👨🏻‍💻 30 ресурсов по безопасности, которые точно пригодятся

По мере развития индустрии специалисты по безопасности черпают все новую и новую информацию. Но как понять, что знаний достаточно? Приведенные ниже ресурсы являются своего рода стартовым набором для специалистов, которые хотят писать более безопасный код и научиться выявлять уязвимости, прежде чем код перейдет в продакшн.

💻 Основы безопасности приложений (AppSec)

The Basics of Web Application Security
В этой статье Кейд Кэрнс из ThoughtWorks и Дэниел Сомерфилд из New Relic описали восемь фишек безопасности при создании веб-приложений.

Security and Identity – Google’s Web Fundamentals
Эта статья поможет понять и разобраться в HTTPS и CSP, а также узнать, как определить, был ли взломан ваш сайт, и что с этим делать.

What should every programmer know about security?
Ответ на этот вопрос размещен на Stack Overflow. Он дает хорошую базу знаний в области ключевых принципов безопасности. Это такие принципы, как: не доверять никакому входному сигналу, использовать глубокую защиту, придерживаться принципа наименьших привилегий и использовать моделирование угрозы. В ответах также есть списки книг и учебных курсов.

Security by Design Principles - OWASP
Сообщество Open Web Application Security Project (OWASP) создало этот ресурс, чтобы специалисты могли получить рекомендации, необходимые для создания безопасных приложений на этапе проектирования. Там можно найти ключевые принципы безопасности, их определения и примеры, узнать о десяти самых распространенных угрозах на сегодняшний день.

Writing Security Code
Эта часто рекомендуемая книга была написана специалистами по безопасности Microsoft Майклом Ховардом и Дэвидом Лебланом. Наряду с методами безопасного кодирования, книга охватывает следующие темы:
▪️ моделирование угроз
▪️ проектирование процесса безопасности
▪️ международные вопросы безопасности
▪️ вопросы файловой системы
▪️ добавление конфиденциальности к приложениям
▪️ исследование кода безопасности
Джим Берд, технический директор BIDS Trading Technologies, говорит, что хоть книге и 15 лет, но основы безопасности программного обеспечения остаются неизменными.

#полезные_ссылки #компьютерная_безопасность #программирование

📝 Безопасность всего цикла написания кода

DevOpsSec
Базовые знания безопасного кодирования безусловно важны, но также нужно знать, какие инструменты и процессы могут обеспечить безопасность кода на протяжении всего жизненного цикла разработки программного обеспечения. Эта книга от BIDS Trading Technologies' Bird даст ясную практическую картину нескольких современных цепочек безопасного жизненного цикла и процессов, вдохновленных Etsy, Netflix и другими технически сильными, очень успешными компаниями.

Agile Application Security
Эта книга написана Лауром Белом, Ричем Смитом, Майклом Брунтоном-Споллом и Джимом Бердом. Она расширяет темы, описанные в книге DevSecOps, которая готовит специалистов ко многим техническим и организационным проблемам, с которыми они могут столкнуться при создании безопасного ПО.

OWASP Code Review Project
Проверка кода - важный шаг в обнаружении уязвимостей системы безопасности. Изучение того, как искать эти самые уязвимости, повысит шансы разработчиков избегать подобных ошибок.

👺 Моделирование угроз

How I learned to stop worrying (mostly) and love my threat model
Моделирование угроз - это то, что могут понять даже гуманитарии, работающие в Вашей организации. Шон Галлахер, редактор по информационной безопасности в Ars Technica, написал эту статью, чтобы каждый мог смоделировать конкретные ситуации.

OWASP Application Threat Modeling
OWASP Application Threat Modeling - это ресурс моделирования угроз. Он работает в три этапа:
▪️анализ приложения
▪️ определение степени угрозы
▪️определение мер устранения или смягчения проблемы.
Джоанна Куриэль, специалист по безопасности приложений в банковской сфере, рекомендует OWASP, так как ресурс охватывает широкий спектр тем в области безопасности: безопасность PHP, защита iOS и Android, XML, saml и многое другое.

Developer-Driven Threat Modeling
В статье Дэнни Диллона, главного специалиста по безопасности EMC, объясняется, почему разработчикам необходимо пользоваться моделированием угроз. Автор описывает уникальный подход EMC к этому делу и объясняет, почему этот процесс должен быть полезен даже инженерам-программистам, у которых нет опыта в области безопасности.

Threat Modeling for Applications
Адам Каудилл, консультант по безопасности, описывает упрощенный процесс моделирования угроз, который можно быстро и легко задокументировать.

#полезные_ссылки #компьютерная_безопасность #программирование #уязвимости #хакинг #hack #безопасность

🔑 Защитное программирование

Defensive Programming
Защитное программирование – методика разработки ПО, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Эта статья рассматривает историю этого термина и анализирует проблемы защитного программирования.

The Defensive Coding Guide
Гайд по защитному программированию с примерами на C, C++, Java, Python, Shell/Bash, Go и Vala. Руководство от Red Hat также включает в себя инструкции о том, как реализовать, например, аутентификацию и авторизацию.

The Secure Coding Guide
Apple ориентирует этот ресурс на разработчиков iOS и mac OS. Тем не менее, здесь собрано довольно много универсальных советов. Некоторые из разделов акцентируют внимание на важности безопасности, избегании общих уязвимостей и проектировании безопасного пользовательского интерфейса.

The Art of Defensive Programming
Диего Мариани – инженер-программист на сайте Busuu. Он совмещает несколько старых и современных идей о защитном программировании в короткую статью с примерами из PHP. В статье также рассматриваются ключевые моменты небезопасного защитного программирования.

#полезные_ссылки #компьютерная_безопасность #программирование #уязвимости #хакинг #hack #безопасность

🔗 Как анонимайзеры обеспечивают анонимность в Интернете?

клиент 🔁анонимайзер 🔁 cайт 

Анонимайзер изменяет IP-адрес пользователя без необходимости шифрования онлайн-трафика. Он (веб-прокси) скрывает ваш IP-адрес, выступая в роли посредника между вашим компьютером и веб-сайтом, к которому вы хотите получить доступ. Ваш компьютер запросит доступ к веб-сайту через прокси, после чего он пройдет процесс фильтрации.

После завершения процесса запрос перейдет к веб-источнику. Как только сайт получит ответ, он будет перенаправлен обратно на ваш компьютер, что позволит вам просмотреть целевой сайт.

Это позволяет пользователю анонимно просматривать сайты, что затрудняет получение информации о вашей активности в Интернете. Использование анонимайзеров позволит пользователю получить доступ к сайтам, которые по определенным причинам заблокированы в вашей стране, но не всем.

http://2ip.ru/anonim/
https://webvpn.org/
http://www.proxya.ru/
http://anonymouse.org/
https://www.croxyproxy.com/
https://zend2.com/
http://www.unblockyouku.com/
https://proxysite.cloud/
https://unblockproxy.me/
https://www.vpnbook.com/webproxy
https://www.my-proxy.com/
https://www.megaproxy.com.ar/en/
https://www.proxfree.com/
https://freeproxy.win/
https://weboproxy.com/
https://www.genmirror.com/

❗️ Важные нюансы при использовании анонимайзеров:
▪️ Они предлагают только самую базовую защиту пользователя
▪️ Не все сайты можно разблокировать
▪️ Ограниченная пропускная способность
▪️ Могут быть визуальные искажения веб-ресурсов (последствия отказа от JavaScript и др.)
▪️ Важно знать, что даже самые лучшие бесплатные прокси-сайты уступают виртуальным частным сетям (VPN) в планах защиты, а зачастую и производительности.

Если вам нужна надежная защита от хакеров, вредоносных программ и мониторинга, возможно, вам стоит выбрать премиальный VPN.

#полезные_ссылки #web #анонимность #безопасность

🔐 В чем отличие между анонимайзером и VPN?

И анонимайзер, и VPN обеспечивают конфиденциальность пользователей, однако анонимайзер отличается от виртуальной частной сети (VPN) принципом работы.

VPN – это целая сеть, которая шифрует ваш трафик. При подключении к VPN вы подключаетесь к сети, и при подключении к определенной сети VPN у людей становится единым IP-адрес – IP-адрес этой сети, что может вызвать определенные проблемы, особенно в работе с различными онлайн-сервисами.

Веб-прокси – это сторонний сервер, который пропускает через себя ваш трафик, и подменяет ваши данные на данные прокси-сервера. Чтобы использовать анонимайзер, не нужно устанавливать на ваше устройство дополнительное ПО, достаточно зайти на сайт анонимайзера, ввести целевую страницу в специальном поле – и вы анонимно посетите сайт, который хотите. Помимо того, в современных анонимайзерах доступны дополнительные опции, такие как отключение скриптов на сайтах и др.

Существует множество бесплатных VPN. Премиальные VPN стоят порядка 10$ в месяц, а при покупке на 2 года цена в 1 месяц снижается до 3$-4$. Анонимайзеры же в большинстве своем бесплатные. Но, как говорится: «Вы получаете то, за что платите». Прокси-сайты не будут шифровать ваш трафик, как это делает VPN.

Некоторые веб-прокси-серверы являются платными. Платные анонимайзеры предлагают лучшее качество защиты. Более дорогие сервисы могут сжимать трафик, кэшировать файлы и даже блокировать назойливую рекламу. Если все, что вам нужно – это замаскировать свою личность в сети или незаметно попасть на
заблокированный сайт, вы можете выбрать предназначенный для этого сервис из списка анонимайзеров.

VPN (Virtual Private Network) — переводится как виртуальная частная сеть и выполняет функции частной сети в прямом смысле слова. Несмотря на популярность VPN как сервиса для обхода блокировок, первоначальная задача — построение корпоративных сетей.

▪️Как создать и настроить свой VPN-сервер
▪️7 лучших бесплатных VPN-сервисов для компьютеров и смартфонов
▪️Создаем свой VPN-сервер. Пошаговая инструкция
▪️Как создать собственный VPN-сервер на Windows, iOS и macOS
▪️Как сделать свой VPN сервер за 200 рублей в месяц, который не забанит Роскомнадзор
▪️Делаем собственный VPN за 30 минут: пошаговая инструкция для новичков
▪️Как создать VPN сервер в Windows без использования сторонних программ
▪️Гайд: Свой собственный L2TP VPN
▪️Создаём собственный VPN сервис на базе VPS сервера

#полезные_ссылки #web #анонимность #безопасность

📝 Как скопировать защищенный текст с сайта – 4 способа

▪️ Способ 1 – Ctrl + U
Защита от копирования в Интернете всегда делается однотипно – пользователю запрещается при чтении пользоваться правой кнопкой мыши и контекстным меню, выделять и копировать. Запреты реализуются при помощи JavaScript или атрибутов тега <body>. Некоторые оригиналы используют специальные стили CSS, которые запрещают выделение (но не копирование) на странице.

Самое простое действие – вызвать HTML-код комбинацией клавиш «Ctrl + U» (в тексте приводятся только комбинации клавиш, т.к. они являются универсальными. Действия, описанные с применением hot key, могут быть выполнены и при помощи меню браузеров). Работает всегда и покажет текст страницы вместе с разметкой и кодом скриптов. После этого достаточно найти нужное место, выделить, скопировать в текстовый редактор и очистить текст. Данный способ идеально подходит для копирования 1-2 предложений.

▪️ Способ 2 – Ctrl + P или версия страницы для печати
В данном случае получить защищенный текст можно, вызвав версию страницы для печати комбинацией клавиш «Ctrl + P». Работает в Chrome и ему подобных (Яндекс.Браузер, например) и в Opera. При этом будет показан упрощенный документ, в котором можно выделить и скопировать содержимое. Получить чистую копию можно и в Firefox, и в Internet Explorer. При нажатии «Ctrl + S» браузер предложит разные варианты сохранения. Выбирая «текстовый документ» получим файл, в котором нет тегов форматирования. Пользователям Firefox будет удобнее, поскольку в этом браузере сохранение уберет лишние символы полностью, а в IE может остаться код JavaScript.

