С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Николай Овчарук
Служба IT безопасности, Воля
Техники пентеста для активной защиты
О спикере: Занимается техническим аудитом, расследованием инцидентов, разработкой и внедрением средств защиты. Играет в CTF.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...QAFest
Ни для кого не секрет, что при разработке проекта мало кто уделяет достаточное внимание проверке безопасности приложения. Даже когда и задумываются об этом, то очень часто упускают из внимания уязвимости железа и ОС, которое коммуницирует с вашим приложением. В своем докладе я расскажу и покажу на что следует обращать внимание при тестировании безопасности вашего продукта. А так же насколько важно применять тестирование безопасности. Ну, и как обычно, свои доклады я сопровождаю не только теорией, но и практическими примерами. На этот раз специальными гостями будут:
- Nmap
- Metasploit
- Ettercap
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Николай Овчарук
Служба IT безопасности, Воля
Техники пентеста для активной защиты
О спикере: Занимается техническим аудитом, расследованием инцидентов, разработкой и внедрением средств защиты. Играет в CTF.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
QA Fest 2018. Святослав Логин. Что такое Metasploit? Как его использовать для...QAFest
Ни для кого не секрет, что при разработке проекта мало кто уделяет достаточное внимание проверке безопасности приложения. Даже когда и задумываются об этом, то очень часто упускают из внимания уязвимости железа и ОС, которое коммуницирует с вашим приложением. В своем докладе я расскажу и покажу на что следует обращать внимание при тестировании безопасности вашего продукта. А так же насколько важно применять тестирование безопасности. Ну, и как обычно, свои доклады я сопровождаю не только теорией, но и практическими примерами. На этот раз специальными гостями будут:
- Nmap
- Metasploit
- Ettercap
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
24.10.2015 года “Компания" подверглась хакерской атаке, в процессе расследования этого инцидента, была выявлена подобная активность злоумышленников и на другие предприятия в масштабах Украины, проанализированы методы и тактика проникновения в инфраструктуру жертвы. Результаты данного расследования будут освещены в докладе.
В этом докладе рассмотрен опыт NetCracker по выбору инструмента для изучения причин проблем производительности.
Рассмотрены критерии по которым не подошли имеющиеся инструменты и показаны примеры того, чего не хватает при анализе результатов обычными профайлерами.
http://jokerconf.com/#sitnikov
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеPositive Hack Days
Ведущий: Евгений Колотинский
Device Fingerprinting (точнее – Browser Fingerprinting) является классическим способом опознавания пользователя и его устройства в интернете. Этот подход давно и успешно демонизируется борцами за сетевую анонимность. Тем не менее, мы будем говорить не только о темных сторонах Device Fingerprinting, но и о применении этой технологии для повышения надежности и качества обслуживания там, где это оправдано. Обязательно поговорим и о самих способах построения Fingerprint, о точности, надежности и устойчивости, а также о том, почему TOR Browser не всегда является лекарством против отслеживания, и о том, что анонимности в интернете на самом деле намного меньше, чем кажется.
SWIM — это протокол обнаружения и мониторинга узлов кластера, распространения событий и данных между ними. Протокол особенен своей легковесностью, децентрализованностью и независимостью скорости работы от размера кластера. Владислав рассказал о том, как устроен протокол SWIM, как и с какими расширениями он реализован в Tarantool.
В докладе мы рассмотрим наиболее распространенные проблемы реализации микросервисной архитектуры. На примерах разберем почему четкая постановка самой проблемы это уже половина решения. В ходе доклада мы коснемся таких проблем-ловушек:
- выбор неправильного технологического стека
- как запутаться в трех микросервисах при дебагинге
- как легко и просто потерять свои данные
- как выбрать паттерн коммуникации между микросервисами, чтобы разработчики были несчастны
Доклад является языком/технологически независимым, то есть подобные проблемы могут возникать на проекте с любым стеком.
Как перестать хранить секреты в git и начать использовать Hashicorp VaultOleg Mykolaichenko
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрения Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать ...Fwdays
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрению Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
24.10.2015 года “Компания" подверглась хакерской атаке, в процессе расследования этого инцидента, была выявлена подобная активность злоумышленников и на другие предприятия в масштабах Украины, проанализированы методы и тактика проникновения в инфраструктуру жертвы. Результаты данного расследования будут освещены в докладе.
В этом докладе рассмотрен опыт NetCracker по выбору инструмента для изучения причин проблем производительности.
Рассмотрены критерии по которым не подошли имеющиеся инструменты и показаны примеры того, чего не хватает при анализе результатов обычными профайлерами.
http://jokerconf.com/#sitnikov
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеPositive Hack Days
Ведущий: Евгений Колотинский
Device Fingerprinting (точнее – Browser Fingerprinting) является классическим способом опознавания пользователя и его устройства в интернете. Этот подход давно и успешно демонизируется борцами за сетевую анонимность. Тем не менее, мы будем говорить не только о темных сторонах Device Fingerprinting, но и о применении этой технологии для повышения надежности и качества обслуживания там, где это оправдано. Обязательно поговорим и о самих способах построения Fingerprint, о точности, надежности и устойчивости, а также о том, почему TOR Browser не всегда является лекарством против отслеживания, и о том, что анонимности в интернете на самом деле намного меньше, чем кажется.
