TGTGInsightтелеграм анализLIVE / telegram public index
← Такты, стеки, два колеса

TGINSIGHT SIMILAR POSTS

Намери подобно съдържание

Изходен канал @clockstackwheels · Post #1189 · 13.12

Это текст Александра Беспалова, но его в Телеграме нет, поэтому просто процитирую тут. Это второй репост за всю историю канала, но очень уж понравилась Поговорил с чатом о Канте, получилось забавно. Одна из основных мыслей Канта, которая потом поломала всю философию была такая, что "априорные категории (причинность, время, пространство,...) создают возможность эмпирического познания". Т.е. знание науки это не отражение (иногда ошибочное) природы, как считали ранее. Это результат наложения каких-то "встроенных (в голову) схем" на опыт жизни, для получения какого-то вторичного продукта, который называется — "мир-для-нас". А "мир-как-есть" для нас недоступен, в принципе. Дальнейшее развитие философии происходило в обсуждении, насколько вообще ок так делать и можно ли с этим всем хоть что-то познать вообще? Что создало для философии XX века ощущение полной шизы и бессмысленного копания в смыслах слов. Но это, в наше время, банальное наблюдение, которое все и так знают, более ли менее (если не кондовые сциентисты). И "истина" в этом смысле это просто более устойчивое соответствие модели эксперименту (запомните это определение слова). Под устойчивостью понимается то, что соответствие не рушится от изменения среды. Допустим, мы считаем, что от тяжести вещи зависит скорость падения. Это наша модель. Тут приходит Галилей и начинает по наклонной плоскости катить шарики разного веса и они всегда разгоняются более ли менее одинаково. Модель не устойчива к изменению "среды". А вот модель, где ускорение свободного падения не зависит от массы, устойчива к наблюдениям кидания шариков разной массы с разным ускорением, потому что можно легко туда добавить сопротивление воздуха и получить разные разгоны на выходе. Но это тоже довольно обычно, как мне показалось. А вот что меня зацепило, это то, что из этого следует, что "истина" это не универсальная цель или метафизический эталон, а часть противоречивого эволюционного механизма выживания. Если модель более устойчива к изменению контекста, то общество, которое ей обладает, способно приспособиться к более широкому спектру возможных сред обитания (относительно обществ, которые не обладают "истиной"). При этом (как положено внутри эволюционных механизмов), внутри хорошо структурированного общества "стремление к истине" это не самая удачная личная стратегия выживания. Хорошо структурированное общество создает внутри себя устойчивый контекст, в котором начинают эффективно работать простые эвристики (чувствительные к любым изменениям контекста). Они гораздо менее энергозатратные, чем "стремление к истине". И на личном уровне, внутри структурированного общества, стремление к истине (как модели устойчивой к изменениям) может быть просто вредно. Поэтому в обществе организуются пласты создателей и потребителей инфоцыганского и сходного контента. Этот пласт перераспределяет ресурсы внутри общества, но НЕ делает общество более адаптивным к возможным изменениям среды. Если общество начинает состоять только из таких людей, оно рушится, потому что не способно выдержать никаких изменений. Но в этом и хитрость эволюции. Выживают только те структурированные общества, где хоть как-то это (на личном уровне не эффективное) стремление к "истине" проявлено. Оно позволяет протащить общество через изменения за счет более устойчивых моделей (само)управления. И вот мы приходим через тысячи лет эволюции к состоянию, где "истина" сакрализируется, потому что (на личном уровне и в контексте общества) вообще непонятно нахрена это все нужно. Отсюда метафизическое представление Канта об истине как об имманентном свойстве суждения (как бы это часть способности мыслить, в принципе. Без нее нет смысла говорить об осмысленной деятельности). Но ларчик (возможно) открывается проще. Все общества, где "истина" это не ценность хотя бы для некоторой части людей, умерли. И все общества, где она обесценится, исчезнут. #life

