 0

Больше мобильной безопасности на OFFZONE 2022

Swordfish Security corporate blog Information Security *Development of mobile applications *Mobile applications testing *

Друзья, всех, кто интересуется практическими аспектами обеспечения информационной безопасности, приглашаем принять участие в конференции Offzone 2022! Мероприятие в этом году пройдет в Москве 25-26 августа и соберет разработчиков, безопасников, исследователей, инженеров, тестировщиков, преподавателей и студентов из нескольких стран мира!

Важно, что на этот раз особое внимание будет уделено теме безопасности мобильных приложений, которая вызывает все больше вопросов и привлекает все больше энтузиастов. Рады сообщить, что Tg-канал Mobile Appsec World компании Стингрей Технолоджис был приглашен стать одним из коммьюнити партнеров конференции Offzone 2022. И у нас не только будет отдельный тематический стенд, но и специальные активности и конкурсы с крутыми призами. Обещаем много насыщенного и полезного контента по теме мобильной безопасности!

Следите за нашими анонсами в июне, июле и августе и примите участие в розыгрышах. Так у вас появится шанс получить инвайт на Offzone 2022. А что там будет? Как всегда, организаторы обещают немало качественного технического контента по ИБ, мастер-классы, конкурсы, розыгрыши и неформальные тусовки. Подключайтесь

Читать далее
Rating 0
Views 260
Comments 0

Месяц мобильной безопасности: Июнь

Swordfish Security corporate blog Information Security *Development for iOS *Development of mobile applications *Development for Android *

И снова, после небольшого перерыва представляю вам главные новости из мира безопасности мобильных приложений за июнь. Было много интересных материалов - давайте посмотрим на самые-самые.

Читать далее
Rating 0
Views 278
Comments 0

Инвайты в обмен на истории

Swordfish Security corporate blog Information Security *Development of mobile applications *Mobile applications testing *Conferences

Привет, Хабр!

По традиции, все билеты на конференции, которые мне попадаются или достаются за участие в различных мероприятиях и их освещение в телеграмм-канале Mobile AppSec World, я разыгрываю среди подписчиков. За прошедшие несколько недель я уже выдал ивайты на OFFZONE 2022, которая пройдет 25-26 августа в Москве, и на Mobius, которая была в Питере.

И здесь я как раз и собрал самые крутые истории, которые мне прислали, чтобы вы также могли их прочитать и улыбнуться вместе со мной (орфография и стиль полностью перенесены из сообщения авторов без изменений).

Итак, поехали!

Читать далее
Total votes 9: ↑4 and ↓5 -1
Views 1.3K
Comments 0

Покажем свои продукты, устроим движ для хакеров, выступим и приведем маскота: рассказываем, что будет на OFFZONE 2022

Swordfish Security corporate blog Information Security *DevOps *

Привет, Хабр! 

Это снова мы, команда Swordfish Security. Уже почти 10 лет внедряем процессы безопасной разработки и практики DevSecOps, заботимся о безопасности приложений. 

А еще Swordfish Security - давний и любимый (ну так нам хотелось бы думать) партнер конференции OFFZONE, которая проводится с 2018 года. Совсем скоро ивент состоится вновь — 25 и 26 августа 2022 года. Мы приготовили для гостей мероприятия много зажигательного и интересного. Наши спикеры тоже постарались — написали крутые и полезные доклады. А теперь переходим непосредственно к спойлерам! 

Читать далее
Total votes 4: ↑3 and ↓1 +2
Views 525
Comments 0

Как защищать мобильные приложения в текущих условиях: обсудим на вебинаре

Swordfish Security corporate blog Development of mobile applications *Mobile applications testing *

Привет, Хабр!

Это снова я, Юрий Шабалин — генеральный директор и один из основателей Стингрей Технолоджиз. Наша команда занимается анализом защищенности мобильных приложений: ищет уязвимости и помогает их устранять. 

Надеюсь, вы уже соскучились по хорошим новостям. Так вот, у нас тут новый движ: 30 августа в 14:00 проведем вебинар, где я расскажу про безопасность мобильных приложений в текущих условиях. Приглашаю всех вас, подключайтесь! Обещаю дать как можно больше полезной информации и даже попробую добиться оваций (почему бы и нет).

Читать далее
Rating 0
Views 175
Comments 0

Kaspersky for Vista

IT systems testing *
Лаборатория Касперского сообщает о выходе новых версий (MP2 — 6.0.2.614) своих флагмановских продуктов — Kaspersky AV 6.0 / Kaspersky IS 6.0 Важнейшее дополнение, появившееся в Maintenance Pack 2 — поддержка новой операционной системы Windows Vista.

Второй пакет обновлений обеспечивает продуктам Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 возможность полноценно работать как с 32-битной, так и с 64-битной версиями Windows Vista.

