Warning: Undefined array key 0 in /var/www/tgoop/function.php on line 65

Warning: Trying to access array offset on value of type null in /var/www/tgoop/function.php on line 65
194 - Telegram Web
Telegram Web
SSRF: маленькая уязвимость – большие проблемы

На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.

Мы подготовили карточки с ключевыми моментами из его доклада:

🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают

👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt

#эксперты #доклады #confab #разбор #appsec
🔥22👌2👍1
💬 Как RuStore защищает свои релизы?

🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.

🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.

🔹 Читать статью

VK Security

#RuStore #статья #SecurityGate
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥53🎉2
🔹 VK Tech: ищем эксперта продуктовой безопасности

Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:

🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации

Ваш опыт:

▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом

Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP

VK Security

#вакансии #VKTech
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥122👍1
🖥 Вы просили — мы открыли!

Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.

Делимся инсайтами авторов🔹

circuit:
«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:
«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».


kedr:
«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».


🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?

🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.

🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!

И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.

VK Security

#bugbounty #bountypass #reports
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27👍4🆒21
Где деньги бонусы, Лебовски?

Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.

В личном кабинете доступны:

🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия

Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.

Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.

Больше критов — больше наград!

🔗 Регистрируйтесь прямо сейчас!

VK Security

#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍5🤔1🤪1
- Скажи мне три главных слова.
-
Security. Operation. Center.

🔹 24 апреля в 19:00 приглашаем аналитиков и инженеров SOC в московский офис VK на новый митап VK Security Confab!

Обсудим:

🔘Какие изменения необходимы современному SOC?
🔘Как автоматизировать рутину и освободить время для сложных задач?
🔘Какие технологии применяют в BigTech?

🔹Обещаем — будут внутренние кейсы и выступления приглашённых экспертов.

🔹Совсем скоро опубликуем программу и начнем регистрацию, а пока берите на заметку дату и планируйте ваш визит в офис VK!

Будет интересно!

VK Security

#митап #confab #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥197🤩2🆒1
Открытые порты: невидимая угроза, которая может стоить миллионы

🔎 Публикуем тезисы из доклада Максима Казенкова, эксперта направления DevOps.

💵 В 2019 Capital One потерял данные 100+ млн клиентов из-за одного открытого порта. Обошли firewall → попали в базу. Штрафы, компенсации, удар по репутации — на десятки миллионов долларов.

Почему это важно?
Каждый открытый порт = потенциальная дыра в системе. Если не заметить или настроить неправильно — злоумышленник это сделает за вас.

Что с этим делать?
Регулярно сканировать периметр. Но тут есть свои нюансы:

- Nmap — точный, но слишком медленный при масштабном сканировании.
- Masscan — очень быстрый, но часто выдаёт ложные срабатывания и не подходит для глубокого анализа.
- Коммерческие сканеры — как стрелять из пушки по воробьям: тяжёлые, дорогие и зачастую избыточные. Их настраивать — отдельный квест, а стоят как крыло от Боинга. Да и заточены они под всё подряд: уязвимости, инфраструктура, политика, а не просто периметр и порты.

➡️Так родился NMon, который объединяет скорость Masscan и точность Nmap, поддерживая распределенное сканирование.

Это позволяет:

🔹 анализировать периметр в реальном времени.

🔹 гибко настраивать параметры сканирования.

🔹 встраивать в системы безопасности.

🤖 Впереди — ML для автоматического распознавания административных панелей и анализа изменений в инфраструктуре.

🔗 Смотреть полное видео

VK Security

#NMon #технологии #эксперты #доклады
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👏32
This media is not supported in your browser
VIEW IN TELEGRAM
🔹🔹🔹🔹🔹🔹🔹🔹🔹🔹🔹

на VK Security Confab открыта

Ждём инженеров, аналитиков и разработчиков технических решений SOC. Поговорим об автоматизации, управлении изменениями и снижении рутины. Обсудим живые кейсы, поделимся практиками и просто соберёмся вместе 🔹

🔹 Когда: 24 апреля в 19:00.

🔹 Где: офлайн в нашем московском офисе.

В программе:

🔥 VK SOC: куда мы движемся на скорости 1,5 млн EPS. Дмитрий Куколев, Руководитель VK SOC

🔥 Алгоритмы на страже: как сократить рутину L1. Алексей Кудрявцев, Аналитик SOC L1, VK

🔥 Как раскатить агент мониторинга на базе auditd на 30К машин. Андрей Борисов, Руководитель отдела ИБ-решений, VK

🔥 Ревью без хаоса: как довериться изменениям в SOC. Кирилл Ваулин и Дмитрий Старинов, инженеры по информационной безопасности, Яндекс

Бегу регистрироваться 💨

VK Security | Буст этому каналу!