Hashtags

Резултати

Намерени 26 подобни публикации

Търсене: #devsecops

当前筛选 #devsecops清除筛选
infosecurity

@tg_infosec · Post #3377 · 10.07.2025 г., 16:29

👨‍💻 HTTP Security Headers. • X-Content-Type-Options Header; • Reflected File Download (RFD); • CORS Deception; • Clickjacking; • XSS (Cross-Site Scripting); • SSL/TLS Stripping (MITM); • Cookie Hijacking; • CSRF (Cross-Site Request Forgery); • Information Disclosure Attacks; • Cache-Control Header; • Content-Disposition Header; • Cross-Origin Resource Policy (CORP); • Extra HTTP Header Injection; • Content-Encoding Header; • Access-Control-Allow-Origin Header; • X-Rate-Limit and X-Forwarded Headers; • X-Content-Type-Options Header; • XSS and CSRF Protection; • Content-Security-Policy (CSP). #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3323 · 25.06.2025 г., 12:30

👨‍💻 File Upload Vulnerabilities. • Attack Scenario: Insecure File Content: - 2. Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - 3. Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - 4. Reverse Access Control; • Magic Byte Exploits and Securing File Uploads: - Magic Bytes Overview; - Attack Scenario: Magic Byte Exploit; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Reverse Access Control; - Process of Securing File Uploads; • Config Overwrite: - Attack Scenario: Configuration Overwrite and Null Byte Injection; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Reverse Access and Configuration Overwrite; - Process of Securing File Uploads; • Insecure Handler: - Attack Scenario: Insecure Handler Exploit; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Insecure Handler and Web Shell Exploit; - Process of Securing File Uploads. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3269 · 05.06.2025 г., 16:31

👨‍💻Attacking OpenStack. • Apply Restrictive File Permissions: - Incorrect Example; - Writing Files with Python; - Correct Example; - Secure File Creation in Python; - Verify Ownership and Group; • Avoid Dangerous File Parsing and Object Serialization Libraries; • Python Pipes to Avoid Shells; • Unvalidated URL redirect; • Validate Certificates on HTTPS Connections to Avoid Man-in-the-Middle Attacks; • Create, Use, and Remove Temporary Files Securely: - Python Temporary File Handling; • Restrict Path Access to Prevent Path Traversal; • Use Subprocess Securely; • Parameterize Database Queries: - SQLAlchemy; - MySQL; - PostgreSQL (Psycopg2); • Protect Sensitive Data in Config Files from Disclosure: - Consequences; - Example Log Entries; • Use Secure Channels for Transmitting Data: - Clear Example; - Less Obvious Example; • Escape User Input to Prevent XSS Attacks; • Resources. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3261 · 03.06.2025 г., 08:31

👨‍💻 Attacking CI/CD. • CI Debug Enabled; • Default permissions used on risky events; • Github Action from Unverified Creator used; • If condition always evaluates to true; • Injection with Arbitrary External Contributor Input; • Job uses all secrets; • Unverified Script Execution; • Arbitrary Code Execution from Untrusted Code Changes; • Unpinnable CI component used; • Pull Request Runs on Self-Hosted GitHub Actions Runner; • Mitigation Strategies; • Example GitHub Actions Workflow; • RCE via Git Clone; • Resources. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3209 · 16.05.2025 г., 12:32

👨‍💻 Attacking Policy. • Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании. • В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent: • Allowed Repositories; • Automount Service Account Token for Pod; • Block Endpoint Edit Default Role; • Block Services with type LoadBalancer; • Block NodePort; • Block Wildcard Ingress; • Disallow Interactive TTY Containers; • Step-by-Step Instructions; • Allow Privilege Escalation in Container; • Step-by-Step Instructions; • Privileged Container; • Read Only Root Filesystem; • Host Networking Ports; • App Armor; • SELinux V2; • Resources. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3200 · 13.05.2025 г., 08:30

