В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebSec

115 membersпожаловаться на группу
2019 April 03

НС

Никита Сковорода in WebSec
https://snyk.io/blog/malicious-remote-code-execution-backdoor-discovered-in-the-popular-bootstrap-sass-ruby-gem/
Snyk
Malicious remote code execution backdoor discovered in the popular bootstrap-sass Ruby gem | Snyk
On March 26, 2019, a malicious version of the popular bootstrap-sass package, that has been downloaded a total of 28 million times to date, was published
источник
23:47пожаловаться#1

НС

Никита Сковорода in WebSec
> On March 26, 2019, a malicious version of the popular bootstrap-sass package, that has been downloaded a total of 28 million times to date, was published to the official RubyGems repository. Version 3.2.0.3 includes a stealthy backdoor that gives attackers remote command execution on server-side Rails applications.
источник
23:48пожаловаться#2

НС

Никита Сковорода in WebSec
За что sass в продакшне
источник
23:49пожаловаться#3

НС

Никита Сковорода in WebSec
https://snyk.io/vuln/SNYK-RUBY-BOOTSTRAPSASS-174093
snyk.io
Snyk - Malicious Package in bootstrap-sass
Malicious Package affecting bootstrap-sass - SNYK-RUBY-BOOTSTRAPSASS-174093.
источник
23:50пожаловаться#4
2019 April 04

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
https://blog.exodusintel.com/2019/04/03/a-window-of-opportunity/
Exodus Intelligence
A window of opportunity: exploiting a Chrome 1day vulnerability
This post explores the possibility of developing a working exploit for a vulnerability already patched in the v8 source tree before the fix makes it into a stable Chrome release.
источник
20:39пожаловаться#5

НС

Никита Сковорода in WebSec
>  open-source development model, while security fixes are immediately visible in the source tree

Стоп, что? Это правда?
источник
20:42пожаловаться#6

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
сафари фтв
источник
20:46пожаловаться#7

НС

Никита Сковорода in WebSec
А почему они не делают секьюрити фиксы приватными в отдельной ветке до релиза?
источник
20:48пожаловаться#8

НС

Никита Сковорода in WebSec
У ноды есть nodejs-private, например
источник
20:49пожаловаться#9

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
¯\_(ツ)_/¯
источник
20:53пожаловаться#10

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
вообще там написано, что фиксы в приватных репах, но из-за того, что релиз v8 случается раньше, то вот так
источник
20:57пожаловаться#11

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
точнее не релиз, а патч с исправлением
источник
20:57пожаловаться#12

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
и вот эти исправления можно найти
источник
20:58пожаловаться#13

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
выходит, с нодой та же проблема
источник
20:58пожаловаться#14

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
беда
источник
20:59пожаловаться#15

НС

Никита Сковорода in WebSec
Ҫѐҏӗѫӑ Ҹҋ 🤖
выходит, с нодой та же проблема
Какая именно? Про v8?
источник
21:06пожаловаться#16

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
да. если видно что пофикшено в в8, то вероятно можно применить эксплоит к ноде
источник
21:10пожаловаться#17

NK

ID:414983998 in WebSec
Да, в такие моменты начинаешь посматривать на deno. У которого всегда актуальная v8 стоит + зарестрикчены I/O и сеть по-умолчянию
источник
21:29пожаловаться#18

DE

Denis Efremov in WebSec
источник
21:33пожаловаться#19

D

Danila in WebSec
Привет всем, а чому jwt не нужен? В описании чата прочитал. (я в принципе согласен, у нас был аудит проекта с жвт и он не то чтобы сильно плох был, но нехорош). Просто хочу узнать из первых уст так сказать
источник
22:04пожаловаться#20