TG Telegram Group Link
Channel: VK Security
Back to Bottom
SSRF: маленькая уязвимость – большие проблемы

На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.

Мы подготовили карточки с ключевыми моментами из его доклада:

🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают

👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt

#эксперты #доклады #confab #разбор #appsec
💬 Как RuStore защищает свои релизы?

🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.

🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.

🔹 Читать статью

VK Security

#RuStore #статья #SecurityGate
Please open Telegram to view this post
VIEW IN TELEGRAM
🔹 VK Tech: ищем эксперта продуктовой безопасности

Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:

🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации

Ваш опыт:

▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом

Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP

VK Security

#вакансии #VKTech
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Где деньги бонусы, Лебовски?

Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.

В личном кабинете доступны:

🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия

Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.

Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.

Больше критов — больше наград!

🔗 Регистрируйтесь прямо сейчас!

VK Security

#bugbounty #bountypass
Please open Telegram to view this post
VIEW IN TELEGRAM
- Скажи мне три главных слова.
-
Security. Operation. Center.

🔹 24 апреля в 19:00 приглашаем аналитиков и инженеров SOC в московский офис VK на новый митап VK Security Confab!

Обсудим:

🔘Какие изменения необходимы современному SOC?
🔘Как автоматизировать рутину и освободить время для сложных задач?
🔘Какие технологии применяют в BigTech?

🔹Обещаем — будут внутренние кейсы и выступления приглашённых экспертов.

🔹Совсем скоро опубликуем программу и начнем регистрацию, а пока берите на заметку дату и планируйте ваш визит в офис VK!

Будет интересно!

VK Security

#митап #confab #SOC
Please open Telegram to view this post
VIEW IN TELEGRAM
Открытые порты: невидимая угроза, которая может стоить миллионы

🔎 Публикуем тезисы из доклада Максима Казенкова, эксперта направления DevOps.

💵 В 2019 Capital One потерял данные 100+ млн клиентов из-за одного открытого порта. Обошли firewall → попали в базу. Штрафы, компенсации, удар по репутации — на десятки миллионов долларов.

Почему это важно?
Каждый открытый порт = потенциальная дыра в системе. Если не заметить или настроить неправильно — злоумышленник это сделает за вас.

Что с этим делать?
Регулярно сканировать периметр. Но тут есть свои нюансы:

- Nmap — точный, но слишком медленный при масштабном сканировании.
- Masscan — очень быстрый, но часто выдаёт ложные срабатывания и не подходит для глубокого анализа.
- Коммерческие сканеры — как стрелять из пушки по воробьям: тяжёлые, дорогие и зачастую избыточные. Их настраивать — отдельный квест, а стоят как крыло от Боинга. Да и заточены они под всё подряд: уязвимости, инфраструктура, политика, а не просто периметр и порты.

➡️Так родился NMon, который объединяет скорость Masscan и точность Nmap, поддерживая распределенное сканирование.

Это позволяет:

🔹 анализировать периметр в реальном времени.

🔹 гибко настраивать параметры сканирования.

🔹 встраивать в системы безопасности.

🤖 Впереди — ML для автоматического распознавания административных панелей и анализа изменений в инфраструктуре.

🔗 Смотреть полное видео

VK Security

#NMon #технологии #эксперты #доклады
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
📱 VKey под капотом: политики, ключи, SSH-сертификаты

Продолжаем разбирать архитектуру VKey. Начало здесь.

➡️ Политики доступа к ключам

Для доступа приложений к ключу могут применяться разные методы:

🔹Ввод PIN-кода
🔹Использование биометрии (Touch ID / Windows Hello)

Это позволяет реализовать разные сценарии работы

Сейчас мы используем 4 ключа в TPM/Secure Enclave:

🔹SSH (Dev) — политика не требует второго фактора;

🔹SSH (Prod) — политика требует обязательный второй фактор (TouchID, PIN, Windows Hello);

🔹VPN сертификат — без второго фактора;

🔹mTLS сертификат — с обязательным вторым фактором.

👍 Переход на SSH-сертификаты

Помимо хранения SSH-ключей в TPM/Secure Enclave, мы теперь используем SSH-сертификаты, которые генерируются на базе SSH-ключей. При использовании SSH-ключей необходимо копировать открытый ключ на каждый хост, к которому требуется доступ — и повторять эту процедуру для каждого пользователя.

🔹Преимущества:

🔹Не нужно раскладывать ключи по машинам
🔹Можно выдавать доступ по логину
🔹Разные CA для Dev и Prod позволяют разграничивать доступ

👉 В следующей части — расскажем, как VKey используется для VPN и mTLS.

#vkey #эксперты #разбор
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔹Навигация

В канале собралось уже немало полезных материалов — и чтобы вам было проще ориентироваться, мы собрали удобную навигацию:

#эксперты — про доклады, выступления и статьи от наших экспертов

#технологии — о продуктах и собственной разработке

#разбор — про решения реальных кейсов, подходы и выводы

#confab #митап — о главной конференции года VK Security Confab Max и тематических митапах

#вакансии — о том, как попасть в нашу команду или напишите
@lisenkova_a

📌 Тематические направления:
#SOC
#appsec
#devsecops
#bugbounty
#инфраструктура

⚙️ Собственные технологии:
#VKSecurityGate
#VKey
#VKSIEM
#WARP
#VKDSPM

Список хэштегов будет обновляться по мере появления новых материалов 🔥

VK Security
Please open Telegram to view this post
VIEW IN TELEGRAM
HTML Embed Code:
2025/07/07 03:52:52
Back to Top