👨‍💻 Attacking Secrets. • Secrets in private repositories; - Scenario: An Attacker Scanning a Private Repository for Secrets; - Example Commands and Codes; • User Credentials in CI Pipelines; - Scenario: An Adversary Exploiting CI Pipeline Credentials; - Example Commands and Codes; • Azure Key-Vault Authentication Abuse; - Azure’s Documentation Overview; • Practical Implementation: Azure’s Authentication Solution; - Steps for Compromising Azure Key Vault; • Azure Key Vault RBAC; • Ansible Vault Secret; - Generating a Hash for Cracking; - Cracking the Hash; - Decrypting the File; • Vault-Backend-Migrator; - Threats; • Kubernetes Sealed Secrets; • chamber; • Vault Secrets Operator; • Buttercup Weak Password; • teller manipulate files; • BlackBox; • Conclusion; - Attacker's Next Steps. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3108 · 10.04.2025 г., 08:00

🏰 DevSecOps Security Architecture. • Honeypot Network and Services in DevSecOps Security Architecture; • Flume log collection; • Kafka Knowledge System; • Zookeeper Knowledge System; • ElastAlert ES Alarm Tool; • Elastic Knowledge System; • Real IP address Detection; • Nginx configuration log format; • Container security tools; • osquery operating system detection and analysis; • jumpserver open source bastion server; • wazuh Host Intrusion Detection System; • Bro Network Security Monitoring; • GitHub Information Leak Monitoring; • Application layer denial of service attacks; • Slowloris; • Resources. #DevSecOps

Hashtags

infosecurity

@tg_infosec · Post #3065 · 26.03.2025 г., 16:34

👨‍💻 Attacking .NET • Code Access Security (CAS); • AllowPartiallyTrustedCaller attribute (APTCA); • Distributed Component Object Model (DCOM); • Timing vulnerabilities with CBC-mode symmetric; • Race Conditions; • App Secrets; • XML Processing; • Timing attacks; • ViewState is love; • Formatter Attacks; • TemplateParser; • ObjRefs. ➡️https://blog.devsecopsguides.com/p/attacking-net #DevSecOps

Hashtags

infosecurity

@tg_infosec · Post #3047 · 21.03.2025 г., 12:35

👩‍💻 Attacking Rust. - Cargo Dependency Confusing; - Unsafe Code Usage; - Integer Overflow; - Panics in Rust Code; - memory leaks; - Uninitialized memory; - Foreign Function Interface; - OOB Read plus; - race condition to escalate privileges; - TOCTAU race condition; - out-of-bounds array access; - References. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #2995 · 04.03.2025 г., 12:33

👩‍💻 Attacking NodeJS Application. - Use flat Promise chains; - Set request size limits; - Do not block the event loop; - Perform input validation; - Perform output escaping; - Perform application activity logging; - Monitor the event loop; - Take precautions against brute-forcing; - Use Anti-CSRF tokens; - Prevent HTTP Parameter Pollution; - Do not use dangerous functions; - Use appropriate security headers; - Listen to errors when using EventEmitter; - Set cookie flags appropriately; - Avoid eval(), setTimeout(), and setInterval(); - Avoid new Function(); - Avoid code serialization in JavaScript; - Use a Node.js security linter; - References. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #2847 · 14.01.2025 г., 08:30

👨‍💻 Attacking APIs \ Атаки на API. • Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов. • По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки. ➡️https://blog.devsecopsguides.com/attacking-apis #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3252 · 30.05.2025 г., 12:30

👨‍💻 Attacking Pipeline. • DevOps resources compromise; • Control of common registry; • Direct PPE (d-PPE); • Indirect PPE (i-PPE); • Public PPE; • Changes in repository; • Inject in Artifacts; • User/Services credentials; • Typosquatting docker registry image; • Resources. #DevOps#DevSecOps

ПредишнаСтр. 1 от 3Следваща