ИБ-специалисты обнародовали proof-of-concept (PoC) эксплоит, который объединяет в себе исправленную критическую уязвимость в Mitel MiCollab и 0-day проблему произвольного чтения файлов. В итоге злоумышленник может получить доступ к файлам на сервере.
Привет! Я Лев Хакимов — техлид команды безопасности в Wildberries, а в прошлом — DevOps (хотя говорят, что бывших DevOps не бывает). А ещё я — организатор VrnCTF, CentralCTF, кубка CTF, MiaCTF, OmCTF. Автор дисциплин DevOps в ВГУ и ИТМО. В этой статье: расскажу про Jenkins и его экосистему (для тех, у кого Jenkins нет, […]
Попробуйте найти минимальное количество DDoS-атак, которое нужно выполнить, чтобы найти предел устойчивости сервера. Условие Инженер отдела информационной безопасности Иван разработал новую систему защиты от DDoS-атак. Ему выдали два сервера для тестов. На каждый из них Иван может отправить одновременно от 1 000 до 100 000 запросов (их количество всегда кратно тысяче). Если их окажется слишком […]
Современные киберугрозы становятся все более сложными и изощренными, поэтому для стабильной работы организация уже не может обойтись без новейших методов защиты. Долгое время считалось, что для обеспечения безопасности веб-приложений вполне достаточно использования WAF (Web Application Firewall). Однако стремительный рост числа API и увеличивающееся количество угроз заставили пересмотреть этот подход. Многие компании столкнулись с тем, что […]
Почему фальшивые отчеты об уязвимостях опаснее, чем думают разработчики?
Раздаем доп баунти 🤑 За уязвимости Подвозим первые новогодние подарки — доп выплаты самым быстрым багхантерам: • за Critical — стандартно до 500к + 200к сверху • High — до 150к + 100к сверху • и Medium — до 50к + 50к сверху Участвуют первые 9 валидных отчетов, по 3 на каждый уровень соответственно. Доп […]
Осенний Standoff стал одним из самых масштабных киберсражений за всю свою историю с точки зрения международного участия. 62 команды исследователей безопасности из 20 стран Азии, Африки и Европы тестировали защищенность четырех отраслей: энергетики, нефтегаза, финансов и сферы ИТ. Соревнование вышло очень зрелищным и результативным: атакующим удалось обнаружить в полтора раза больше уязвимостей, чем на Standoff […]
Кто возглавил тройку лидеров Standoff 14?
Компания Zabbix предупредила о критической уязвимости высокой степени опасности в своём решении с открытым исходным кодом для мониторинга корпоративных сетей, которая может позволить злоумышленникам внедрять произвольные SQL-запросы и скомпрометировать данные или систему. Читать далее