В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevSecOps - русскоговорящее сообщество

298 membersпожаловаться на группу
2019 September 22

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Сейчас тебе фактически надо базу уязвимостей. Я обычно выгружаю список запросов из бурпа (с +- чем-то найденным), чтобы это говнище не заглючило снова и не убило результаты
Потом прохожусь уже по отдельным процессам (регистрация, логин, восстановление ..) для этого как правило сканы не нужны/не помогают
источник
09:40пожаловаться#1

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Онли скрины на конфлю пока для себя открыл)
источник
09:40пожаловаться#2

MM

Maxim Maximov in DevSecOps - русскоговорящее сообщество
Может что более удобное появится для заведения уязвимостей (с отражением сиквенса и в идеале вообще подсветкой точек входа)
источник
09:42пожаловаться#3

A

Anton in DevSecOps - русскоговорящее сообщество
ну я не совсем про сканеры, мне важно чтобы у меня три человека свои попытки как успешные так и не очень сводили автоматом в одно место, дальше дружно смотрели на результаты и писали отчеты
скрины и заметки  можно онлайн в OneNote сводить - тоже удобно, но запросы копировать и тд много времени занимает
источник
10:14пожаловаться#4

N

Nklya in DevSecOps - русскоговорящее сообщество
https://zwischenzugs.com/2019/09/22/software-security-field-guide-for-the-bewildered/
zwischenzugs
Software Security Field Guide for the Bewildered
If you have worked your way in software for a number of years and you’re not a security specialist, you might be occasionally confronted by someone from ‘security’ who generally s…
источник
22:57пожаловаться#5
2019 September 23

N

Nklya in DevSecOps - русскоговорящее сообщество
https://speakerdeck.com/iancoldwater/the-path-less-traveled-abusing-kubernetes-defaults
Speaker Deck
The Path Less Traveled: Abusing Kubernetes Defaults
Kubernetes is a container orchestration framework that is increasingly widely used in enterprise and elsewhere. While the industry is starting to pay some attention to Kubernetes security, there are many attack paths that aren’t well-documented, and are rarely discussed. This lack of information can make your clusters vulnerable.

In this live demonstration-filled talk presented at Black Hat USA 2019, Ian Coldwater and Duffie Cooley walk through the Kubernetes control plane before using sigs.k8s.io/kind to show some of the attack surface exposed by a default configuration of Kubernetes. There will be multiple exploits, including cluster takeovers and host escapes. We’ll show you mitigations, and then show you how to get around those.

The audience will walk away from this talk with a better understanding of Kubernetes’ default attack surface, how it can be exploited, and how to keep their clusters safer.
источник
12:53пожаловаться#6

A

Anton in DevSecOps - русскоговорящее сообщество
а кто-нибудь сталкивался с trivy vs Unknown OS  ошибкой?
источник
21:18пожаловаться#7

P-

Pavel - in DevSecOps - русскоговорящее сообщество
Anton
а кто-нибудь сталкивался с trivy vs Unknown OS  ошибкой?
проверь наличие rpm в системе
источник
21:18пожаловаться#8
2019 September 24

N

Nklya in DevSecOps - русскоговорящее сообщество
https://twitter.com/mayhemdayone/status/1174933746836852738?s=12
Twitter
Bob Diachenko
Pro security tip No.21: if you name your production database or files with *test* or *dev* prefix, then there is no way somebody would claim it being publicly exposed. https://t.co/R4Yc7c7oci
источник
08:31пожаловаться#9

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Гг
источник
09:49пожаловаться#10
2019 September 25

N

Nklya in DevSecOps - русскоговорящее сообщество
https://twitter.com/flawlessappio/status/1176779813874520064?s=12
Twitter
Flawless App
iOS Application Security Testing: 🔐 10 guides at security archives by @dagostin https://t.co/fAiybqaOXa 🔑 Awesome security talks from @vixentael https://t.co/NweHMq5NyP 🗝️ Comprehensive security testing guide by @OWASP_MSTG https://t.co/4qDNJwDeTn #iosdev
источник
15:42пожаловаться#11
2019 September 26

k

kvdrt in DevSecOps - русскоговорящее сообщество
сап. nc. Magazine Inc. никто не слышал, тут мне продажник заливает про их рейтинг, я дурак или таки лыжи не едут? често сказать я впервые слышу
источник
09:46пожаловаться#12

PY

Pavel Yablochkov in DevSecOps - русскоговорящее сообщество
Хай всем,
кто подскажет есть какая то возможность проверить сетевую доступность с АВС к локальному ПК, на подоби telnet
пытаюсь создать ендпоинт с ДМС к базе на локал ПС, но проблема с конекшеном, оба находяться в одной сети,
с ПК к АВС другой базы тетнет летит
есть какие то мысли?
источник
17:34пожаловаться#13
2019 September 27

AM

Andre Makarov in DevSecOps - русскоговорящее сообщество
https://www.vaultproject.io/api/secret/kv/kv-v2.html#configure-the-kv-engine

Привет,подскажите пожайлуйста на что влияет параметр max_versions?

из его описания мне показалось, что он должен ограничивать количество версий для всех ключей на данном сикрет енжайн
Выставил значение = 5, создаю секрет через вебе, Maximum Number of Versions в вебе = 10. Ок, ну может в вебе захардкожено так, создаю через cli, смотрю мету, а в ней max_versions = 0.
или я не праавильно интерпретирую
источник
16:08пожаловаться#14
2019 September 28

N

Nklya in DevSecOps - русскоговорящее сообщество
https://www.youtube.com/playlist?list=PLbRoZ5Rrl5lc5qioGfLRwcJaTmXeKdSku
YouTube
USENIX Security '19 - YouTube
источник
07:23пожаловаться#15

A

Anton in DevSecOps - русскоговорящее сообщество
Andre Makarov
https://www.vaultproject.io/api/secret/kv/kv-v2.html#configure-the-kv-engine

Привет,подскажите пожайлуйста на что влияет параметр max_versions?

из его описания мне показалось, что он должен ограничивать количество версий для всех ключей на данном сикрет енжайн
Выставил значение = 5, создаю секрет через вебе, Maximum Number of Versions в вебе = 10. Ок, ну может в вебе захардкожено так, создаю через cli, смотрю мету, а в ней max_versions = 0.
или я не праавильно интерпретирую
Нет, он ограничивает кол-во версий для восстановления
источник
12:18пожаловаться#16

AM

Andre Makarov in DevSecOps - русскоговорящее сообщество
Anton
Нет, он ограничивает кол-во версий для восстановления
Типа версий 10 в памяти лежит, но роллбек только на 5 из них можно сделать, остальные 5 доступны на чтение?
источник
12:49пожаловаться#17
2019 September 29

KK

Kirill Kazarin in DevSecOps - русскоговорящее сообщество
Pavel Yablochkov
Хай всем,
кто подскажет есть какая то возможность проверить сетевую доступность с АВС к локальному ПК, на подоби telnet
пытаюсь создать ендпоинт с ДМС к базе на локал ПС, но проблема с конекшеном, оба находяться в одной сети,
с ПК к АВС другой базы тетнет летит
есть какие то мысли?
лучшая проверка соединения это nc. если в одну сторону соединение есть а в другую нет то тут либо что то фаерволит, либо роутинг. копайте в эту сторону. роутинг - разрешите везде по пути где можете icmp и пингуйте до посинения. фаервролинг - nc в помощь.
ну и в обоих случаях ваш второй лучший друг это tcpdump или аналог везде где можете запустить
источник
14:52пожаловаться#18

С

Сергей in DevSecOps - русскоговорящее сообщество
tcptraceroute же
источник
17:11пожаловаться#19

KK

Kirill Kazarin in DevSecOps - русскоговорящее сообщество
да тоже как вариант
источник
17:26пожаловаться#20