VK Security
31.03.202512:59
Где деньги бонусы, Лебовски?
Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.
В личном кабинете доступны:
🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия
Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.
Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.
Больше критов — больше наград!
🔗 Регистрируйтесь прямо сейчас!
VK Security
#bugbounty #bountypass
Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.
В личном кабинете доступны:
🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия
Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.
Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.
Больше критов — больше наград!
🔗 Регистрируйтесь прямо сейчас!
VK Security
#bugbounty #bountypass
14.03.202508:15
SSRF: маленькая уязвимость – большие проблемы
На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.
Мы подготовили карточки с ключевыми моментами из его доклада:
🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают
👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt
На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.
Мы подготовили карточки с ключевыми моментами из его доклада:
🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают
👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt
26.02.202509:02
Атаки на сервисы становятся всё сложнее и массовее. Чтобы эффективнее противостоять ботнетам, мы вышли за рамки стандартного анализа и пошли дальше — вглубь трафика, геолокации и паттернов атак.
🔹 Интересными кейсами поделился руководитель группы AntiFraud Максим Бронзинский.
🔹 Подробнее читайте в новой статье.
VK Security
#боты #antiddos #эксперты@vk_security
🔹 Интересными кейсами поделился руководитель группы AntiFraud Максим Бронзинский.
🔹 Подробнее читайте в новой статье.
VK Security
#боты #antiddos #эксперты@vk_security
06.02.202509:10
💙 SIEM: что под капотом новой системы мониторинга безопасности?
Наши инженеры SOC разработали и запустили собственную SIEM:
🔹 Модульная система, которая способна обрабатывать очень большое количество данных. Она объединяет как новые, так и успешно зарекомендовавшие себя инженерные решения VK.
🔹 Инфраструктура размещена в едином облаке VK (OneCloud) – там же, где находятся сервисы ВКонтакте, Одноклассников, Дзен, VK Видео и других сервисов VK. Что это значит? Огромные вычислительные мощности и масштабируемость, что делает VK SIEM невероятно быстрым.
Дмитрий Куколев, руководитель VK SOC, рассказывает, как устроена VK SIEM и что изображено на схеме:
1️⃣ Модуль нормализации: преобразование «сырых» логов в CEF+
Для обработки всех поступающих событий мы используем универсальную схему Common Event Format, но постоянно расширяем ее (сейчас она содержит 300+ полей).
🔹 Для нормализации событий используем Vector.dev.
2️⃣ Модуль обогащения: наша реализация «активных листов»
Сразу на потоке добавляем контекст, чтобы уже на моменте корреляции получать всю необходимую информацию о событии.
🔹 Реализовали функционал «статических активных листов» (обновление списков обогащения раз в несколько часов) и «динамических активных листов» (обновление списков обогащений несколько раз в минуту на основе информации из предыдущих событий). Один из сценариев «динамических активных листов» – обновления на основе результатов коррелятора.
3️⃣ Хранилище обогащений
Key-value хранилище, источник модуля обогащения.
4️⃣ Коррелятор
Потоковый коррелятор событий, который анализирует на скоростях в миллионы EPS. Может легко масштабироваться без потери производительности. Все правила написаны и обновляются нашими аналитиками.
🔹 Также дополнительно разрабатываем «ретроспективный» коррелятор для корреляции и поиска IoC в логах, автоматически записанных в наши базы данных.
5️⃣ Пользовательский интерфейс (UI) для аналитиков SOC
Используем OpenSearch Dashboards: во-первых, чтобы сохранить пользовательский опыт наших инженеров (это очень удобный инструмент для работы с логами и выявления аномалий), а во-вторых, это Open Source, который мы можем использовать как конструктор и дорабатывать под наши потребности.
6️⃣ Холодное хранилище
Выбрали YTSaurus как успешно зарекомендовавшее себя внутри VK (и не только) решение для распределенного хранения данных, особенно, с потенциалом для масштабирования. Наша задача – получать доступ к логам, полученные минимум за последние полгода, а в идеале – без ограничения по сроку.
7️⃣ Индексатор
Разработали модуль индексации, чтобы обеспечить быстрый полнотекстовый поиск по петабайтам событий и возможностью сложных агрегаций.
8️⃣ Горячее хранилище
Чтобы максимально быстро находить актуальные события, в нашей архитектуре предусмотрено горячее хранилище. В сочетании с индексатором это дает аналитикам возможность за несколько секунд получать доступ к данным за последние 3 месяца.
