S
Size: a a a
2019 August 09
2019 August 10
SF
2019 August 11
2019 August 12
SP
Всем привет! Может кто подскажет RFC, в котором описывается перечень проверок для валидации открытого сертификата в PKI?
2019 August 13
AP
Нет, но сразу вопрос, какой от этого профит?
Можно попробовать так hsts байпаснуть. Если удасться время на тачке промотать вперёд.
AP
Упаролись ставить лимиты на пост???
https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-Strict-Transport-Security.pdf
https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-Strict-Transport-Security.pdf
AP
Да нет, это прост прикол такой
Не совсем прикол :)
SP
Лимиты не нужны
PO
Встреча
Поговорим о том, как конфигурировать сервера автоматически и безопасно, настраивать окружения для работы web-приложений. А потом и о том, как разработчики могут испортить все и подвергнуть безопасность риску на живом проекте.
Доклад 0x01.0. {server} Как изначально правильно сконфигурировать сервер, чтобы минимизировать проблемы.
- Firewall. Разрешай только то, что действительно необходимо. Базовая конфигурация firewalld.
- SSHD. На какие параметры стоит обратить внимание при настройке ssh сервера.
- Fail2ban. А что если блокировать названных гостей?
- Port knocking для sshd. Если хотим, спрятать открытый SSH.
- Много всего нужно настраивать. Давайте автоматизируем. Готовые состояния Saltstack для автоматизации настройки firewalls и sshd.
Доклад 0x01.1. {web-server} Основы безопасности web проектов.
Рассмотрим как админитратор или разработчик может значительно уменьшить риск эксплуатации уязвимостей корректно сконфигурировав окружение на примере Nginx + PHP.
- Из чего состоит “web-приложение” и как начать работать над его безопасностью
- Как минимизировать вероятность эксплуатации, закрепления в системе.
- Советы и примеры настройки NGINX, PHP
- Логирование и мониторинг
Доклад 0x02. {application} Security through obscurity или почему это и вас касается.
Рассмотрим то, как разработчики могут угробить бизнес, даже есть сервер настроили правильно (предыдущий доклад) на примере сайта СТАЧКА 2019 и как это все можно проэксплуатировать.
- Я просто потестить, lol, test, app и, конечно, logs (дирбаааастинг)
- Рассмотрим техническую сторону уязвимости в Adminer на живом примере
- “На сделующей неделе обновимся” или “Сейчас нет времени” aka 100500 отмазок почему бизнес не хочет что-то делать и чем это чревато 😕
- Что такое постэксплуатация и как можно закрепиться в системе 🙂
[0x03] Как делать разработку WEB приложений безопаснее и корректнее, а сервера устойчивее готова и будет проведена 20 марта 2019 года в 20:00 (GMT +4) в режиме вебинара (on-line). Подробнее: https://dc20e6.ru/meetup/0x03/, а ссылка на трансляцию будет за несколько часов до трансляции в @dc20e6Поговорим о том, как конфигурировать сервера автоматически и безопасно, настраивать окружения для работы web-приложений. А потом и о том, как разработчики могут испортить все и подвергнуть безопасность риску на живом проекте.
Доклад 0x01.0. {server} Как изначально правильно сконфигурировать сервер, чтобы минимизировать проблемы.
- Firewall. Разрешай только то, что действительно необходимо. Базовая конфигурация firewalld.
- SSHD. На какие параметры стоит обратить внимание при настройке ssh сервера.
- Fail2ban. А что если блокировать названных гостей?
- Port knocking для sshd. Если хотим, спрятать открытый SSH.
- Много всего нужно настраивать. Давайте автоматизируем. Готовые состояния Saltstack для автоматизации настройки firewalls и sshd.
Доклад 0x01.1. {web-server} Основы безопасности web проектов.
Рассмотрим как админитратор или разработчик может значительно уменьшить риск эксплуатации уязвимостей корректно сконфигурировав окружение на примере Nginx + PHP.
- Из чего состоит “web-приложение” и как начать работать над его безопасностью
- Как минимизировать вероятность эксплуатации, закрепления в системе.
- Советы и примеры настройки NGINX, PHP
- Логирование и мониторинг
Доклад 0x02. {application} Security through obscurity или почему это и вас касается.
Рассмотрим то, как разработчики могут угробить бизнес, даже есть сервер настроили правильно (предыдущий доклад) на примере сайта СТАЧКА 2019 и как это все можно проэксплуатировать.
- Я просто потестить, lol, test, app и, конечно, logs (дирбаааастинг)
- Рассмотрим техническую сторону уязвимости в Adminer на живом примере
- “На сделующей неделе обновимся” или “Сейчас нет времени” aka 100500 отмазок почему бизнес не хочет что-то делать и чем это чревато 😕
- Что такое постэксплуатация и как можно закрепиться в системе 🙂