oauth2security.pdf
802.1 KB
Чеклист уязвимостей, быстрые признаки и инструменты — PKCE, JWT, redirect_uri, CORS, хранение токенов.
Сейчас на курсы Proglib действует −40%
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰2
CISA добавила свежую уязвимость —
CVE-2025-54253 — в каталог активно эксплуатируемых. Под угрозой: AEM 6.5.23 и старше.— AEM используют крупные компании, часто даже не зная о риске.
— Попадание в KEV каталог = эксплуатируется уже сейчас.
— RCE в AEM → доступ к файлам, данным и учёткам.
1. Проверить версию AEM (всё до 6.5.23 — под угрозой)
2. Установить патч или обновиться
3. Проверить логи на подозрительную активность
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1
SSRF →
169.254.169.254 → временный IAM-токен → S3 с дампом. Казалось бы, учебник, но автор говорит: это случилось у них на staging и почти стоило компании утечки в проде.Мы нашли баг в одном вспомогательном эндпоинте — он принимал URL и делал fetch. На staging никто не думал, что это опасно. Во время теста security-команда пробросила SSRF и получила ответ от 169.254.169.254 с временным токеном роли инстанса. С этим токеном легко списали объекты из S3-бакета, где лежали конфиги и бэкапы DB. К счастью, это был staging, но в логах были следы запросов с IP внешнего сканера — ясно, что в проде сценарий бы сработал так же. Мы закрыли эндпоинт, обязали IMDSv2 и запретили роль инстанса для приложений, которые её не требуют — но урок горький.
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🤔2
Тул для извлечения локально сохранённых данных из профиля Google Chrome — логины, пароли, cookies и история. Предназначен для легального тестирования безопасности и демонстрации рисков хранения данных в браузере.
— скан профиля,
— экспорт логинов/сессий,
— отчёт для офлайн-аналитики.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🥰2🔥1
Добавлены новые модули: SQLi для FreePBX (CVE-2025-57819) и модуль персистенции через systemd-override (требует прав root).
Выпуск Professional/Community 2025.10: улучшения фильтрации HTTP-history, обновления Montoya API, улучшения UI sitemap и массовое копирование столбцов.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
🔥 Когда понимаешь SOLID — жизнь становится проще
В октябре действует скидка 40% на все курсы от Proglib Academy, включая интенсив «Архитектуры и шаблоны проектирования»
📘 На интенсиве ты:
— разберёшься, как проектировать приложения, которые не ломаются при каждом изменении;
— освоишь SOLID-принципы, IoC, адаптеры и фабрики;
— научишься строить масштабируемые архитектуры;
— создашь собственную игру «Звёздные войны».
👨💻 Примеры кода на C#, Java, Python, PHP, C++ и JavaScript. Главное — понимать принципы, а не язык.
Преподаватель — Евгений Тюменцев, директор компании HWdTech, разрабатывал многопоточные кроссплатформенные приложения для IBM Watson.
📆 Формат: онлайн, 1 месяц.
📚 9 лекций + 2 бонусных занятия + практика.
Интенсив подойдёт джунам, которые хотят апнуться до мидла, и мидлам, мечтающим о роли архитектора.
👉 Переходи к курсам со скидкой 40%
В октябре действует скидка 40% на все курсы от Proglib Academy, включая интенсив «Архитектуры и шаблоны проектирования»
📘 На интенсиве ты:
— разберёшься, как проектировать приложения, которые не ломаются при каждом изменении;
— освоишь SOLID-принципы, IoC, адаптеры и фабрики;
— научишься строить масштабируемые архитектуры;
— создашь собственную игру «Звёздные войны».
👨💻 Примеры кода на C#, Java, Python, PHP, C++ и JavaScript. Главное — понимать принципы, а не язык.
Преподаватель — Евгений Тюменцев, директор компании HWdTech, разрабатывал многопоточные кроссплатформенные приложения для IBM Watson.
📆 Формат: онлайн, 1 месяц.
📚 9 лекций + 2 бонусных занятия + практика.
Интенсив подойдёт джунам, которые хотят апнуться до мидла, и мидлам, мечтающим о роли архитектора.
👉 Переходи к курсам со скидкой 40%
🥰2
Компрометация пайплайна позволяет злоумышленнику внедрить вредоносный образ и распространить его в production.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1