🔹 Здесь используем Click House, который предоставляется в нашей инфраструктуре как сервис.
9️⃣ Транслятор
Так как наше модульное решение включает ClickHouse (горячее хранилище), YTSaurus (холодное хранилище), собственный индексатор и ядро OpenSearch Dashboard (только UI, от хранения событий в OpenSearch мы сознательно отказались), то для их объединения и бесшовного функционирования нам понадобилось создать транслятор.
🔹Используя внешний индексатор, он преобразовывает запросы пользователя в базы данных, а затем снова преобразовывает для отображения ответа в UI. Транслятор умеет одновременно работать с холодным и горячим хранилищем, поэтому аналитику не нужно думать, где хранятся те или иные данные, все работает по одной кнопке.
🔹 О том, как мы в VK пришли к созданию своей собственной SIEM-системы – про новые реалии и вызовы BigTech, как формулировали задачу и с какими сложностями столкнулись на пути, можно послушать здесь.
💬 Оставляйте ваши вопросы в комментариях.
VK Security
#soc #siem
Наши инженеры SOC разработали и запустили собственную SIEM:
🔹 Модульная система, которая способна обрабатывать очень большое количество данных. Она объединяет как новые, так и успешно зарекомендовавшие себя инженерные решения VK.
🔹 Инфраструктура размещена в едином облаке VK (OneCloud) – там же, где находятся сервисы ВКонтакте, Одноклассников, Дзен, VK Видео и других сервисов VK. Что это значит? Огромные вычислительные мощности и масштабируемость, что делает VK SIEM невероятно быстрым.
Дмитрий Куколев, руководитель VK SOC, рассказывает, как устроена VK SIEM и что изображено на схеме:
1️⃣ Модуль нормализации: преобразование «сырых» логов в CEF+
Для обработки всех поступающих событий мы используем универсальную схему Common Event Format, но постоянно расширяем ее (сейчас она содержит 300+ полей).
🔹 Для нормализации событий используем Vector.dev.
2️⃣ Модуль обогащения: наша реализация «активных листов»
Сразу на потоке добавляем контекст, чтобы уже на моменте корреляции получать всю необходимую информацию о событии.
🔹 Реализовали функционал «статических активных листов» (обновление списков обогащения раз в несколько часов) и «динамических активных листов» (обновление списков обогащений несколько раз в минуту на основе информации из предыдущих событий). Один из сценариев «динамических активных листов» – обновления на основе результатов коррелятора.
3️⃣ Хранилище обогащений
Key-value хранилище, источник модуля обогащения.
4️⃣ Коррелятор
Потоковый коррелятор событий, который анализирует на скоростях в миллионы EPS. Может легко масштабироваться без потери производительности. Все правила написаны и обновляются нашими аналитиками.
🔹 Также дополнительно разрабатываем «ретроспективный» коррелятор для корреляции и поиска IoC в логах, автоматически записанных в наши базы данных.
5️⃣ Пользовательский интерфейс (UI) для аналитиков SOC
Используем OpenSearch Dashboards: во-первых, чтобы сохранить пользовательский опыт наших инженеров (это очень удобный инструмент для работы с логами и выявления аномалий), а во-вторых, это Open Source, который мы можем использовать как конструктор и дорабатывать под наши потребности.
6️⃣ Холодное хранилище
Выбрали YTSaurus как успешно зарекомендовавшее себя внутри VK (и не только) решение для распределенного хранения данных, особенно, с потенциалом для масштабирования. Наша задача – получать доступ к логам, полученные минимум за последние полгода, а в идеале – без ограничения по сроку.
7️⃣ Индексатор
Разработали модуль индексации, чтобы обеспечить быстрый полнотекстовый поиск по петабайтам событий и возможностью сложных агрегаций.
8️⃣ Горячее хранилище
Чтобы максимально быстро находить актуальные события, в нашей архитектуре предусмотрено горячее хранилище. В сочетании с индексатором это дает аналитикам возможность за несколько секунд получать доступ к данным за последние 3 месяца.
🔹 Здесь используем Click House, который предоставляется в нашей инфраструктуре как сервис.
9️⃣ Транслятор
Так как наше модульное решение включает ClickHouse (горячее хранилище), YTSaurus (холодное хранилище), собственный индексатор и ядро OpenSearch Dashboard (только UI, от хранения событий в OpenSearch мы сознательно отказались), то для их объединения и бесшовного функционирования нам понадобилось создать транслятор.
