Если ваше новогоднее желание – найти новую работу в 2025 году, то у нас для вас отличные новости!
⚡️ Мы ищем в команду аналитиков, аппсекеров, разработчиков и даже руководителя направления:
🔹 Младший аналитик SOC (L1)
🔹 Аналитик SOC (L2)
🔹 Аналитик SOC (L3)
🔹 Offensive Application Security Engineer
🔹 Аналитик информационной безопасности (VK ID)
🔹 Golang Developer (команда «Антиробот»)
🔹 AppWebSec (RuStore)
🔹 Руководитель направления защиты данных
Вы можете еще успеть отправить ваши резюме до 28 декабря напрямую нашему рекрутеру Анастасии (@lisenkova_a) 🙋♀️ или сразу после каникул – 9 января. А если вдруг решитесь на перемены во время январских выходных, то закидывайте ваши резюме через сайт.🖥
🦄 В общем, отличный шанс как для тех, кто любит не откладывать на потом, так и для тех, кто любит все взвесить и потюнить свое резюме в свободное время.
VK Security
#вакансии #работа #ибvk
🔹 Младший аналитик SOC (L1)
🔹 Аналитик SOC (L2)
🔹 Аналитик SOC (L3)
🔹 Offensive Application Security Engineer
🔹 Аналитик информационной безопасности (VK ID)
🔹 Golang Developer (команда «Антиробот»)
🔹 AppWebSec (RuStore)
🔹 Руководитель направления защиты данных
Вы можете еще успеть отправить ваши резюме до 28 декабря напрямую нашему рекрутеру Анастасии (@lisenkova_a) 🙋♀️ или сразу после каникул – 9 января. А если вдруг решитесь на перемены во время январских выходных, то закидывайте ваши резюме через сайт.
VK Security
#вакансии #работа #ибvk
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥8👍5⚡1
Последний рабочий день в 2024 году потихоньку заканчивается, а это значит, что уже совсем скоро будет много свободных деньков, когда можно… например, пересмотреть и переслушать доклады с нашей конференции VK Security Confab Max!
Смотрите в📱 VK Видео плей-лист со всеми записями докладов.
✉️ Если после просмотра возникнут вопросы к спикерам, пишите их в комментариях к этому посту – постараемся вернуться с ответами.
VK Security
#confab #max #доклады #конференцияVK
Смотрите в
VK Security
#confab #max #доклады #конференцияVK
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20🔥11👍5✍2
Ну что ж, вот и наступило 31 декабря – поздравляем, 2024 год почти все, а завтра мы проснемся уже в новом году! 🎉
Пусть 2025 год принесет вам много радости, успеха и новых открытий! Пусть он будет лучше прошлого года, хотя и 2024 давайте поблагодарим за все, что он нам дал и чему научил.👍
И да, все, что было нельзя трогать, теперь можно😏
Вот он Новый год, давайте праздновать!😎
VK Security
Пусть 2025 год принесет вам много радости, успеха и новых открытий! Пусть он будет лучше прошлого года, хотя и 2024 давайте поблагодарим за все, что он нам дал и чему научил.
И да, все, что было нельзя трогать, теперь можно
Вот он Новый год, давайте праздновать!
VK Security
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22🎉13👍5🤩4
Как проходят ваши новогодние выходные, что делаете?
Оставляйте реакции, если:
💯- доедаю оливье
🔥 - смотрю "Игру в кальмара"
🌚 - не трогайте меня, мне надо выспаться на год вперед
😎 - ищу баги в VK Bug Bounty
🎉 - веселюсь и праздную
VK Security
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚91🔥29🎉22😎17💯10😁3🏆2👨💻2
This media is not supported in your browser
VIEW IN TELEGRAM
Как команда антиспама Почта Mail борется со злоумышленниками?
