TGTGInsightтелеграм анализLIVE / telegram public index
← Такты, стеки, два колеса

TGINSIGHT SIMILAR POSTS

Намери подобно съдържание

Изходен канал @clockstackwheels · Post #966 · 19.03

Меня иногда спрашивают, заменят ли нейросети программистов (или "когда заменят"). Мне на эту тему очень нравится картинка ниже. Давайте подумаем, что делает ценным квалифицированного специалиста. Задача специалиста это принять на вход некоторые стартовые условия, а потом произвести над ними манипуляции, чтобы выдать требуемый результат. Хирург получает тело человека с каким-то заболеванием и должен в нужных местах совершить надрезы и наложить швы, чтобы в качестве результата человек остался живым и более здоровым, чем раньше. Адвокат получает материалы дела с каким-то конфликтом и должен произвести некоторую последовательность воздействий на суд так, чтобы именно его клиент вышел из конфликта победителем. Строитель-прораб получает чертежи здания, площадку и бюджет и должен сформировать цепочку управляющих команд для рабочих, чтобы в итоге получилось здание, которое не упадёт и пройдёт нужные проверки. Если между набором стартовых условий и конечным результатом всегда одинаковая последовательность манипуляций, такой труд автоматизируется. Сложно как-то принципиально по-разному рассчитать клиента на кассе. Сложно выбрать несколько путей оформления одного и того же шаблонного документа. Нельзя десятью способами нарезать резьбу с заданным шагом на заданной заготовке. Так что для всего этого есть станки, аппараты, программы и роботы. Квалификация подключается там, где путей много, и для выбора правильного недостаточно просто описать желаемый конечный результат. У специалиста есть знания, опыт и интуиция, которые позволяют ему именно в каждом конкретном случае принимать решения. Относится ли программирование к подобным областям? Безусловно. Одну и ту же программу можно написать сотней способов и между этими способами будут серьёзные отличия, которые повлияют впоследствии на использование и развитие этой программы. Ну хорошо, но мы ведь загрузили в нейросеть весь опыт и знания программистов. Что мешает ей пройти тот же путь, что пройдёт программист, и точно так же принимать решения, исходя из ситуации? Два момента. Во-первых, у человека есть воля, а у нейросети нет. У человека есть способность как бы создавать новые решения внутри себя, а не в результате некоторой инструкции извне. И воля квалифицированного специалиста — важный аспект его работы. Грубо говоря, в части случаев мы хотим, чтобы специалист совершил творческий акт, принимая решения. Во-вторых, опыт практически в любой области, требующей квалификации, частично включает в себя понимание всего многообразия контекстов человечества в целом. То есть как бы знания того, что такое человек, в каких ситуациях он будет пользоваться результатом твоей работы и так далее. Так что нет, нейросети не заменят программистов. Исключение, пожалуй, такое: программа, которая запускается один раз для выдачи конкретного результата, не требующего высокой надёжности. Если мне нужно один раз для личного удобства переименовать тысячу файлов, то в целом программа, которая это делает, может быть написана сколь угодно плохо, лишь бы работала. Но это совсем небольшой процент реальных сценариев. #dev

Hashtags

Резултати

Намерени 26 подобни публикации

Търсене: #devsecops

当前筛选 #devsecops清除筛选
infosecurity

@tg_infosec · Post #3377 · 10.07.2025 г., 16:29

👨‍💻 HTTP Security Headers. • X-Content-Type-Options Header; • Reflected File Download (RFD); • CORS Deception; • Clickjacking; • XSS (Cross-Site Scripting); • SSL/TLS Stripping (MITM); • Cookie Hijacking; • CSRF (Cross-Site Request Forgery); • Information Disclosure Attacks; • Cache-Control Header; • Content-Disposition Header; • Cross-Origin Resource Policy (CORP); • Extra HTTP Header Injection; • Content-Encoding Header; • Access-Control-Allow-Origin Header; • X-Rate-Limit and X-Forwarded Headers; • X-Content-Type-Options Header; • XSS and CSRF Protection; • Content-Security-Policy (CSP). #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3323 · 25.06.2025 г., 12:30

👨‍💻 File Upload Vulnerabilities. • Attack Scenario: Insecure File Content: - 2. Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - 3. Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - 4. Reverse Access Control; • Magic Byte Exploits and Securing File Uploads: - Magic Bytes Overview; - Attack Scenario: Magic Byte Exploit; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Reverse Access Control; - Process of Securing File Uploads; • Config Overwrite: - Attack Scenario: Configuration Overwrite and Null Byte Injection; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Reverse Access and Configuration Overwrite; - Process of Securing File Uploads; • Insecure Handler: - Attack Scenario: Insecure Handler Exploit; - Non-Compliant Code: Insecure File Upload Example; - Issues with Non-Compliant Code; - Compliant Code: Secure File Upload Example; - Security Enhancements in Compliant Code; - Insecure Handler and Web Shell Exploit; - Process of Securing File Uploads. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3269 · 05.06.2025 г., 16:31

👨‍💻Attacking OpenStack. • Apply Restrictive File Permissions: - Incorrect Example; - Writing Files with Python; - Correct Example; - Secure File Creation in Python; - Verify Ownership and Group; • Avoid Dangerous File Parsing and Object Serialization Libraries; • Python Pipes to Avoid Shells; • Unvalidated URL redirect; • Validate Certificates on HTTPS Connections to Avoid Man-in-the-Middle Attacks; • Create, Use, and Remove Temporary Files Securely: - Python Temporary File Handling; • Restrict Path Access to Prevent Path Traversal; • Use Subprocess Securely; • Parameterize Database Queries: - SQLAlchemy; - MySQL; - PostgreSQL (Psycopg2); • Protect Sensitive Data in Config Files from Disclosure: - Consequences; - Example Log Entries; • Use Secure Channels for Transmitting Data: - Clear Example; - Less Obvious Example; • Escape User Input to Prevent XSS Attacks; • Resources. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3261 · 03.06.2025 г., 08:31