🔹Используя внешний индексатор, он преобразовывает запросы пользователя в базы данных, а затем снова преобразовывает для отображения ответа в UI. Транслятор умеет одновременно работать с холодным и горячим хранилищем, поэтому аналитику не нужно думать, где хранятся те или иные данные, все работает по одной кнопке.
🔹 О том, как мы в VK пришли к созданию своей собственной SIEM-системы – про новые реалии и вызовы BigTech, как формулировали задачу и с какими сложностями столкнулись на пути, можно послушать здесь.
💬 Оставляйте ваши вопросы в комментариях.
VK Security
#soc #siem
Не змаглі атрымаць доступ
да медыяконтэнту
да медыяконтэнту
19.01.202519:45
Как команда антиспама Почта Mail борется со злоумышленниками?
🧠 ML и нейросети: регулярное обогащение ML-модели данными о новых паттернах поведения мошенников, а также обратный анализ заблокированного (проверяют, не было ли похожих обращений от злоумышленников в других сервисах VK)
🔎 Собственные OCR и краулеры для поиска фишинга в зашумленном контенте
🙌 Команда спам-аналитиков, которая дежурит и принимает меры по блокировке 24/7
✏️ Прямые обращения пользователей: здесь можно найти максимально свежие и уникальные примеры фишинга, которые в дальнейшем передаются на обучение ML-модели
А результат?
✔️ Удалось на 43,5% сократить общее количество спама с октября по декабрь 2024: благодаря усилению ИИ было заблокировано более 6,1 млрд писем со спамом и мошенничеством.
VK Security
#фишинг #почта #спам
🧠 ML и нейросети: регулярное обогащение ML-модели данными о новых паттернах поведения мошенников, а также обратный анализ заблокированного (проверяют, не было ли похожих обращений от злоумышленников в других сервисах VK)
🔎 Собственные OCR и краулеры для поиска фишинга в зашумленном контенте
🙌 Команда спам-аналитиков, которая дежурит и принимает меры по блокировке 24/7
✏️ Прямые обращения пользователей: здесь можно найти максимально свежие и уникальные примеры фишинга, которые в дальнейшем передаются на обучение ML-модели
А результат?
✔️ Удалось на 43,5% сократить общее количество спама с октября по декабрь 2024: благодаря усилению ИИ было заблокировано более 6,1 млрд писем со спамом и мошенничеством.
VK Security
#фишинг #почта #спам
28.03.202513:00
🖥 Вы просили — мы открыли!
Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.
Делимся инсайтами авторов🔹
circuit:
cutoffurmind:
kedr:
🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?
🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.
🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!
И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.
VK Security
#bugbounty #bountypass #reports
Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.
Делимся инсайтами авторов🔹
circuit:
«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».
cutoffurmind:
«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».
kedr:
«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».
🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?
🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.
🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!
И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.
VK Security
#bugbounty #bountypass #reports
07.03.202509:03
🔎 Ищем эксперта по Архитектуре ИБ
Если вы умеете строить защищенные системы, знаете векторы атак и умеете управлять рисками ИБ, то у нас есть для вас интересные задачи:
✅ проектирование безопасной архитектуры;
✅ контроль эффективности защитных решений;
✅ сопровождение интеграций, пентестов и категоризации данных;
✅ оценка соответствия при выводе систем в прод;
✅ поддержка команд разработки по вопросам ИБ.
Если мы вас заинтересовали или в памяти сразу всплыл подходящий кандидат — не думайте долго и напишите @lisenkova_a
Подробнее 👉 в описании вакансии: https://vk.cc/cJp3ib
VK Security
#вакансии #security
Если вы умеете строить защищенные системы, знаете векторы атак и умеете управлять рисками ИБ, то у нас есть для вас интересные задачи:
✅ проектирование безопасной архитектуры;
✅ контроль эффективности защитных решений;
✅ сопровождение интеграций, пентестов и категоризации данных;
✅ оценка соответствия при выводе систем в прод;
✅ поддержка команд разработки по вопросам ИБ.
Если мы вас заинтересовали или в памяти сразу всплыл подходящий кандидат — не думайте долго и напишите @lisenkova_a
Подробнее 👉 в описании вакансии: https://vk.cc/cJp3ib
VK Security
#вакансии #security
24.02.202509:10
VK Security Confab #3: регистрация завершена
Друзья, спасибо за ваш интерес к VK Security Confab! Мы получили очень большое количество заявок на митапsurprise-surprise 🔹 поэтому все еще занимаемся их обработкой...