🧠 ML и нейросети: регулярное обогащение ML-модели данными о новых паттернах поведения мошенников, а также обратный анализ заблокированного (проверяют, не было ли похожих обращений от злоумышленников в других сервисах VK)
🔎 Собственные OCR и краулеры для поиска фишинга в зашумленном контенте
🙌 Команда спам-аналитиков, которая дежурит и принимает меры по блокировке 24/7
✏️ Прямые обращения пользователей: здесь можно найти максимально свежие и уникальные примеры фишинга, которые в дальнейшем передаются на обучение ML-модели
А результат?
✔️ Удалось на 43,5% сократить общее количество спама с октября по декабрь 2024: благодаря усилению ИИ было заблокировано более 6,1 млрд писем со спамом и мошенничеством.
VK Security
#фишинг #почта #спам
А результат?
VK Security
#фишинг #почта #спам
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9🔥5❤3😁2👍1🤔1
Вместе с командой 💙 ID хотим подвести итоги 2024 года, рассказав, что делаем для защиты аккаунтов наших пользователей.
🖥 Читайте в карточках, какие процессы и фичи безопасности удалось нашей команде переосмыслить, разработать и интегрировать в продукты и сервисы экосистемы.
✏️ Пишите в комментариях, о чем хотелось бы узнать подробнее, и мы вернемся с комментариями наших экспертов.
💬 SDL
💬 Сервис системного инфообмена
💬 АБФ
💬 Ботнеты
🟢 Чекер паролей
VK Security
#фичибезопасности #процессы #итоги
VK Security
#фичибезопасности #процессы #итоги
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥7❤2🤪1
Почему у нас будет интересно DevOps-инженеру?
Наш стек технологий: Go, Kotlin, Rust, TeamCity/GitLab, PostgreSQL/ClickHouse, Kafka, Docker, One Cloud, Vector/Logstash
Подробнее 👉 в описании вакансии
VK Security
#вакансии #devops #soc
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍4😁3🎉2🤔1🤪1
(Безопасность + Скорость + Удобство) х Надежность = защита устройств с VKey
Разбираем подробно, что это такое и как работает:
⚙️ Для доступа к корпоративным сетям, облачным ресурсам и админкам, внедрили новый сервис VKey, который обеспечивает защищенное хранение в TPM/Secure Enclave/Yubikey, контроль жизненного цикла SSH сертификатов и их использование только на доверенных устройствах.
🔑 Что делает VKey:
➡️ генерирует SSH ключи в выбранном Keyring ➡️ проводит аттестацию ключей SSH (проверяет политики доступа к Keyring) ➡️ подписывает SSH ключи соответствующим CA по результатам аттестации.
А еще сервис позволяет:
🔘 входить по TouchID или ПИН-коду для TPM
🔘 ротировать пользовательские, машинные и СА сертификаты
🔘 снижает количество точек отказа – позволяет отказаться от бастион-хостов, снижая нагрузку на центральные сервисы
🔘 безопасно подключаться к удаленным машинам благодаря SSH agent-forwarding
🔘 масштабироваться и легко интегрироваться с другими сервисами (например, GitLab)
В карточках – схема архитектуры сервиса управления и описание, как происходит генерация SSH ключей.
💬 Пишите в комментариях, что еще хотите узнать про VKey.
VK Security
#vkey #разработка #endpoint
Разбираем подробно, что это такое и как работает:
А еще сервис позволяет:
В карточках – схема архитектуры сервиса управления и описание, как происходит генерация SSH ключей.
VK Security
#vkey #разработка #endpoint
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
✍5❤5🔥5
Новые CVE: что можно найти в Next.js
Разбираем вместе с Андреем Матвеенко из команды AppSec (ВКонтакте) и автором канала Blue (h/c)at Café нашумевшую и легкоэксплуатируемую уязвимость в Next.js.