При этом Maintenance Pack 2 включает в себя все функции и дополнения, содержавшиеся в первом пакете – в частности, полноценную поддержку операционной системы Windows XP 64-bit Edition, расширенную функциональность задач проверки по требованию, ряд усовершенствований модуля проактивной защиты, и защиту Менеджера задач Windows от внедрения вредоносных библиотек динамических связей (dll).

Загрузить пакет обновлений Maintenance Pack 2 для Kaspersky Internet Security 6.0 и Антивирус Касперского 6.0 можно здесь.
Total votes 7: ↑4 and ↓3 +1
Views 1.1K
Comments 4

Я Яндекс ленте нашли дыру

IT-companies
В ЖЖурнале пользователя netlux появилось сообщение о том, что через Яндекс ленту можно получить пароли некоторых пользователей ЖЖ. Достаточно забавная дырка, демонстрирующая пароли открытым текстом. К настоящему моменту ее уже прикрыли. Сообщение, в котором сообщается о дыре, моментально попала в топ популярных записей :)
Total votes 13: ↑1 and ↓12 -11
Views 320
Comments 2

Безопасность в Гугле

IT-companies
Чтобы доказать потенциальным клиентам Google Apps Business Edition заботу Гугла о безопасности, компания опубликовала пресс-релиз под названием «Полный анализ безопасности и защиты от угроз для Приложений Гугла» (PDF). Ниже представлены некоторые интересные факты.

Читать дальше →
Total votes 31: ↑29 and ↓2 +27
Views 594
Comments 36

Microsoft передумала продавать Windows Vista

Lumber room
После многих потраченных лет и миллиардов долларов, вложенных в разработку своей новой операционной системы Vista, корпорация Microsoft объявила блокаду покупателям, желающим приобрести ее новинку.
Читать дальше →
Total votes 6: ↑2 and ↓4 -2
Views 277
Comments 5

Шифрование писем в Gmail.

IT-companies
Скрипт для Greasemonkey, который поможет вам с шифрованием вашей e-mail корреспонденции.

После установки скрипта в службе Gmail.com, а, точнее, в окнах ввода нового сообщения и просмотра присланных писем появится новая панелька для кодирования и расшифровки электронных весточек:



Процесс установки и настройки описан в статье Компьютерры Online.
Полезно ввиду последних событий
Total votes 5: ↑2 and ↓3 -1
Views 361
Comments 0

Антивирус Касперского 7.0

IT systems testing *
Сегодня на официальном форуме Лаборатории Касперского (ЛК) был представлен первый прототип Антивируса Касперского 7.0.

Как сообщают разработчики, данная версия является первой публичной сборкой Антивируса Касперского седьмого поколения и пока включает в себя только самые базовые нововведения:
— прохождение leak-tests (BITStester, Breakout2, CPILSuite(#3), Osfwbypass, Surfer);
— прохождение keylogger тест aklt #3;
— детектирование руткитов, во время сканирования. Вердикт «Hidden Objects». Тестирование проходило на экземплярах Unreal.A, Rustock, EliteKeylogger.

Позже функционал программы будет расширен, в т.ч. будет добавлен и новый графический интерфейс.

Скриншот Антивируса Касперского 7.0. Обсуждение новой версии, а также ссылки для скачивания находятся на официальном формуме ЛК.
Total votes 11: ↑7 and ↓4 +3
Views 1K
Comments 4

JavaScript – «слабое место» Web 2.0?

Ajax *
Появление большего числа сайтов по технологии Web 2.0, написанных на языке Ajax (ну, Ajax разве язык?!), в основе которого лежит язык сценариев JavaScript, представляет новую угрозу для компьютерной безопасности, утверждает главный учёный и основатель компании защиты информации Fortify Software Брайан Чесс (Brian Chess).

В частности, использование Ajax делает более уязвимыми корпоративные приложения, сообщил The Register.

«Очень сложно заметить разницу между действиями Ajax и атакой JavaScript, — сказал Чесс. – Потенциально он [Ajax] представляет собой мост между внешними интернет-приложениями и внутренними интранет-приложениями, находящимися под брандмауэром».

На этой неделе Fortify представила новую версию своего продукта Secure Coding Rulepacks, предназначенного для анализа уязвимостей кода на JavaScript.

Источник: safe.cnews.ru/news/line/index.shtml?2007/05/17/250473
Оригинал статьи: www.fortifysoftware.com/news-events/releases/2007/2007-04-02.jsp

P.S.: с вышеприведенным материалом не согласен. К тому же не нашел ни доводов, ни примеров к тому, чтобы так полагать.
Разве что — сформировать Ajax-запрос к серверу вручную. Но разве кто-то отменял проверку входных данных?
Total votes 12: ↑9 and ↓3 +6
Views 2.3K
Comments 19