👨‍💻 Attacking CI/CD. • CI Debug Enabled; • Default permissions used on risky events; • Github Action from Unverified Creator used; • If condition always evaluates to true; • Injection with Arbitrary External Contributor Input; • Job uses all secrets; • Unverified Script Execution; • Arbitrary Code Execution from Untrusted Code Changes; • Unpinnable CI component used; • Pull Request Runs on Self-Hosted GitHub Actions Runner; • Mitigation Strategies; • Example GitHub Actions Workflow; • RCE via Git Clone; • Resources. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3209 · 16.05.2025 г., 12:32

👨‍💻 Attacking Policy. • Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании. • В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent: • Allowed Repositories; • Automount Service Account Token for Pod; • Block Endpoint Edit Default Role; • Block Services with type LoadBalancer; • Block NodePort; • Block Wildcard Ingress; • Disallow Interactive TTY Containers; • Step-by-Step Instructions; • Allow Privilege Escalation in Container; • Step-by-Step Instructions; • Privileged Container; • Read Only Root Filesystem; • Host Networking Ports; • App Armor; • SELinux V2; • Resources. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3200 · 13.05.2025 г., 08:30

👨‍💻 Attacking Secrets. • Secrets in private repositories; - Scenario: An Attacker Scanning a Private Repository for Secrets; - Example Commands and Codes; • User Credentials in CI Pipelines; - Scenario: An Adversary Exploiting CI Pipeline Credentials; - Example Commands and Codes; • Azure Key-Vault Authentication Abuse; - Azure’s Documentation Overview; • Practical Implementation: Azure’s Authentication Solution; - Steps for Compromising Azure Key Vault; • Azure Key Vault RBAC; • Ansible Vault Secret; - Generating a Hash for Cracking; - Cracking the Hash; - Decrypting the File; • Vault-Backend-Migrator; - Threats; • Kubernetes Sealed Secrets; • chamber; • Vault Secrets Operator; • Buttercup Weak Password; • teller manipulate files; • BlackBox; • Conclusion; - Attacker's Next Steps. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3108 · 10.04.2025 г., 08:00

🏰 DevSecOps Security Architecture. • Honeypot Network and Services in DevSecOps Security Architecture; • Flume log collection; • Kafka Knowledge System; • Zookeeper Knowledge System; • ElastAlert ES Alarm Tool; • Elastic Knowledge System; • Real IP address Detection; • Nginx configuration log format; • Container security tools; • osquery operating system detection and analysis; • jumpserver open source bastion server; • wazuh Host Intrusion Detection System; • Bro Network Security Monitoring; • GitHub Information Leak Monitoring; • Application layer denial of service attacks; • Slowloris; • Resources. #DevSecOps

Hashtags

infosecurity

@tg_infosec · Post #3065 · 26.03.2025 г., 16:34

👨‍💻 Attacking .NET • Code Access Security (CAS); • AllowPartiallyTrustedCaller attribute (APTCA); • Distributed Component Object Model (DCOM); • Timing vulnerabilities with CBC-mode symmetric; • Race Conditions; • App Secrets; • XML Processing; • Timing attacks; • ViewState is love; • Formatter Attacks; • TemplateParser; • ObjRefs. ➡️https://blog.devsecopsguides.com/p/attacking-net #DevSecOps

Hashtags

infosecurity

@tg_infosec · Post #3047 · 21.03.2025 г., 12:35

👩‍💻 Attacking Rust. - Cargo Dependency Confusing; - Unsafe Code Usage; - Integer Overflow; - Panics in Rust Code; - memory leaks; - Uninitialized memory; - Foreign Function Interface; - OOB Read plus; - race condition to escalate privileges; - TOCTAU race condition; - out-of-bounds array access; - References. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #2995 · 04.03.2025 г., 12:33

👩‍💻 Attacking NodeJS Application. - Use flat Promise chains; - Set request size limits; - Do not block the event loop; - Perform input validation; - Perform output escaping; - Perform application activity logging; - Monitor the event loop; - Take precautions against brute-forcing; - Use Anti-CSRF tokens; - Prevent HTTP Parameter Pollution; - Do not use dangerous functions; - Use appropriate security headers; - Listen to errors when using EventEmitter; - Set cookie flags appropriately; - Avoid eval(), setTimeout(), and setInterval(); - Avoid new Function(); - Avoid code serialization in JavaScript; - Use a Node.js security linter; - References. #devsecops

Hashtags

infosecurity

@tg_infosec · Post #2847 · 14.01.2025 г., 08:30

👨‍💻 Attacking APIs \ Атаки на API. • Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов. • По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки. ➡️https://blog.devsecopsguides.com/attacking-apis #devsecops

Hashtags

infosecurity

@tg_infosec · Post #3252 · 30.05.2025 г., 12:30

👨‍💻 Attacking Pipeline. • DevOps resources compromise; • Control of common registry; • Direct PPE (d-PPE); • Indirect PPE (i-PPE); • Public PPE; • Changes in repository; • Inject in Artifacts; • User/Services credentials; • Typosquatting docker registry image; • Resources. #DevOps#DevSecOps

ПредишнаСтр. 1 от 3Следваща