Next.js использует два механизма для работы с данными: SSG (Static Site Generation) и SSR (Server-Side Rendering). SSG генерирует страницы на этапе сборки, которые потом кешируются CDN с использованием заголовков вроде
В отличие от SSG, SSR динамически создает контент на основе запроса пользователя и предполагает строгий контроль за кешированием (
🔹 Proof of Concept (PoC)
Уязвимость позволяет обмануть сервер, заставив его воспринимать SSR-запросы как SSG. Это достигается путем добавления параметра
После этого сервер начинает кешировать динамические данные, которые изначально не предназначались для кеша. Это может привести к отравлению кеша, когда пользователи начинают получать неверные данные. Более того, если сервер отражает данные из запроса, это открывает возможности для Stored XSS. Условный злоумышленник может отправить запрос с вредоносным кодом в заголовке, например:
После выполнения такого запроса вредоносный код будет сохранен в кеше и сработает при каждом посещении страницы.
Ссылка на PoC — тут.
Последствия эксплуатации:
🔹 DoS (Denial of Service)
🔹 Stored XSS
🔹 Утечка данных
Рекомендации по защите
1️⃣ Обновление Next.js до версии ≥ 14.2.10* (UPD)
2️⃣ На уровне приложения или CDN удаляйте все заголовки, которые не были указаны в спеке:
3️⃣ Убедитесь, что сервер использует строгие правила кеширования для SSR:
VK Security
#appsec #эксперты #cve #разбор
Разбираем вместе с Андреем Матвеенко из команды AppSec (ВКонтакте) и автором канала Blue (h/c)at Café нашумевшую и легкоэксплуатируемую уязвимость в Next.js.
Недавно в команде мы столкнулись с интересной ситуацией, связанной с неожиданным поведением механизма кеширования в Next.js. Это натолкнуло на мысль, что при определённых условиях можно добиться некорректной обработки пользовательских данных, что открывает путь для нестандартных атак — отравление кеша или внедрение нежелательного содержимого. Мы начали изучать материалы из открытых источников, а также проверять все наши внутренние сервисы на наличие проблемы. Рассказываю здесь, что мы нашли, как это можно проэксплуатировать и как защититься.
Next.js использует два механизма для работы с данными: SSG (Static Site Generation) и SSR (Server-Side Rendering). SSG генерирует страницы на этапе сборки, которые потом кешируются CDN с использованием заголовков вроде
Cache-Control: s-maxage=31536000, stale-while-revalidate
. В отличие от SSG, SSR динамически создает контент на основе запроса пользователя и предполагает строгий контроль за кешированием (
Cache-Control: private, no-cache, no-store, max-age=0, must-revalidate
). Уязвимость позволяет обмануть сервер, заставив его воспринимать SSR-запросы как SSG. Это достигается путем добавления параметра
__nextDataReq
и заголовка x-now-route-matches
. Например, следующий запрос к уязвимому серверу изменяет правила кеширования:
GET /poc?__nextDataReq=1 HTTP/1.1
Host: localhost:8080
x-now-route-matches: 1
Cache-Control: s-maxage=1, stale-while-revalidate
После этого сервер начинает кешировать динамические данные, которые изначально не предназначались для кеша. Это может привести к отравлению кеша, когда пользователи начинают получать неверные данные. Более того, если сервер отражает данные из запроса, это открывает возможности для Stored XSS. Условный злоумышленник может отправить запрос с вредоносным кодом в заголовке, например:
GET /poc?__nextDataReq=1 HTTP/1.1
Host: localhost:8080
User-Agent: <img src=x onerror=alert('CVE-2024-46982')>
x-now-route-matches: 1
После выполнения такого запроса вредоносный код будет сохранен в кеше и сработает при каждом посещении страницы.
Ссылка на PoC — тут.
Последствия эксплуатации:
🔹 DoS (Denial of Service)
🔹 Stored XSS
🔹 Утечка данных
Рекомендации по защите
1️⃣ Обновление Next.js до версии ≥ 14.2.10* (UPD)
2️⃣ На уровне приложения или CDN удаляйте все заголовки, которые не были указаны в спеке:
delete req.headers['x-now-route-matches'];
3️⃣ Убедитесь, что сервер использует строгие правила кеширования для SSR:
res.setHeader('Cache-Control', 'private, no-cache, no-store, max-age=0, must-revalidate');
VK Security
#appsec #эксперты #cve #разбор
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍12🤓2