Лука Сафонов @LukaSafonov
информационная опасность
Информация
- В рейтинге
- 779-й
- Откуда
- Москва, Москва и Московская обл., Россия
- Работает в
- Дата рождения
- Зарегистрирован
- Активность
Специализация
Chief Technology Officer (CTO)
Information Security
информационная опасность
Я не работаю в "Инфосистемах Джет" с 2019 года.
Ссылки: вот, вот или вот.
Взорвались только новые пейджеры из последних поставок. А ссылок полно: вот, вот или вот.
Балансить по какой схеме? В целом это не задача WAF, но частично ими решается.
Разница между http и https примерно в 2 раза, использование DPDK и других ускорителей еще/пока очень редкая история.
Можно вообще все оттюнить nginxoм если у вас две статический html странички.
WebSocket - можно проверить только инициирование http-соеднение, WAF не проваливается дальше в протокол ws.
post-deploy > в современной парадигме RASP это не WAF, а WAAP.
Багбанути площадка не покупатель багов, а некий мост между компаниями и IT-сообществом. В совокупности получается более выгодный и эффективный механизм по обеспечению высокого уровня безопасности информационных систем и ресурсов. Багхантеры получают деньги и славу, компании - безопасность.
Людям, которые "сдают" баги в даркнет по большей части все равно есть там багбаунти или нет, они выбрали свой путь. Многие отлично стреляют в тире, но лишь единицы идут в наемные убийцы, если брать Вашу аналогию.
Багхантер, выбирающий ту или иную программу оценивает ее по своим критериям. Большинство багхантеров довольны существующими выплатами и программами.
пентест != багбаунти
что мешает бездомным купит себе дома и перестать таковыми быть?
По своему опыту могу сказать что в даркнете ее еще надо найти кому продать, а багбаунти легальный и легитимный способ "обналичить" баги и спать спокойно.
Включу душнилу: каноничнее будет "эксплоит к уязвимости нулевого дня".
Это не киберполигон, это стенд и среда мониторинга к нему. Киберполигон это как минимум связная архитектура, а не одинокий сервер/сервис. В качестве готового примера - вот https://github.com/Orange-Cyberdefense/GOAD. В качестве средств аналитики/мониторинга попробуйте либо HELK (немного устаревший), либо комбайн на базе Kali Purple.
К слову, гугол тоже не принимает open redirect'ы без серьезного импакта.
Теперь ждем премиум лакшери подписку, где это можно отключить.
Вот тут понятнее написано: он использует совокупность признаков виде хеша, если хеш изменился - значит кто-то подменил AC.
Вообще существует несколько утилит для детекта rogue AP/evil twin и прочих атак.
Много комментариев про благотворительность - подтверждаю, Тиньков Банк, в рамках своей bug bounty программы, по просьбе багхантера на площадке bugbounty.ru , перечислил денежные средства в благотворительный фонд: https://t.me/bugbountyru_chat/1832
Для того чтобы пришли к багхантеру нужны веские доказательства, иначе будет как в анекдоте - "тогда и за изнасилование сажайте, инструмент-то есть". Тут вопрос стоит уже давно о введении в правовое поле понятия багхантер, но воз и ныне там.
Использование специальных хидеров и даже VPN не гарантирует что багхантер не расскажет о логике уязвимости. А вопрос приватности багхантера (раскрытие его данных для правоохранительных органов) сейчас лежит на стороне площадки, только на площадке могут знать/увязать реальные данные багхантера (и то, если он не оформляет выплаты на третье лицо, что никак не подтвердить) так что проблема скорее надуманная, реальные кейсы мне не встречались, что все равно не отменяет необходимости легализации багхантинга.
Отчеты под NDA, лучше писать нормальные, хотя бы по такому гайду: https://xakep.ru/2021/04/28/best-pentest-report/
Не всегда. На площадках размещения программ, например bugbounty.ru, где и собираются багхантеры, каждая программа анонсируется и видна исследователям, внешний маркетинг и реклама это дополнительные внешние факторы.
Я указал это в статье - "вымогательство вознаграждений".
Провести внутреннее тестирование. Провести тестирование автоматизированными средствами. Провести пентест. Запустить приватную программу (ограничение по участникам, либо депозитную систему (нанимаете пул хантеров за фиксированную цену - они приносят все что находят)). Запускаете публичную программу.
Олды помнят, даже проблемы одинаковые решали:
https://habr.com/ru/company/pentestit/blog/331406/
Всем заинтересовавшимся у Антона был целый цикл статей на эту тему: https://habr.com/ru/users/antgorka/posts/
gosuslugi.ru/security.txt
«период охлаждения» = холд?
Yubikey отличный токен, но пару ложек:
они сильно подорожали
при этом их нет в наличии.
У меня чувство deja vu: https://habr.com/ru/post/336596/. Такое ощущение что был потерян пласт знаний и сейчас потомки по крупицам воссоздают информацию о netcat, aircrack-ng и прочем.