#митап #confab #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
10🔥72🆒2👍1👏1
🛡 VKey под капотом: отказ от физических токенов

В первой части мы рассказали, как VKey защищает SSH-доступ к инфраструктуре.
Сегодня — технические детали: что именно происходит под капотом и какое развитие получил сервис VKey, использующий крипточипы вместо USB-токенов.

Если пропустили — вот первая часть.

Почему отказались от токенов

🔹YubiKey и OTP-токены — удобный способ добавить второй фактор, но их можно забыть, потерять или подключить к ненадёжному устройству.
🔹Они требуют физического доступа — неудобно при удалённой работе.
🔹Устройства не масштабируются: сложно, дорого и громоздко.

Что заменяет токены

Мы используем встроенные TPM (Windows/Linux) и Secure Enclave (macOS) как защищённые хранилища приватных ключей. Это не просто альтернатива токенам — это криптографически безопасный способ хранения, с рядом преимуществ:
🔹ключ нельзя извлечь или изменить — даже владельцем устройства.
🔹используется процедура Аттестации — ключ подписывается специальным аппаратным ключом TPM/Secure Enclave, которому доверяем (информацию о котором мы получаем еще на этапе первоначальной конфигурации устройства и которому доверяем).

👉 В следующей части — как мы реализовали гибкие политики доступа, какие ключи храним и как это всё работает в инфраструктуре.

Не переключайтесь 😎

VK Security | Буст этому каналу!

#vkey #эксперты #разбор
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11🤔2👍1
📱 VKey под капотом: политики, ключи, SSH-сертификаты

Продолжаем разбирать архитектуру VKey. Начало здесь.

➡️ Политики доступа к ключам

Для доступа приложений к ключу могут применяться разные методы:

🔹Ввод PIN-кода
🔹Использование биометрии (Touch ID / Windows Hello)

Это позволяет реализовать разные сценарии работы

Сейчас мы используем 4 ключа в TPM/Secure Enclave:

🔹SSH (Dev) — политика не требует второго фактора;

🔹SSH (Prod) — политика требует обязательный второй фактор (TouchID, PIN, Windows Hello);

🔹VPN сертификат — без второго фактора;

🔹mTLS сертификат — с обязательным вторым фактором.

👍 Переход на SSH-сертификаты

Помимо хранения SSH-ключей в TPM/Secure Enclave, мы теперь используем SSH-сертификаты, которые генерируются на базе SSH-ключей. При использовании SSH-ключей необходимо копировать открытый ключ на каждый хост, к которому требуется доступ — и повторять эту процедуру для каждого пользователя.

🔹Преимущества:

🔹Не нужно раскладывать ключи по машинам
🔹Можно выдавать доступ по логину
🔹Разные CA для Dev и Prod позволяют разграничивать доступ

👉 В следующей части — расскажем, как VKey используется для VPN и mTLS.

#vkey #эксперты #разбор
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥72
🥳 Программе Bounty Pass — один год!

Больше тысячи отчётов, отмена максимальных выплат и сотни багхантеров, которые сделали этот год особенным.

Спасибо каждому, кто участвует в Bounty Pass! Без вас не было бы ни роста, ни рекордов, ни прогресса!

🙌 Напоминаем: бонусы можно накапливать
С каждым оплачиваемым отчётом — до +5% к следующей выплате!

Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!

VK Security | Буст этому каналу!

#bugbounty #bountypass
🔥18👍4🎉321
Ищем баги и любовь

Майские уже не за горами, а вы всё ещё не решили, что будете «ломать» на длинных выходных? У нас для вас отличные новости!

Расширили программу VK Bug Bounty и добавили «Сервисы Знакомств VK», туда входят:

👩‍❤️‍👨 VK Знакомства
💙 ОК Знакомства

💸Максимальное вознаграждение — до 1 млн ₽

Перейти к программе и отправить отчет можно:
Standoff Bug Bounty
BI.ZONE Bug Bounty
Bugbounty.ru

VK Security | Буст этому каналу!

#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11😁54💔4👍3
🔹Навигация

В канале собралось уже немало полезных материалов — и чтобы вам было проще ориентироваться, мы собрали удобную навигацию:

#эксперты — про доклады, выступления и статьи от наших экспертов

#технологии — о продуктах и собственной разработке

#разбор — про решения реальных кейсов, подходы и выводы

#confab #митап — о главной конференции года VK Security Confab Max и тематических митапах

#вакансии — о том, как попасть в нашу команду или напишите
@lisenkova_a

📌 Тематические направления:
#SOC
#appsec
#devsecops
#bugbounty
#инфраструктура

⚙️ Собственные технологии:
#VKSecurityGate
#VKey
#VKSIEM
#WARP
#VKDSPM

Список хэштегов будет обновляться по мере появления новых материалов 🔥

VK Security
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥4😎32👍1
2025/07/10 13:54:25
Back to Top
HTML Embed Code: