Архив Безопасника

❗️ Атаки на JSON Web Tokens

Содержание статьи: ⏺Что такое JWT? ◦ Заголовок ◦ Полезная нагрузка ◦ Подпись ◦ Что такое SECRET_KEY? ⏺Атаки на JWT: ◦ Базовые атаки: 1. Нет алгоритма 2. Изменяем алгоритм с RS256 на HS256 3. Без проверки подписи 4. Взлом секретного ключа 5. Использование произвольных файлов для проверки ◦ Продвинутые атаки: 1. SQL-инъекция 2. Параметр поддельного заголовка 3. Внедрение заголовка ответа HTTP 4. Прочие уязвимости

JSON Web Tokens (JWT) – это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на формате JSON Цель – безопасная передача информации между клиентом и сервером с помощью цифровой подписи JWT состоит из трёх частей, разделённых точкой:  1. Заголовок (header): указывает тип токена и алгоритм подписи (например, HS256 или RS256); 2. Полезная нагрузка (payload): содержит данные, которые нужно передать в токене: идентификаторы, роли, срок действия и прочие данные; 3. Подпись (signature): создаётся на основе первых двух частей и секретного ключа. 👀 Источник ✋ Secure Books

◼️ Подборка утилит для шифрования ⏺ GPG (Gnu Privacy Guard). Бесплатная и открытая программа для шифрования данных и электронной подписи. Позволяет защитить спектр данных от файлов до электронной почты; ⏺ ZuluCrypt. Позволяет шифровать диски и устройства под Linux, BSD и другими UNIX-системами. В ZuluCrypt можно создавать и монтировать зашифрованные тома; ⏺ Dexios. Быстрый, безопасный и открытый инструмент шифрования при помощи командной строки. Написан на языке Rust и обеспечивает безопасность, производительность и удобство; ⏺ AxCrypt. Платная программа для шифрования файлов на компьютере. Использует симметричное шифрование с использованием алгоритма AES и обеспечивает высокий уровень защиты данных; ⏺ VeraCrypt. Инструмент с открытым исходным кодом для шифрования файлов. Построен на коде Truecrypt, но включает улучшения для усиленной безопасности данных. Программа предназначена для шифрования файлов, папок или целых дисков; ⏺ DiskCryptor. Решение с открытым исходным кодом, которое предлагает шифрование всех разделов дисков, включая системный раздел. Доступна поддержка алгоритмов шифрования AES, Twofish, Serpent, а также их комбинаций.  ✋ Secure Books

Станьте разработчиком нейро-сотрудников на Python и зарабатывайте от 150.000р в месяц 🔥🔥🔥Мы научим вас создавать топовых нейро-сотрудников на базе GPT-4 Omni, и вы сможете:1️⃣ Устроиться разработчиком в крупную компанию и зарабатывать от 150 тысяч ₽ в месяц2️⃣ Разрабатывать такие проекты на заказ и зарабатывать от 500 тысяч ₽ за проект3️⃣ Создать нейро-сотрудника в вашей компании и вырасти на +30-100% в зарплатеЧто будет на интенсиве?🧬 Теория: как создаются нейро-сотрудники с GPT-4o на Python🧬 Практика: мы создадим нейро-консультанта, нейро-HR, нейро-маркетолога и др.Ведущий интенсива - Senior AI разработчик нейросетей и основатель Университета искусственного интеллекта🔥 Регистрируйтесь на бесплатный интенсив! Встречаемся в ближайший четверг!

🥷 Обзор анонимных браузеров для приватного серфинга В сегодняшней статье мы протестируем 6 лучших анонимных браузеров – Dooble, Epic, Brave, Iron, Waterfox, Comodo Dragon, выясним какой уровень приватности они могут обеспечить и каким из них можно доверять и использовать

Заранее оговоримся:

под словом анонимный браузер мы будем подразумевать браузер который был разработан для приватного серфинга и который не должен оставляет следов. Если вы хотите по настоящему анонимный браузер,

используйте Tor

!

👀 Источник ✋ Secure Books

Когда обучение — не формальность, а требование регулятора. Работаете с технической защитой конфиденциальной информации? Тогда вы должны знать, ФСТЭК РФ всё чаще проверяет: — есть ли у персонала нужная квалификация — оформлена ли документация — соблюдаются ли требования ПП №79 ❌ Нет диплома ИБ? Это может стать основанием для предписания или ограничения доступа к проектам. ✔️ Решение — Профессиональная переподготовка по ТЗКИ, согласованная со ФСТЭК РФ: — Диплом с правом на деятельность в сфере ИБ и технической защиты информации — 200+ часов реальной практики + живые сессии с экспертами — Навыки защиты на сценариях, основанных на реальных инцидентах — Готовый пакет документации для лицензии ФСТЭК — Нет «академического мусора» — только то, что нужно для прохождения проверок и работы по контрактам — Доступна рассрочка. 🗓 Старт — 14 октября💳 🎁 2 мини-курса по "нормативке" — в подарок 📲 ПОДАТЬ ЗАЯВКУ #реклама О рекламодателе

📝 Сборник материалов по PHP

PHP (Hypertext PreProcessor, «препроцессор гипертекста») – скриптовый язык программирования с открытым исходным кодом Изначально создавался для разработки веб-приложений, но в процессе обновлений стал языком общего назначения

— Обновляемый репозиторий насчитывает 32к звезд и включает в себя множество материалов по PHP 👀 Источник ✋ Secure Books

☁️ Использование ротации IP адресов для обхода лимитов отправки одноразовых паролей (OTP) в приложении на Flutter Исследователи информационной безопасности и охотники за багами часто сталкиваются с трудностью перехвата трафика приложений на Flutter, поскольку эта технология не поддерживает системные настройки прокси — В данном материале автор расскажем, каким образом обошел данное ограничение 👀 Источник ✋ Secure Books