В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DCG#7812 DEFCON-RUSSIA

839 membersпожаловаться на группу
2019 March 23

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
Pryanik
Переслано от
A preferred technique of spammers is to connect to the lowest priority MXs for a domain in an attempt to avoid any anti-spam filters that may be running on the primary MX

А видел кто такие кейсы в реальности? Просто странно, что это иногда возможно (типо все серваки должны быть с одной настройкой же, не?)
Типо там же скорее всего используется какой-нибудь ansible для деплоя всех сервисов по одной настройке, а не дядя Х на половине настроил так, а на другой забыл что-то
Гладко было на бумаге, но забыли про овраги. Всякое бывает.
источник
16:56пожаловаться#1

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
https://www.youtube.com/watch?v=2okRekOicpg - интересный концепт для OWASP ZAP
YouTube
AppSecCali 2019 Lightning Talk - Creating Accessible Security Testing with ZAP
Intoducing security testing tools to a QA or developers workflow can be difficult when the tools aren't easy or intuitive to use. Even for security professio...
источник
16:57пожаловаться#2
2019 March 24

k

kyprizel in DCG#7812 DEFCON-RUSSIA
Stuw (Андрей)
https://www.youtube.com/watch?v=2okRekOicpg - интересный концепт для OWASP ZAP
YouTube
AppSecCali 2019 Lightning Talk - Creating Accessible Security Testing with ZAP
Intoducing security testing tools to a QA or developers workflow can be difficult when the tools aren't easy or intuitive to use. Even for security professio...
у нас тестировщики такое вообще не оценили
источник
00:03пожаловаться#3

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
kyprizel
у нас тестировщики такое вообще не оценили
неудобно, им подобная инфа не нужна или что-то еще?
источник
00:19пожаловаться#4

k

kyprizel in DCG#7812 DEFCON-RUSSIA
у них разные браузеры, OS, разные профили, свои всякие тулы, разные для разных команд, да - не нужна эта инфа
источник
00:21пожаловаться#5

k

kyprizel in DCG#7812 DEFCON-RUSSIA
мы в итоге собираем их же траф, но прямо с балансеров, агрегируем и кормим в сканер
источник
00:22пожаловаться#6

k

kyprizel in DCG#7812 DEFCON-RUSSIA
тестировщики только credentials менеджат
источник
00:22пожаловаться#7

k

kyprizel in DCG#7812 DEFCON-RUSSIA
что-то находит) но проблема всех ИБ тулов - хрен кто может оценить эффективность, надо будет посчитать реальное покрытие
источник
00:24пожаловаться#8

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
спасибо, полезная информация.
источник
00:27пожаловаться#9

k

kyprizel in DCG#7812 DEFCON-RUSSIA
Андрей делал доклад на позапошлом Zn про это
источник
00:39пожаловаться#10

k

kyprizel in DCG#7812 DEFCON-RUSSIA
у нас burp, но это не важно же
источник
00:44пожаловаться#11

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
это плагин в burp или из коробки?
источник
01:02пожаловаться#12

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
не понял вопрос. Что куда кинул?
источник
01:14пожаловаться#13

AA

Andrey Abakumov in DCG#7812 DEFCON-RUSSIA
Stuw (Андрей)
это плагин в burp или из коробки?
у нас это 2 плагина
https://github.com/yandex/burp-molly-scanner - чтобы сканить берпом без GUI и прикрутить разную бизнес логику по кредам, дедупликации итд
https://github.com/yandex/burp-molly-pack - часть наших проверочек
GitHub
yandex/burp-molly-scanner
Turn your Burp suite into headless active web application vulnerability scanner - yandex/burp-molly-scanner
источник
01:14пожаловаться#14

AA

Andrey Abakumov in DCG#7812 DEFCON-RUSSIA
в докладе немного про другое
источник
01:15пожаловаться#15

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
я доклад про молли вроде даже слушал :)
источник
01:15пожаловаться#16

S

Stuw (Андрей) in DCG#7812 DEFCON-RUSSIA
то видео, что я кинул не про скан без гуи, а чуть про другое - там предлагается по сути часть гуя на веб страницу поместить, чтобы не отходя от кассы так сказать была доступна некоторая информация и действия.
источник
01:16пожаловаться#17

AA

Andrey Abakumov in DCG#7812 DEFCON-RUSSIA
ага! но это не кажется супер удобным
такое у Dominator было, сейчас у его продолжения, для анализа JS в динамике и taint анализа
источник
01:19пожаловаться#18

A

Andrew in DCG#7812 DEFCON-RUSSIA
кто-нибудь может мне написать скрипт для брутфорса?
источник
11:46пожаловаться#19

A

Andrew in DCG#7812 DEFCON-RUSSIA
да я могу сам написать, просто мне побыстрее надо, а так и я бы быстро получил, и вы бы заработали
источник
11:50пожаловаться#20