🔹Если вы еще не получили ответ от нас — пожалуйста, подождите чуть-чуть, мы обязательно свяжемся с каждым.
🔹Совсем скоро увидимся и обсудим всё самое интересное из мира Bug Bounty!
VK Security
#митап #confab #bugbounty
Друзья, спасибо за ваш интерес к VK Security Confab! Мы получили очень большое количество заявок на митап
🔹Если вы еще не получили ответ от нас — пожалуйста, подождите чуть-чуть, мы обязательно свяжемся с каждым.
🔹Совсем скоро увидимся и обсудим всё самое интересное из мира Bug Bounty!
VK Security
#митап #confab #bugbounty
05.02.202513:02
🔹Save the Date: Всем багхантерам приготовиться – приглашаем на митап 27 февраля
Мы долго думали, какой теме посвятить наш первый VK Security Confab в 2025 году, и для бодрого старта выбрали Bug Bounty 🔹
📒 О регистрации на митап сообщим позже, а пока – ничего не планируйте на вечер 27 февраля.
Уже по традиции, встречаемся в нашем московском офисе 💙 на Ленинградском проспекте.
Обещаем, будут крутые доклады от багхантеров и нашей команды VK Bug Bounty.
И конечно, афтепати. 😎
🔔 Call for Papers
Есть интересная тема для доклада? Готов поделиться своими секретами с сообществом?
💬 Тогда напиши до 12 февраля Петру Уварову (@s3n_q) о своем желании выступить на митапе.
Ждем ваши заявки и до встречи!
VK Security
#confab #bugbounty #митап
Мы долго думали, какой теме посвятить наш первый VK Security Confab в 2025 году, и для бодрого старта выбрали Bug Bounty 🔹
📒 О регистрации на митап сообщим позже, а пока – ничего не планируйте на вечер 27 февраля.
Уже по традиции, встречаемся в нашем московском офисе 💙 на Ленинградском проспекте.
Обещаем, будут крутые доклады от багхантеров и нашей команды VK Bug Bounty.
И конечно, афтепати. 😎
🔔 Call for Papers
Есть интересная тема для доклада? Готов поделиться своими секретами с сообществом?
💬 Тогда напиши до 12 февраля Петру Уварову (@s3n_q) о своем желании выступить на митапе.
Ждем ваши заявки и до встречи!
VK Security
#confab #bugbounty #митап
25.03.202512:59
🔹 VK Tech: ищем эксперта продуктовой безопасности
Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:
🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации
Ваш опыт:
▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом
Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP
VK Security
#job #VKTech
Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:
🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации
Ваш опыт:
▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом
Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP
VK Security
#job #VKTech
05.03.202513:00
⚙️ Владимир Соперников, эксперт-аналитик информационной безопасности Почта Mail, рассказал в новой статье на Хабре, как он автоматизировал мониторинг, заменив устаревшие скрипты на гибкую систему autobb.
За 7 минут (именно столько займет чтение) вы узнаете:
🔵Как организован поиск доменов, портов и HTTP-ресурсов.
🔵 Почему MongoDB, Docker и Project Discovery стали основой решения.
🔵Как мы научились находить уязвимости до того, как о них сообщат багхантеры?
🔵Какие нюансы и подводные камни учли при внедрении.
Бонус: много кода и ссылки на репозиторий!
🔗 Читать статью: https://vk.cc/cJmdfs
За 7 минут (именно столько займет чтение) вы узнаете:
🔵Как организован поиск доменов, портов и HTTP-ресурсов.
🔵 Почему MongoDB, Docker и Project Discovery стали основой решения.
🔵Как мы научились находить уязвимости до того, как о них сообщат багхантеры?
🔵Какие нюансы и подводные камни учли при внедрении.
Бонус: много кода и ссылки на репозиторий!
🔗 Читать статью: https://vk.cc/cJmdfs
17.02.202514:03
🔹VK Security Confab #3: всё о Bug Bounty
27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.
Программа митапа уже на сайте, а вот небольшой спойлер:
🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.
🔵Алексей Лямкин расскажет, как устроен триаж изнутри.
🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.
🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.
🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.
И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.
🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.
🔹 Сбор гостей в 18:30, начало — в 19:00.
VK Security
#митап #confab #bugbounty
27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.
Программа митапа уже на сайте, а вот небольшой спойлер:
🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.
🔵Алексей Лямкин расскажет, как устроен триаж изнутри.
🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.
🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.
🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.
И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.
🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.
🔹 Сбор гостей в 18:30, начало — в 19:00.
VK Security
#митап #confab #bugbounty
04.02.202513:42
🔹 Сейчас нашей команде требуется специалист MLSecOps, который будет принимать участие в создании надежной и безопасной ML-инфраструктуры в тесном сотрудничестве с командами AI и ИБ.
➡️ Читай подробнее о том, какие задачи тебя ждут, в описании вакансии.
Если ты когда-то пытался взломать LLM или другие генеративные модели, знаешь, куда будут целить злоумышленники и как избежать восстания машин, то вот твой шанс ✨
📩 Присылай резюме нашему рекрутеру Дарье @dsvorobyova
VK Security
#вакансии #ml #ai #security
➡️ Читай подробнее о том, какие задачи тебя ждут, в описании вакансии.
Если ты когда-то пытался взломать LLM или другие генеративные модели, знаешь, куда будут целить злоумышленники и как избежать восстания машин, то вот твой шанс ✨
📩 Присылай резюме нашему рекрутеру Дарье @dsvorobyova
VK Security
#вакансии #ml #ai #security
17.03.202510:01
💬 Как RuStore защищает свои релизы?
🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.
🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.
🔹 Читать статью
VK Security
#RuStore #статья #SecurityGate
🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.
🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.
🔹 Читать статью
VK Security
#RuStore #статья #SecurityGate
28.02.202511:59
🔹Багхантеры, вы тут?!
У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!
🔹 Когда: 28 февраля – 28 марта
🔹 И не забывайте про плюшки от Bounty Pass Forever:
🔵до +5% бонусов за баги
🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта
Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #forever
У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!
🔹 Когда: 28 февраля – 28 марта
🔹 И не забывайте про плюшки от Bounty Pass Forever:
🔵до +5% бонусов за баги
🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта
Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!
@VK Security
#bugbounty #bountypass #forever
13.02.202510:35
🔍 Поиск угроз: с чего начать и как найти аномалию
Threat Hunting (или проактивный поиск киберугроз) – один из самых увлекательных и тяжелых процессов в работе аналитиков SOC.
И если вы давно хотели узнать, что делают специалисты, чтобы вовремя обнаружить следы угроз в периметре компании, то вот очень подробная статья на Хабре, которую написал наш эксперт – Иван Костыря из группы реагирования VK SOC.
📎Что еще вы узнаете:
🔵в идеальной картине мира VS как на практике
🔵погружение в процесс поиска угроз с элементами детектива
🔵инструменты и техники для обкатки навыков
🔵зачем нужна пирамида боли
🔵есть ли предел у поиска и зачем так много вопросов
💬 Делитесь вашими впечатлениями от статьи в комментариях.
PS: все ваши 🔹🔹🔹 улетят в карму автора
VK Security
#soc #threathunting #угрозы
Threat Hunting (или проактивный поиск киберугроз) – один из самых увлекательных и тяжелых процессов в работе аналитиков SOC.
И если вы давно хотели узнать, что делают специалисты, чтобы вовремя обнаружить следы угроз в периметре компании, то вот очень подробная статья на Хабре, которую написал наш эксперт – Иван Костыря из группы реагирования VK SOC.
В этой статье я описал свой опыт и основные мысли, которыми руководствуются аналитики SOC, когда различными способами раскручивают аномалии, чтобы они не превратились в инцидент. В каких-то примерах я опирался на общую TH/TI практику, а где-то ссылался на то, как выстроены процессы внутри нашей команды.
Статья не сильно нагружена в техническом плане, но позволяет выработать свой собственный алгоритм действий и понять, какие шаги нужно делать на том или ином этапе работы, с чего начать поиск внутренних угроз, которые не всегда выражены в явном виде.
📎Что еще вы узнаете:
🔵в идеальной картине мира VS как на практике
🔵погружение в процесс поиска угроз с элементами детектива
🔵инструменты и техники для обкатки навыков
🔵зачем нужна пирамида боли
🔵есть ли предел у поиска и зачем так много вопросов
💬 Делитесь вашими впечатлениями от статьи в комментариях.
PS: все ваши 🔹🔹🔹 улетят в карму автора
VK Security
#soc #threathunting #угрозы
29.01.202513:20
Новые CVE: что можно найти в Next.js
Разбираем вместе с Андреем Матвеенко из команды AppSec (ВКонтакте) и автором канала Blue (h/c)at Café нашумевшую и легкоэксплуатируемую уязвимость в Next.js.
Next.js использует два механизма для работы с данными: SSG (Static Site Generation) и SSR (Server-Side Rendering). SSG генерирует страницы на этапе сборки, которые потом кешируются CDN с использованием заголовков вроде
В отличие от SSG, SSR динамически создает контент на основе запроса пользователя и предполагает строгий контроль за кешированием (
🔹 Proof of Concept (PoC)
Уязвимость позволяет обмануть сервер, заставив его воспринимать SSR-запросы как SSG. Это достигается путем добавления параметра
После этого сервер начинает кешировать динамические данные, которые изначально не предназначались для кеша. Это может привести к отравлению кеша, когда пользователи начинают получать неверные данные. Более того, если сервер отражает данные из запроса, это открывает возможности для Stored XSS. Условный злоумышленник может отправить запрос с вредоносным кодом в заголовке, например:
После выполнения такого запроса вредоносный код будет сохранен в кеше и сработает при каждом посещении страницы.
Ссылка на PoC — тут.
Последствия эксплуатации:
🔹 DoS (Denial of Service)
🔹 Stored XSS
🔹 Утечка данных
Рекомендации по защите
1️⃣ Обновление Next.js до версии ≥ 14.2.10* (UPD)
2️⃣ На уровне приложения или CDN удаляйте все заголовки, которые не были указаны в спеке:
3️⃣ Убедитесь, что сервер использует строгие правила кеширования для SSR:
VK Security
#appsec #эксперты #cve #разбор
Разбираем вместе с Андреем Матвеенко из команды AppSec (ВКонтакте) и автором канала Blue (h/c)at Café нашумевшую и легкоэксплуатируемую уязвимость в Next.js.
Недавно в команде мы столкнулись с интересной ситуацией, связанной с неожиданным поведением механизма кеширования в Next.js. Это натолкнуло на мысль, что при определённых условиях можно добиться некорректной обработки пользовательских данных, что открывает путь для нестандартных атак — отравление кеша или внедрение нежелательного содержимого. Мы начали изучать материалы из открытых источников, а также проверять все наши внутренние сервисы на наличие проблемы. Рассказываю здесь, что мы нашли, как это можно проэксплуатировать и как защититься.
Next.js использует два механизма для работы с данными: SSG (Static Site Generation) и SSR (Server-Side Rendering). SSG генерирует страницы на этапе сборки, которые потом кешируются CDN с использованием заголовков вроде
Cache-Control: s-maxage=31536000, stale-while-revalidate. В отличие от SSG, SSR динамически создает контент на основе запроса пользователя и предполагает строгий контроль за кешированием (
Cache-Control: private, no-cache, no-store, max-age=0, must-revalidate ). 🔹 Proof of Concept (PoC)
Уязвимость позволяет обмануть сервер, заставив его воспринимать SSR-запросы как SSG. Это достигается путем добавления параметра
__nextDataReq и заголовка x-now-route-matches. Например, следующий запрос к уязвимому серверу изменяет правила кеширования:После этого сервер начинает кешировать динамические данные, которые изначально не предназначались для кеша. Это может привести к отравлению кеша, когда пользователи начинают получать неверные данные. Более того, если сервер отражает данные из запроса, это открывает возможности для Stored XSS. Условный злоумышленник может отправить запрос с вредоносным кодом в заголовке, например:
После выполнения такого запроса вредоносный код будет сохранен в кеше и сработает при каждом посещении страницы.
Ссылка на PoC — тут.
Последствия эксплуатации:
🔹 DoS (Denial of Service)
🔹 Stored XSS
🔹 Утечка данных
Рекомендации по защите
1️⃣ Обновление Next.js до версии ≥ 14.2.10* (UPD)
2️⃣ На уровне приложения или CDN удаляйте все заголовки, которые не были указаны в спеке:
3️⃣ Убедитесь, что сервер использует строгие правила кеширования для SSR:
VK Security
#appsec #эксперты #cve #разбор
Паказана 1 - 17 з 17
Увайдзіце, каб разблакаваць больш функцый.