▪️ Способ 3 – отключить JavaScript
Популярный способ обхода защиты от копирования – отключить выполнение JavaScript в настройках браузера. Но при этом отключится все активное содержимое, а не только скрипт, защищающий текст, и все «красивости» сайта станут недоступны. А если копирование закрывается через тег <body>, то убрать ограничения не получится. Например, в браузере Chrome это можно сделать через настройки сайта.

▪️ Способ 4 – спец расширения для браузера, которые снимают всю защиту от копирования онлайн и в 1 клик. Кроме того, существуют специальные расширения для браузеров, которые возвращают весь функционал, закрытый через JavaScript или тег <body>. Например, дополнение Absolute Enable Right Click & Copy позволяет игнорировать запреты на выделение и выключает предупреждение о невозможности скопировать содержимое страницы. Все что нужно сделать, это установить расширение в ваш браузер, перейдя по ссылке выше. После в правом верхнем углу браузера появится иконка в виде курсора мыши. Нажав на которую вы увидите всего 2 настройки:
“Enable Copy” – отключает защиту от копирования на любом сайте.
“Absolute Mode” – отключает вообще всю защиту от копирования контента.

▪️ Помимо ручных способов получения текстового контента с сайта есть еще и программные решения. Дело все в том, что все защиты рассчитаны на действия пользователя, а от автоматической обработки не спасают. Можно получить текст при помощи одного из специальных сайтов-парсеров, которых много в Интернете.
#полезные_ссылки #web #лайфхаки #безопасность #html #css #javascript

🔐 Как эффективно защитить текст на сайте
Ценность текстовой информации пытаются охранять и беречь, защищая от копирования. Но технология защиты однообразна и не совершенна и обойти ее, как мы уже выяснили выше, можно «в два клика». Вместо физических ограничений копирования лучше озаботиться публичным фиксированием своих авторских прав.

1. Инструменты веб-мастеров в Яндекс или Google
С помощью инструментов веб-мастера в Яндекс или Google можно закрепить авторство оригинала до его публикации в Интернете.
На данный момент заявить оригинальный текст можно только в Яндекс.Вебмастер в разделе “Информация на сайте” → “оригинальные тексты”.
Google рекомендует сразу после создания новой страницы на сайте отправлять ее на индексацию в Google Search Console. А при плагиате вашего контента подавать жалобы в DMCA.

2. Автоматическая ссылка на источник при копировании
Другой вариант – заявить о своих правах в уже скопированном тексте при помощи нескольких строк кода на JavaScript, которые добавят к содержимому информацию об источнике (на каком сайте опубликован, кто автор и т.д.)

К примеру, попробуйте скопировать текст с этого сайта. Как вы, наверное, заметили в конце скопированного текста появиться ссылка на источник (эту статью). Такая защита эффективна в первую очередь от ботов, которые собирают контент для сайтов с автоматических наполнением. На сайте WordPress данную функцию можно активировать в 1 клик с помощью плагина Clearfy Pro. Плюс к этому данный плагин решает еще кучу “болячек” вордпресс – рекомендуем!

#полезные_ссылки #web #лайфхаки #безопасность #html #css #javascript

💵 Что такое “Dark Money” ? 💶

Интернет-форум под названием “Dark Money” является сайтом-посредником для желающих обналичить, обменять теневые деньги или произвести какие-либо другие операции. На данном сайте обмениваются услугами, запрещенными законом Российской Федерации. Баннеры на главной странице оповещают посетителей о видах заработка, которыми занимаются владельцы форума: регистрацией под заказ фирм в различных странах, продажей дебетовых карт, ложных документов и именных карт электронных кошельков.

WEB: https://darkmoney.lc/
У форума есть зеркало в Тор: http://darkmonn6oy55o7kgmwr4jny2gi2zj6hyalzcjgl444dvpalannl5jid.onion/

На форуме “Dark Money” продают схемы грязного заработка и курсы по соответствующему бизнесу. Также оговаривается, что администрация не несет финансовой ответственности за работу модераторов, продавцов и покупателей.

🔺 Разумеется, ссылки предоставлены для исследования то, на что способны мошенники. Администрация канала не пропагандирует мошенничество и нелегальный доход.

#полезные_ссылки #лайфхаки

🧬 Onion сайты — Топ 10

Флибуста - Название знают многие – знаменитая электронная библиотека. Этот сайт – ее зеркало, только в «луковом» варианте. Язык – русский.

CrypTor - сервис обмена временными сообщениями анонимно и бесплатно.

not Evil - Аналог поиска от корпорации добра в сети тор. Никакой рекламы и отслеживания — просто поиск.

TORCH - удобный поисковый ресурс для сети Tor. Хранит более полумиллиона страниц, изредка подвисает и зарабатывает на рекламе onion сайтов, качество которых часто вызывает сомнения.

Anthill - Рынок в сети тор. Проверьте, что скрывается за формой регистрации.

Runion - Форум а-ля торговая площадка. Говорят, что здесь можно купить даже ответы к ЕГЭ.

Lookonion - Поисковик в русском TOR

Matrix Image Uploader - Анонимное хранилище картинок в тор сети.

Tor Wiki - Перечень Tor-ссылок с пометками о надежности. Полезно заглянуть сюда перед заказом услуг на том или ином сайте. Ресурсы, отмеченные тегом [SCAM], принадлежат мошенникам.

Facebook Onion - хорошо известная социальная сеть в луковом пространстве. Если кто-то задумал создать себе в сети Интернет альтер эго, то лучше всего сделать это здесь.

#полезные_ссылки #web

👨🏻‍💻 Большая подборка ресурсов для поиска человека в социальных сетях

Далее будет подборка OSINT ресурсов, благодаря которым вы сможете найти нужную информацию о цели в социальных сетях.

Поиск человека по аккаунту ВКонтакте:
• searchlikes.ru • tutnaidut.com • 220vk.com • vk5.city4me.com • vk.watch • vk-photo.xyz • vk-express.ru • archive.org • yasiv.com • archive.is • yzad.ru • vkdia.com

Поиск человека по Twitter аккаунту:
• followerwonk.com • sleepingtime.org • foller.me • socialbearing.com • keyhole.co • analytics.mentionmapp.com • burrrd.com • keitharm.me • archive.org • undelete.news

Поиск человека по Facebook аккаунту:
• graph.tips • whopostedwhat.com • lookup-id.com • keyhole.co • archive.org

Поиск человека по Instagram аккаунту:
• gramfly.com • storiesig.com • codeofaninja.com • sometag.org • keyhole.co • archive.org • undelete.news

Поиск человека по Reddit аккаунту:
• snoopsnoo.com • redditinsight.com • redditinvestigator.com • archive.org • redditcommentsearch.com

Поиск человека по Skype
• mostwantedhf.info • cyber-hub.pw • webresolver.nl

💡 Есть что добавить? Напишите в комментариях.

#полезные_ссылки #hack

👨🏻‍💻 Большая подборка ресурсов для поиска человека в социальных сетях

Далее будет подборка OSINT ресурсов, благодаря которым вы сможете найти нужную информацию о цели в социальных сетях.

Поиск человека по аккаунту ВКонтакте:
• searchlikes.ru • tutnaidut.com • 220vk.com • vk5.city4me.com • vk.watch • vk-photo.xyz • vk-express.ru • archive.org • yasiv.com • archive.is • yzad.ru • vkdia.com

Поиск человека по Twitter аккаунту:
• followerwonk.com • sleepingtime.org • foller.me • socialbearing.com • keyhole.co • analytics.mentionmapp.com • burrrd.com • keitharm.me • archive.org • undelete.news

Поиск человека по Facebook аккаунту:
• graph.tips • whopostedwhat.com • lookup-id.com • keyhole.co • archive.org

Поиск человека по Instagram аккаунту:
• gramfly.com • storiesig.com • codeofaninja.com • sometag.org • keyhole.co • archive.org • undelete.news

Поиск человека по Reddit аккаунту:
• snoopsnoo.com • redditinsight.com • redditinvestigator.com • archive.org • redditcommentsearch.com

Поиск человека по Skype
• mostwantedhf.info • cyber-hub.pw • webresolver.nl

💡 Есть что добавить? Напишите в комментариях.

#полезные_ссылки #hack