🔹Навигация

В канале собралось уже немало полезных материалов — и чтобы вам было проще ориентироваться, мы собрали удобную навигацию:

#эксперты — про доклады, выступления и статьи от наших экспертов

#технологии — о продуктах и собственной разработке

#разбор — про решения реальных кейсов, подходы и выводы

#confab #митап — о главной конференции года VK Security Confab Max и тематических митапах

#вакансии — о том, как попасть в нашу команду или напишите
@lisenkova_a

📌 Тематические направления:
#SOC
#appsec
#devops
#bugbounty
#инфраструктура

⚙️ Собственные технологии:
• #SecurityGate
• #VKey
• #SIEM
• #WARP

Список хэштегов будет обновляться по мере появления новых материалов 🔥

VK Security

Ищем баги и любовь

Майские уже не за горами, а вы всё ещё не решили, что будете «ломать» на длинных выходных? У нас для вас отличные новости!

Расширили программу VK Bug Bounty и добавили «Сервисы Знакомств VK», туда входят:

👩‍❤️‍👨 VK Знакомства
💙 ОК Знакомства

💸Максимальное вознаграждение — до 1 млн ₽

Перейти к программе и отправить отчет можно:
• Standoff Bug Bounty
• BI.ZONE Bug Bounty
• Bugbounty.ru

VK Security | Буст этому каналу!

#bugbounty #bountypass

🥳 Программе Bounty Pass — один год!

Больше тысячи отчётов, отмена максимальных выплат и сотни багхантеров, которые сделали этот год особенным.

Спасибо каждому, кто участвует в Bounty Pass! Без вас не было бы ни роста, ни рекордов, ни прогресса!

🙌 Напоминаем: бонусы можно накапливать
С каждым оплачиваемым отчётом — до +5% к следующей выплате!

Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!

VK Security | Буст этому каналу!

#bugbounty #bountypass

📱 VKey под капотом: политики, ключи, SSH-сертификаты

Продолжаем разбирать архитектуру VKey. Начало здесь.

➡️ Политики доступа к ключам

Для доступа приложений к ключу могут применяться разные методы:

🔹Ввод PIN-кода
🔹Использование биометрии (Touch ID / Windows Hello)

✅ Это позволяет реализовать разные сценарии работы

Сейчас мы используем 4 ключа в TPM/Secure Enclave:

🔹SSH (Dev) — политика не требует второго фактора;

🔹SSH (Prod) — политика требует обязательный второй фактор (TouchID, PIN, Windows Hello);

🔹VPN сертификат — без второго фактора;

🔹mTLS сертификат — с обязательным вторым фактором.

👍 Переход на SSH-сертификаты

Помимо хранения SSH-ключей в TPM/Secure Enclave, мы теперь используем SSH-сертификаты, которые генерируются на базе SSH-ключей. При использовании SSH-ключей необходимо копировать открытый ключ на каждый хост, к которому требуется доступ — и повторять эту процедуру для каждого пользователя.

🔹Преимущества:

🔹Не нужно раскладывать ключи по машинам
🔹Можно выдавать доступ по логину
🔹Разные CA для Dev и Prod позволяют разграничивать доступ

👉 В следующей части — расскажем, как VKey используется для VPN и mTLS.

#vkey #эксперты #разбор

🛡 VKey под капотом: отказ от физических токенов

В первой части мы рассказали, как VKey защищает SSH-доступ к инфраструктуре.
Сегодня — технические детали: что именно происходит под капотом и какое развитие получил сервис VKey, использующий крипточипы вместо USB-токенов.

Если пропустили — вот первая часть.

⛔ Почему отказались от токенов

🔹YubiKey и OTP-токены — удобный способ добавить второй фактор, но их можно забыть, потерять или подключить к ненадёжному устройству.
🔹Они требуют физического доступа — неудобно при удалённой работе.
🔹Устройства не масштабируются: сложно, дорого и громоздко.

✅ Что заменяет токены

Мы используем встроенные TPM (Windows/Linux) и Secure Enclave (macOS) как защищённые хранилища приватных ключей. Это не просто альтернатива токенам — это криптографически безопасный способ хранения, с рядом преимуществ:
🔹ключ нельзя извлечь или изменить — даже владельцем устройства.
🔹используется процедура Аттестации — ключ подписывается специальным аппаратным ключом TPM/Secure Enclave, которому доверяем (информацию о котором мы получаем еще на этапе первоначальной конфигурации устройства и которому доверяем).

👉 В следующей части — как мы реализовали гибкие политики доступа, какие ключи храним и как это всё работает в инфраструктуре.

Не переключайтесь 😎

VK Security | Буст этому каналу!

#vkey #эксперты #разбор

🔹🔹🔹🔹🔹🔹🔹🔹🔹🔹🔹

на VK Security Confab открыта

Ждём инженеров, аналитиков и разработчиков технических решений SOC. Поговорим об автоматизации, управлении изменениями и снижении рутины. Обсудим живые кейсы, поделимся практиками и просто соберёмся вместе 🔹

🔹 Когда: 24 апреля в 19:00.

🔹 Где: офлайн в нашем московском офисе.

В программе:

🔥 VK SOC: куда мы движемся на скорости 1,5 млн EPS. Дмитрий Куколев, Руководитель VK SOC

🔥 Алгоритмы на страже: как сократить рутину L1. Алексей Кудрявцев, Аналитик SOC L1, VK

🔥 Как раскатить агент мониторинга на базе auditd на 30К машин. Андрей Борисов, Руководитель отдела ИБ-решений, VK

🔥 Ревью без хаоса: как довериться изменениям в SOC. Кирилл Ваулин и Дмитрий Старинов, инженеры по информационной безопасности, Яндекс

Бегу регистрироваться 💨

VK Security | Буст этому каналу!

#митап #confab #SOC

Открытые порты: невидимая угроза, которая может стоить миллионы

🔎 Публикуем тезисы из доклада Максима Казенкова, эксперта направления DevOps.

💵 В 2019 Capital One потерял данные 100+ млн клиентов из-за одного открытого порта. Обошли firewall → попали в базу. Штрафы, компенсации, удар по репутации — на десятки миллионов долларов.

Почему это важно?
Каждый открытый порт = потенциальная дыра в системе. Если не заметить или настроить неправильно — злоумышленник это сделает за вас.

Что с этим делать?
Регулярно сканировать периметр. Но тут есть свои нюансы:

- Nmap — точный, но слишком медленный при масштабном сканировании.
- Masscan — очень быстрый, но часто выдаёт ложные срабатывания и не подходит для глубокого анализа.
- Коммерческие сканеры — как стрелять из пушки по воробьям: тяжёлые, дорогие и зачастую избыточные. Их настраивать — отдельный квест, а стоят как крыло от Боинга. Да и заточены они под всё подряд: уязвимости, инфраструктура, политика, а не просто периметр и порты.

➡️Так родился NMon, который объединяет скорость Masscan и точность Nmap, поддерживая распределенное сканирование.

Это позволяет:

🔹 анализировать периметр в реальном времени.

🔹 гибко настраивать параметры сканирования.

🔹 встраивать в системы безопасности.

🤖 Впереди — ML для автоматического распознавания административных панелей и анализа изменений в инфраструктуре.

🔗 Смотреть полное видео

VK Security

#NMon #технологии #эксперты #доклады

- Скажи мне три главных слова.
- Security. Operation. Center.

🔹 24 апреля в 19:00 приглашаем аналитиков и инженеров SOC в московский офис VK на новый митап VK Security Confab!

Обсудим:

🔘Какие изменения необходимы современному SOC?
🔘Как автоматизировать рутину и освободить время для сложных задач?
🔘Какие технологии применяют в BigTech?

🔹Обещаем — будут внутренние кейсы и выступления приглашённых экспертов.

🔹Совсем скоро опубликуем программу и начнем регистрацию, а пока берите на заметку дату и планируйте ваш визит в офис VK!

Будет интересно!

VK Security

#митап #confab #SOC

Где деньги бонусы, Лебовски?

Отвечаем: вся активность и количество бонусов VK Bug Bounty в одном месте! Теперь каждый участник программы ❤️ Bug Bounty может отслеживать свой прогресс в новом личном кабинете на VK Bug Bounty.

В личном кабинете доступны:

🔵количество сданных отчетов
🔵накопленный бонус Bounty Pass
🔵срок его действия

Статистика собирается автоматически со всех платформ Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru — ни один отчет не останется без внимания.

Не забывайте, бонусы можно накапливать! С каждым оплачиваемым отчетом — до +5% к следующему вознаграждению.

Больше критов — больше наград!

🔗 Регистрируйтесь прямо сейчас!

VK Security

#bugbounty #bountypass

🖥 Вы просили — мы открыли!

Стартуем с практикой раскрытия отчетов от багхантеров! На платформе Standoff Bug Bounty уже доступны первые 7 отчетов, подготовленные cutoffurmind, kedr и circuit.

Делимся инсайтами авторов🔹

circuit:
«Начинающие багхантеры должны как-то учиться. Учиться на чужих примерах — это отличный вариант. Да и программы будут получать больше репортов после дисклозов, мне так кажется. Кого-то эти отчеты смогут мотивировать на поиск уязвимостей».

cutoffurmind:
«Это редкий вариант эксплуатации blind RCE, когда на выходе имеем только exit status код процесса. А еще уязвимость была найдена после анализа исходного кода проекта на GitHub».

kedr:
«Помимо обмена опытом (а большая часть багбаунти — это изучение находок других хантеров), дисклозы создают ощущение «движухи» и подталкивают тебя к тому, чтобы тоже пойти и потыкать программу. Кроме того, можно посмотреть, как компания оценивает уязвимости и высчитывает критичность — ведь одна и та же XSS может быть как medium, так и high-critical».

🔹 Поддерживаем мнение авторов — что может быть более вдохновляющим, чем чужой репорт?

🔹Поэтому не собираемся на этом заканчивать, следите за обновлениями — в будущем вас ждут новые дисклозы.

🔹 Надеемся, что опубликованные отчеты натолкнут вас на новые поиски — ждем ваши отчеты в программу VK Bug Bounty!

И не забывайте, что с Bounty Pass можно копить бонусы к выплатам на целый год.

VK Security

#bugbounty #bountypass #reports

🔹 VK Tech: ищем эксперта продуктовой безопасности

Если вы умеете строить безопасные процессы разработки, знаете, как проводить тестирование и анализ безопасности, то эта вакансия для вас:

🔹 Построение процесса безопасной разработки
🔹 Формирование требований по ИБ к продуктам
🔹 Проведение архитектурного ревью и анализ безопасности
🔹 Тестирование на проникновение и динамический анализ
🔹 Взаимодействие с командами разработки и эксплуатации

Ваш опыт:

▪️Знания стандартов сертификации ПО и технологий безопасности
▪️Опыт тестирования и анализа безопасности
▪️Навыки работы с инструментами SAST, SCA, динамическим анализом

Прислать резюме: @lisenkova_a
Подробнее о вакансии: https://vk.cc/cJVHJP

VK Security

#вакансии #VKTech

💬 Как RuStore защищает свои релизы?

🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.

🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.

🔹 Читать статью

VK Security

#RuStore #статья #SecurityGate

SSRF: маленькая уязвимость – большие проблемы

На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.

Мы подготовили карточки с ключевыми моментами из его доклада:

🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают

👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt

#эксперты #доклады #confab #разбор #appsec

🔎 Ищем эксперта по Архитектуре ИБ

Если вы умеете строить защищенные системы, знаете векторы атак и умеете управлять рисками ИБ, то у нас есть для вас интересные задачи:

✅ проектирование безопасной архитектуры;
✅ контроль эффективности защитных решений;
✅ сопровождение интеграций, пентестов и категоризации данных;
✅ оценка соответствия при выводе систем в прод;
✅ поддержка команд разработки по вопросам ИБ.

Если мы вас заинтересовали или в памяти сразу всплыл подходящий кандидат — не думайте долго и напишите @lisenkova_a


Подробнее 👉 в описании вакансии: https://vk.cc/cJp3ib

VK Security

#вакансии #security

⚙️ Владимир Соперников, эксперт-аналитик информационной безопасности Почта Mail, рассказал в новой статье на Хабре, как он автоматизировал мониторинг, заменив устаревшие скрипты на гибкую систему autobb.

За 7 минут (именно столько займет чтение) вы узнаете:

🔵Как организован поиск доменов, портов и HTTP-ресурсов.

🔵 Почему MongoDB, Docker и Project Discovery стали основой решения.

🔵Как мы научились находить уязвимости до того, как о них сообщат багхантеры?

🔵Какие нюансы и подводные камни учли при внедрении.

Бонус: много кода и ссылки на репозиторий!

🔗 Читать статью: https://vk.cc/cJmdfs

#разработка #защита_инфраструктуры

🔹VK Security Confab #3: как все прошло?

Если коротко: это было мощно.

Крутые доклады, живое общение и инсайты. Делимся атмосферой и мыслями спикеров:

💬 Про эмоции и атмосферу

Алексей Жучков: «Только положительные. Всё было очень круто, спасибо!»
Юрий Ряднина: «Митап оказался даже лучше, чем я ожидал. Понравились место проведения, доклады и крутые люди, с которыми удалось пообщаться».

💬 Про инсайты

Алексей Жучков: «Может, в докладе я об этом и не сказал, но главный вывод — как такой с виду неприметный баг удалось раскрутить до серьезного импакта. Try harder, как говорится».
Юрий Ряднина: «Потенциально багхантеров от сотен тысяч рублей отделяют буквально несколько строчек репорта. Просто надо взять и искать».
Анна Куренова: «Я хотела показать, что дубликаты — это не беда. Новичкам не стоит разочаровываться, важно учиться минимизировать их количество».

💬 Про формат митапа

Алексей Жучков: «Обычно знаешь багхантеров только по никам, а тут можно было встретиться вживую».
Анна Куренова: «Круто, что можно было пообщаться ещё и со специалистами из разных направлений безопасности: AppSec, SOC, Red Team».

Если есть идеи, какие темы обсудить на будущих мероприятиях — пишите в комментарии🔹🔹🔹

#митап #confab #bugbounty

🔹Багхантеры, вы тут?!

У нас для вас отличная новость: 💙 VK Видео увеличивает выплаты за уязвимости в 2️⃣ раза!

🔹 Когда: 28 февраля – 28 марта

🔹 И не забывайте про плюшки от Bounty Pass Forever:

🔵до +5% бонусов за баги

🔵уникальный мерч за 4+ оплачиваемых отчета до конца марта

Ждем ваши отчеты на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru!

@VK Security

#bugbounty #bountypass #forever

Атаки на сервисы становятся всё сложнее и массовее. Чтобы эффективнее противостоять ботнетам, мы вышли за рамки стандартного анализа и пошли дальше — вглубь трафика, геолокации и паттернов атак.

🔹 Интересными кейсами поделился руководитель группы AntiFraud Максим Бронзинский.

🔹 Подробнее читайте в новой статье.

VK Security

#боты #antiddos #эксперты@vk_security

VK Security Confab #3: регистрация завершена

Друзья, спасибо за ваш интерес к VK Security Confab! Мы получили очень большое количество заявок на митап surprise-surprise 🔹 поэтому все еще занимаемся их обработкой...

🔹Если вы еще не получили ответ от нас — пожалуйста, подождите чуть-чуть, мы обязательно свяжемся с каждым.

🔹Совсем скоро увидимся и обсудим всё самое интересное из мира Bug Bounty!

VK Security

#митап #confab #bugbounty

🔹VK Security Confab #3: всё о Bug Bounty

27 февраля в московском офисе 💙 встречаемся на митапе VK Security Confab. В этот раз обсудим секреты и подводные камни Bug Bounty, техники поиска, инструменты и найденные уязвимости.

Программа митапа уже на сайте, а вот небольшой спойлер:

🔵Петр Уваров поделится планами VK Bug Bounty в 2025 году.

🔵Алексей Лямкин расскажет, как устроен триаж изнутри.

🔵Анна Куренова (SavAnna) поделится мнением, почему дубликат — это не проклятие, а ценный урок.

🔵Юрий Ряднина (circuit) покажет дисклозы нескольких уязвимостей ВКонтакте.

🔵Алексей Жучков (zerodivisi0n) продемонстрирует реальные кейсы, которые могут привести к удаленному исполнению кода.

И конечно, афтепати! 🔹
Обсудим доклады, обменяемся идеями и классно проведем время.

🔹 Скорее регистрируйтесь!
Встреча пройдет только офлайн, онлайн-трансляции и записи не будет.

🔹 Сбор гостей в 18:30, начало — в 19:00.

VK Security

#митап #confab #bugbounty

🔍 Поиск угроз: с чего начать и как найти аномалию

Threat Hunting (или проактивный поиск киберугроз) – один из самых увлекательных и тяжелых процессов в работе аналитиков SOC.

И если вы давно хотели узнать, что делают специалисты, чтобы вовремя обнаружить следы угроз в периметре компании, то вот очень подробная статья на Хабре, которую написал наш эксперт – Иван Костыря из группы реагирования VK SOC.

В этой статье я описал свой опыт и основные мысли, которыми руководствуются аналитики SOC, когда различными способами раскручивают аномалии, чтобы они не превратились в инцидент. В каких-то примерах я опирался на общую TH/TI практику, а где-то ссылался на то, как выстроены процессы внутри нашей команды.

Статья не сильно нагружена в техническом плане, но позволяет выработать свой собственный алгоритм действий и понять, какие шаги нужно делать на том или ином этапе работы, с чего начать поиск внутренних угроз, которые не всегда выражены в явном виде.

📎Что еще вы узнаете:

🔵в идеальной картине мира VS как на практике
🔵погружение в процесс поиска угроз с элементами детектива
🔵инструменты и техники для обкатки навыков
🔵зачем нужна пирамида боли
🔵есть ли предел у поиска и зачем так много вопросов

💬 Делитесь вашими впечатлениями от статьи в комментариях.

PS: все ваши 🔹🔹🔹 улетят в карму автора

VK Security

#soc #threathunting #угрозы

💙 SIEM: что под капотом новой системы мониторинга безопасности?

Наши инженеры SOC разработали и запустили собственную SIEM:

🔹 Модульная система, которая способна обрабатывать очень большое количество данных. Она объединяет как новые, так и успешно зарекомендовавшие себя инженерные решения VK.

🔹 Инфраструктура размещена в едином облаке VK (OneCloud) – там же, где находятся сервисы ВКонтакте, Одноклассников, Дзен, VK Видео и других сервисов VK. Что это значит? Огромные вычислительные мощности и масштабируемость, что делает VK SIEM невероятно быстрым.

Дмитрий Куколев, руководитель VK SOC, рассказывает, как устроена VK SIEM и что изображено на схеме:

1️⃣ Модуль нормализации: преобразование «сырых» логов в CEF+
Для обработки всех поступающих событий мы используем универсальную схему Common Event Format, но постоянно расширяем ее (сейчас она содержит 300+ полей).
🔹 Для нормализации событий используем Vector.dev.

2️⃣ Модуль обогащения: наша реализация «активных листов»
Сразу на потоке добавляем контекст, чтобы уже на моменте корреляции получать всю необходимую информацию о событии.
🔹 Реализовали функционал «статических активных листов» (обновление списков обогащения раз в несколько часов) и «динамических активных листов» (обновление списков обогащений несколько раз в минуту на основе информации из предыдущих событий). Один из сценариев «динамических активных листов» – обновления на основе результатов коррелятора.

3️⃣ Хранилище обогащений
Key-value хранилище, источник модуля обогащения.

4️⃣ Коррелятор
Потоковый коррелятор событий, который анализирует на скоростях в миллионы EPS. Может легко масштабироваться без потери производительности. Все правила написаны и обновляются нашими аналитиками.
🔹 Также дополнительно разрабатываем «ретроспективный» коррелятор для корреляции и поиска IoC в логах, автоматически записанных в наши базы данных.

5️⃣ Пользовательский интерфейс (UI) для аналитиков SOC
Используем OpenSearch Dashboards: во-первых, чтобы сохранить пользовательский опыт наших инженеров (это очень удобный инструмент для работы с логами и выявления аномалий), а во-вторых, это Open Source, который мы можем использовать как конструктор и дорабатывать под наши потребности.

6️⃣ Холодное хранилище
Выбрали YTSaurus как успешно зарекомендовавшее себя внутри VK (и не только) решение для распределенного хранения данных, особенно, с потенциалом для масштабирования. Наша задача – получать доступ к логам, полученные минимум за последние полгода, а в идеале – без ограничения по сроку.

7️⃣ Индексатор
Разработали модуль индексации, чтобы обеспечить быстрый полнотекстовый поиск по петабайтам событий и возможностью сложных агрегаций.

8️⃣ Горячее хранилище
Чтобы максимально быстро находить актуальные события, в нашей архитектуре предусмотрено горячее хранилище. В сочетании с индексатором это дает аналитикам возможность за несколько секунд получать доступ к данным за последние 3 месяца.
🔹 Здесь используем Click House, который предоставляется в нашей инфраструктуре как сервис.

9️⃣ Транслятор
Так как наше модульное решение включает ClickHouse (горячее хранилище), YTSaurus (холодное хранилище), собственный индексатор и ядро OpenSearch Dashboard (только UI, от хранения событий в OpenSearch мы сознательно отказались), то для их объединения и бесшовного функционирования нам понадобилось создать транслятор.
🔹Используя внешний индексатор, он преобразовывает запросы пользователя в базы данных, а затем снова преобразовывает для отображения ответа в UI. Транслятор умеет одновременно работать с холодным и горячим хранилищем, поэтому аналитику не нужно думать, где хранятся те или иные данные, все работает по одной кнопке.

🔹 О том, как мы в VK пришли к созданию своей собственной SIEM-системы – про новые реалии и вызовы BigTech, как формулировали задачу и с какими сложностями столкнулись на пути, можно послушать здесь.

💬 Оставляйте ваши вопросы в комментариях.

VK Security

#soc #siem

🔹Save the Date: Всем багхантерам приготовиться – приглашаем на митап 27 февраля

Мы долго думали, какой теме посвятить наш первый VK Security Confab в 2025 году, и для бодрого старта выбрали Bug Bounty 🔹

📒 О регистрации на митап сообщим позже, а пока – ничего не планируйте на вечер 27 февраля.

Уже по традиции, встречаемся в нашем московском офисе 💙 на Ленинградском проспекте.

Обещаем, будут крутые доклады от багхантеров и нашей команды VK Bug Bounty.
И конечно, афтепати. 😎

🔔 Call for Papers
Есть интересная тема для доклада? Готов поделиться своими секретами с сообществом?

💬 Тогда напиши до 12 февраля Петру Уварову (@s3n_q) о своем желании выступить на митапе.

Ждем ваши заявки и до встречи!

VK Security

#confab #bugbounty #митап

🔹 Сейчас нашей команде требуется специалист MLSecOps, который будет принимать участие в создании надежной и безопасной ML-инфраструктуры в тесном сотрудничестве с командами AI и ИБ.

➡️ Читай подробнее о том, какие задачи тебя ждут, в описании вакансии.

Если ты когда-то пытался взломать LLM или другие генеративные модели, знаешь, куда будут целить злоумышленники и как избежать восстания машин, то вот твой шанс ✨

📩 Присылай резюме нашему рекрутеру Дарье @dsvorobyova

VK Security

#вакансии #ml #ai #security

Новые CVE: что можно найти в Next.js

Разбираем вместе с Андреем Матвеенко из команды AppSec (ВКонтакте) и автором канала Blue (h/c)at Café нашумевшую и легкоэксплуатируемую уязвимость в Next.js.

Недавно в команде мы столкнулись с интересной ситуацией, связанной с неожиданным поведением механизма кеширования в Next.js. Это натолкнуло на мысль, что при определённых условиях можно добиться некорректной обработки пользовательских данных, что открывает путь для нестандартных атак — отравление кеша или внедрение нежелательного содержимого. Мы начали изучать материалы из открытых источников, а также проверять все наши внутренние сервисы на наличие проблемы. Рассказываю здесь, что мы нашли, как это можно проэксплуатировать и как защититься.

Next.js использует два механизма для работы с данными: SSG (Static Site Generation) и SSR (Server-Side Rendering). SSG генерирует страницы на этапе сборки, которые потом кешируются CDN с использованием заголовков вроде Cache-Control: s-maxage=31536000, stale-while-revalidate.

В отличие от SSG, SSR динамически создает контент на основе запроса пользователя и предполагает строгий контроль за кешированием ( Cache-Control: private, no-cache, no-store, max-age=0, must-revalidate ).

🔹 Proof of Concept (PoC)

Уязвимость позволяет обмануть сервер, заставив его воспринимать SSR-запросы как SSG. Это достигается путем добавления параметра __nextDataReq и заголовка x-now-route-matches. Например, следующий запрос к уязвимому серверу изменяет правила кеширования:

GET /poc?__nextDataReq=1 HTTP/1.1
Host: localhost:8080
x-now-route-matches: 1
Cache-Control: s-maxage=1, stale-while-revalidate


После этого сервер начинает кешировать динамические данные, которые изначально не предназначались для кеша. Это может привести к отравлению кеша, когда пользователи начинают получать неверные данные. Более того, если сервер отражает данные из запроса, это открывает возможности для Stored XSS. Условный злоумышленник может отправить запрос с вредоносным кодом в заголовке, например:

GET /poc?__nextDataReq=1 HTTP/1.1
Host: localhost:8080
User-Agent:
x-now-route-matches: 1

После выполнения такого запроса вредоносный код будет сохранен в кеше и сработает при каждом посещении страницы.
Ссылка на PoC — тут.

Последствия эксплуатации:

🔹 DoS (Denial of Service)
🔹 Stored XSS
🔹 Утечка данных

Рекомендации по защите

1️⃣ Обновление Next.js до версии ≥ 14.2.10* (UPD)

2️⃣ На уровне приложения или CDN удаляйте все заголовки, которые не были указаны в спеке:

delete req.headers['x-now-route-matches'];


3️⃣ Убедитесь, что сервер использует строгие правила кеширования для SSR:

res.setHeader('Cache-Control', 'private, no-cache, no-store, max-age=0, must-revalidate');

VK Security

#appsec #эксперты #cve #разбор

(Безопасность + Скорость + Удобство) х Надежность = защита устройств с VKey

Разбираем подробно, что это такое и как работает:

⚙️ Для доступа к корпоративным сетям, облачным ресурсам и админкам, внедрили новый сервис VKey, который обеспечивает защищенное хранение в TPM/Secure Enclave/Yubikey, контроль жизненного цикла SSH сертификатов и их использование только на доверенных устройствах.

🔑 Что делает VKey:

➡️ генерирует SSH ключи в выбранном Keyring ➡️ проводит аттестацию ключей SSH (проверяет политики доступа к Keyring) ➡️ подписывает SSH ключи соответствующим CA по результатам аттестации.

А еще сервис позволяет:
🔘входить по TouchID или ПИН-коду для TPM
🔘ротировать пользовательские, машинные и СА сертификаты
🔘снижает количество точек отказа – позволяет отказаться от бастион-хостов, снижая нагрузку на центральные сервисы
🔘безопасно подключаться к удаленным машинам благодаря SSH agent-forwarding
🔘масштабироваться и легко интегрироваться с другими сервисами (например, GitLab)

В карточках – схема архитектуры сервиса управления и описание, как происходит генерация SSH ключей.

💬 Пишите в комментариях, что еще хотите узнать про VKey.

VK Security

#vkey #разработка #endpoint