Feed cleverhans-blog [copy] http://www.cleverhans.io/feed.xml has loading error: cURL error 22: The requested URL returned error: 404
Feed Security (b)log [copy] http://securityblogru.livejournal.com/data/rss has loading error: cURL error 22: The requested URL returned error: 403 Forbidden
OWASP Cumulus: Threat Modeling the Ops of DevOps (god2025)
In this presentation, we will highlight how threat modeling, as a proactive measure, can increase security in DevOps projects.
We will introduce OWASP Cumulus, a threat modeling card game designed for threat modeling the Ops part of DevOps processes. This game (in combination with similar games like Elevation of Privilege or OWASP Cornucopia) enables DevOps teams to take the security responsibility for their project in a lightweight and engaging way.
Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/
about this event: https://c3voc.de
Video:god2025-56482-eng-OWASP_Cumulus_Threat_Modeling_the_Ops_of_DevOps_hd.mp4
Continuous Vulnerability Scanning with OWASP secureCodeBox (god2025)
The OWASP secureCodeBox project aims to provide a unified way to run and automate open-source scanning tools like nmap, nuclei, zap, ssh-audit, and sslyze to continuously scan the code and infrastructure of entire organizations. This allows setting up automated scans that will regularly scan internal networks and internet-facing systems for vulnerabilities. The SCB also allows defining rules to automatically start more in-depth scans based on previous findings, e.g., to start a specialized SSH scan if a port scan discovers an open SSH port. Scan results can be uniformly handled with prebuilt hooks, e.g. to send out...
Extract: A PHP Foot-Gun Case Study (god2025)
Do you always read the documentation before using a function in your languages' standard library? This talk explores the attack surface of a special feature in PHP which is easy to misuse with unforseen consequences. The `extract` function allows to replace the value of local variables named after the keys in an array. Calling it with user-controlled input allows the attacker to change arbitrary variables in the program. The documentation warns against the dangers of using it with untrusted data, but our large-scale analysis on 28.325 PHP projects from GitHub shows, that this warning...
OWASP Top 10:2025: Aktuelle Informationen und Insights zum Projekt (god2025)
Der Kurzvortrag stellt den aktuellen Stand der OWASP Top 10:2025 vor, mit etwas Glück haben wir bis dahin schon mehr...
Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/
about this event: https://c3voc.de
Video:god2025-56494-deu-OWASP_Top_102025_Aktuelle_Informationen_und_Insights_zum_Projekt_hd.mp4
Einladung zum Junghacker:innentag auf dem 39C3
Hinweise für Mithelfende und Veranstalter am Ende des Textes!
Junghacker:innen-Tag - sei dabei!Zu unserer Freude haben sich in den letzten Jahren immer mehr Junghacker:innen auf dem Congress eingefunden. Daher bieten wir auch diesmal, wie schon in den Vorjahren, einen speziell auf Kinder und Jugendliche zugeschnittenen Junghacker:innentag an. Am zweiten Congresstag, dem 28. Dezember 2025, organisieren Freiwillige aus vielen Assemblies von etwa 10 bis 17 Uhr ein vielseitiges Workshop-Programm für angehende Hacker:innen.
Wer schon immer mal löten, programmieren, einen 3D-Drucker ausprobieren, einen mathematischen Beweis führen, selber ein Schloss ohne Schlüssel öffnen oder nerdige Spiele spielen wollte, sollte sich die Gelegenheit nicht entgehen lassen. Neben...
Музыкальный движок для Денди: FamiTone
Сегодня я решил поведать миру очередную историю одного из множества моих восьмибитных деяний дней давно минувших. Это одновременно обзор и своего рода «постмортем» довольно успешного проекта, правда, припозднившийся на добрых полтора десятка лет. Погреться в лучах славы былых успехов никогда не поздно!
Речь пойдёт о некогда созданной мной библиотечкe, музыкальном «драйвере» или движке под названием «FamiTone», предназначенном для озвучки любительских (homebrew) игр для 8-битной игровой приставки Famicom, она же NES, она же «Денди». По пути разберёмся, что это, как устроено, кому и зачем вообще могло понадобиться, и пригодилось ли в итоге. Спойлер: да.
Читать далееFour Ways AI Is Being Used to Strengthen Democracies Worldwide
Democracy is colliding with the technologies of artificial intelligence. Judging from the audience reaction at the recent World Forum on Democracy in Strasbourg, the general expectation is that democracy will be the worse for it. We have another narrative. Yes, there are risks to democracy from AI, but there are also opportunities.
We have just published the book Rewiring Democracy: How AI will Transform Politics, Government, and Citizenship. In it, we take a clear-eyed view of how AI is undermining confidence in our information ecosystem, how the use of biased AI can harm constituents of democracies and how elected officials with...
BugTraq.Ru: От повторного пришествия Шаи-Хулуда пострадало 25 с лишним тысяч разработчиков
Распространяющийся через npm-пакеты червь с романтическим именем Шаи-Хулуд, первое появление которого было зафиксировано еще в сентябре, вернулся с гораздо более впечатляющими последствиями. Червь представляет собой пост-инсталляционный скрипт, после запуска которого происходит поиск доступных токенов, облачных паролей, json-секретов и прочей критичной информации. Дальше червь переиздает все пакеты, принадлежащие жертве, прописывая в них себя. По самым скромным оценкам, в течение трех дней было заражено 25 тысяч репозитариев.
обсуждение | Telegram
39C3 – Creature ChroniCles Update
TL;DR
Was sich ändert in Kurzform: Die sehr eindeutige Resonanz auf die Ausnahme hat ergeben, dass das Projekt Creature ChroniCles nach altbekannter Foto-Policy geregelt sein wird. Es wird also vor jeder Aufnahme um das Einverständnis aller Beteiligten gebeten.
Creature ChroniCles reloadedIm Pre-Congress-Stress gehen leider manchmal Dinge und Details unter, die für einen selbst selbstverständlich scheinen, für andere aber alles andere als klar und eindeutig sind. Das ist uns beim Blog-Artikel zum Projekt „Creature ChroniCles“ passiert. Wir waren zu sehr in unserer Innensicht gefangen. Die meisten von uns kennen Stella gut, und aus dieser Perspektive sahen wir kein Problem mit ihrem Projekt. Wir haben dabei...
IACR Nullifies Election Because of Lost Decryption Key
The International Association of Cryptologic Research—the academic cryptography association that’s been putting conferences like Crypto (back when “crypto” meant “cryptography”) and Eurocrypt since the 1980s—had to nullify an online election when trustee Moti Yung lost his decryption key.
For this election and in accordance with the bylaws of the IACR, the three members of the IACR 2025 Election Committee acted as independent trustees, each holding a portion of the cryptographic key material required to jointly decrypt the results. This aspect of Helios’ design ensures that no two trustees could collude to determine the outcome of an election or the contents of...