SWIM — это протокол обнаружения и мониторинга узлов кластера, распространения событий и данных между ними. Протокол особенен своей легковесностью, децентрализованностью и независимостью скорости работы от размера кластера. Владислав рассказал о том, как устроен протокол SWIM, как и с какими расширениями он реализован в Tarantool.
В докладе мы рассмотрим наиболее распространенные проблемы реализации микросервисной архитектуры. На примерах разберем почему четкая постановка самой проблемы это уже половина решения. В ходе доклада мы коснемся таких проблем-ловушек:
- выбор неправильного технологического стека
- как запутаться в трех микросервисах при дебагинге
- как легко и просто потерять свои данные
- как выбрать паттерн коммуникации между микросервисами, чтобы разработчики были несчастны
Доклад является языком/технологически независимым, то есть подобные проблемы могут возникать на проекте с любым стеком.
Как перестать хранить секреты в git и начать использовать Hashicorp VaultOleg Mykolaichenko
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрения Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать ...Fwdays
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрению Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
Веб-уязвимости и безопасность данных:
- Почему важно понимать основы веб-разработки несмотря на стремительное развитие технологий
- Клиент-серверные взаимодействия и уязвимости HTTP протокола
- Как найти веб-уязвимости, а также самые распространенные ошибки веб-приложений
- Способы защиты данных и пользователей
- Использование man-in-the-middle, и почему нельзя доверять публичным Wi-Fi точкам доступа
Видео запись доклада https://www.youtube.com/watch?v=w0kMtXAQiaY
Примеры кода https://goo.gl/9DJI5c
Wi-Fi Protected Setup - Pixie Dust Attack. An offline bruteforce attack that leaves certain routers vulnerable. Works for Boardcom and Ralink chipset based Wi-Fi routers.
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
Безопасность в WordPress является очень важной темой при создании вашего интернет проекта, и в этом докладе мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.
http://wpmag.ru/2013/osnovyi-bezopasnosti-wordpress/
28.08 Как COVID-19 помогает безопасности земных инсталляции Jirа, продуктов A...Gonchik Tsymzhitov
Всем привет!
На этой встрече Гончик Цымжитов рассказал, как COVID-19 повлиял на установку и конфигурацию продуктов Atlassian.
Вот план выступления:
1 . Обзор изменений на уровне экосистемы Atlassian (security mail list, dashboards, etc)
2. Баг баунти программа в MarketPlace
3. Тенденции обновления инстансов в зоне ru (маленький график)
4. Рекомендации и обсуждении проблем безопасности Jira & Confluence
Аварийное завершение приложения — более чем неприятная ситуация. Особенно неприятно, если она случается уже на устройстве пользователя, когда нет возможности запустить отладчик и найти проблему. Тут и приходят на помощь разработчику системы отправки и анализа отчетов о падениях и техники postmortem debugging'а. Поговорим о существующих системах аналитики крэшей и чем они полезны для C++ разработчика.
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
Антивирусная система Яндекса ежедневно обнаруживает тысячи взломанных сайтов. Периодически среди них встречаются крупные и известные интернет-ресурсы.
Администраторы сайтов часто оказываются не готовы к тому, что злоумышленник может пробраться через внешний периметр и исполнить произвольный код на стороне сервера. В результате перед ними встаёт нелегкая задача: обнаружить последствия и предотвратить дальнейшие проблемы.
Доклад посвящён практикам и инструментам, которые могут существенно повысить эффективность противодействия вредоносной активности, и профилактике её возникновения.
Graal, Truffle, SubstrateVM and other perks: what are those and why do you ne...Oleg Chirukhin
GraalVM is a universal virtual machine for running applications written in JVM-based languages (Java, Scala, Clojure, Kotlin), JavaScript, Python, Ruby, R, and LLVM-based languages such as C and C++.
Quite often research projects look like something out of the world, something you won’t probably use in real life. Graal changes the picture: it took the stage out of the blue, and not as a newbie, but as a mature competitor. In this talk, we’ll look at what Graal consists of and what practical use you can get from it right now.
We’ll talk about GraalVM components:
Graal Compiler – an optimizing compiler that supports both dynamic and static compilation and can integrate with the Java HotSpot VM or run standalone. We’ll see how to run existing applications, and what benefit (in numbers) it can bring.
Substrate VM — a framework for ahead-of-time (AOT) compilation into executable images or shared objects. It sounds like a most radical and cheating optimization because it works the way no one else can (under closed-world assumption).
Truffle – language implementation framework for creating languages and instrumentations for GraalVM. Language design is a very complex field, so here we’ll focus on existing languages from GraalVM distribution.
KAZOOMEETUP MOSCOW 2015. Владимир Потапьев. Обзор приложения Circlemaker (RAD...SIPLABS Communications
Презентация с KAZOOMEETUP MOSCOW 2015. Владимир Потапьев, SIPLABS. Обзор приложения Circlemaker и интеграции KAZOO с биллинговыми системами посредством RADIUS.
Особенности использования машинного обучения при защите от DDoS-атакQrator Labs
В докладе мы взглянем на проблему DDOS, с одной стороны, более широко — как на проблему обеспечения доступности ресурса, с другой стороны более конкретно — как на проблему информационной безопасности.
Поговорим о том, как автоматизировать борьбу с DDOS-атаками при помощи машинного обучения, и чем такая автоматизация может быть опасна.
Наконец, рассмотрим пару примеров и обсудим, с чего начинать строить систему защиты от DDOS.
C++/CLI Now Supported in PVS-Studio and CppCatAndrey Karpov
Supporting C++/CLI projects has never been a first-priority target in PVS-Studio and CppCat. Such projects are pretty few, but we still happen on them from time to time. The Microsoft company is not going to stop supporting the C++/CLI language for now, so we decided we should add support for this language specification too.
QA Automation Battle: Java vs Python vs Ruby [09.04.2015]GoIT
09.04.2015 участники встречи, посвященной переходу в QA Automation от проекта GoIT, узнали:
+ В чём разница между QA Manual и Automation и кто в чём хорош?
+ Зачем тестировщику знать язык программирования?
+ Как мануальщику переходить в Automation? Что учить?
+ Какие нюансы стоит учесть при выборе языка?
+ Почему важно занять своё место в команде?
Спикерами выступили:
Кирилл Звягинцев (Python) – больше 4х лет опыта работы QA в компаниях: Lognet , Ciklum и SPS Commerce.
Александр Микитенко (Ruby) – Senior AQA engineer в Toptal.
Виктор Журбенко (Java) – QA Lead в Infopulse.
5. Рекомендованы к прочтению
Mastering Kali Linux for Advanced Penetration Testing
http://www.amazon.com/Mastering-Linux-Advanced-Penetration-Testing/dp/1782163123
Professional Penetration Testing / Creating And Operating a
Formal Hacking Lab / 2 ed.
http://www.amazon.com/Professional-Penetration-Testing-Second-Edition/dp/1597499935
6. Рекомендованы к прочтению
Google hacking for penetration testers / Volume 2
http://www.amazon.com/Google-Hacking-Penetration-Testers-Johnny/dp/1597491764
The Hacker Playbook: Practical Guide To Penetration Testing
http://www.amazon.com/The-Hacker-Playbook-Practical-Penetration/dp/1494932636
7. Рекомендованы к прочтению
Metasploit / The Penetration Tester's Guide
http://www.amazon.com/Metasploit-Penetration-Testers-David-Kennedy/dp/159327288X
Black Hat Python: Python Programming for Hackers and
Pentesters
http://www.amazon.com/Black-Hat-Python-Programming-Pentesters/dp/1593275900
9. Практика [Offline]
Samurai Web Testing Framework
http://www.samurai-wtf.org/
LAMPSecurity Training
http://sourceforge.net/projects/lampsecurity/files/CaptureTheFlag/
PentesterLab
https://www.pentesterlab.com/
15. Рекомендованы к прочтению
The Web Application Hacker's Handbook: Finding and
Exploiting Security Flaws / 2nd Edition
http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/1118026470
Web Penetration Testing with Kali Linux / 2nd Edition
http://www.amazon.com/Web-Penetration-Testing-Kali-Linux/dp/1783988525
16. Рекомендованы к прочтению
Python Web Penetration Testing Cookbook
http://www.amazon.com/Python-Web-Penetration-Testing-Cookbook/dp/1784392936
OWASP Testing Guide v4
https://www.owasp.org/index.php/OWASP_Testing_Project
22. Рекомендованы к прочтению
Writing Secure Code / 2nd Edition
http://www.amazon.com/Writing-Secure-Edition-Developer-Practices/dp/0735617228
A Bug Hunter's Diary: A Guided Tour Through the Wilds of
Software Security
http://www.amazon.com/Bug-Hunters-Diary-Software-Security/dp/1593273851
23. Рекомендованы к прочтению
24 смертных греха компьютерной безопасности
http://www.ozon.ru/context/detail/id/5238324/
OWASP CODE REVIEW GUIDE
https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
24. Рекомендованы к прочтению
Нарваха Рикардо. Введение в крэкинг с нуля, используя
OllyDbg
http://www.twirpx.com/file/820236/
Reversing: Secrets of Reverse Engineering
http://www.amazon.com/Reversing-Secrets-Engineering-Eldad-Eilam/dp/0764574817
30. Играйте в CTF
CTF (capture the flag) - игра, целью которой является захват флага и его
транспортировка на территорию противника.
Task-Based / Jeopardy Classic / Attack-Defence
CTFTime - сайт, на котором можно зарегистрировать свою команду, участвовать
в различных CTF по всему миру, создавая тем самым рейтинг команды.
https://ctftime.org/