home.social

#security_web — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #security_web, aggregated by home.social.

  1. Habr @[email protected] ·

    OWASP Top 10 2025 — от кода к цепочке поставок: расширение границ безопасности

    Разбираем изменения в OWASP Top 10 версии 2025 года на примерах и рассматриваем, как SAST может помочь избежать уязвимостей.

    habr.com/ru/companies/pvs-stud

    #OWASP #OWASP_Top_10 #OWASP_Top_10_2025 #информационная_безопасность #webразработка #вебразработка #статический_анализ #PVSStudio #security #security_web

    #security_web #security #pvsstudio #статический_анализ #вебразработка #webразработка
  2. Habr @[email protected] ·

    OWASP Top 10 2025 — от кода к цепочке поставок: расширение границ безопасности

    Разбираем изменения в OWASP Top 10 версии 2025 года на примерах и рассматриваем, как SAST может помочь избежать уязвимостей.

    habr.com/ru/companies/pvs-stud

    #OWASP #OWASP_Top_10 #OWASP_Top_10_2025 #информационная_безопасность #webразработка #вебразработка #статический_анализ #PVSStudio #security #security_web

    #security_web #security #pvsstudio #статический_анализ #вебразработка #webразработка
  3. Habr @[email protected] ·

    OWASP Top 10 2025 — от кода к цепочке поставок: расширение границ безопасности

    Разбираем изменения в OWASP Top 10 версии 2025 года на примерах и рассматриваем, как SAST может помочь избежать уязвимостей.

    habr.com/ru/companies/pvs-stud

    #OWASP #OWASP_Top_10 #OWASP_Top_10_2025 #информационная_безопасность #webразработка #вебразработка #статический_анализ #PVSStudio #security #security_web

    #security_web #security #pvsstudio #статический_анализ #вебразработка #webразработка
  4. Habr @[email protected] ·

    OWASP Top 10 2025 — от кода к цепочке поставок: расширение границ безопасности

    Разбираем изменения в OWASP Top 10 версии 2025 года на примерах и рассматриваем, как SAST может помочь избежать уязвимостей.

    habr.com/ru/companies/pvs-stud

    #OWASP #OWASP_Top_10 #OWASP_Top_10_2025 #информационная_безопасность #webразработка #вебразработка #статический_анализ #PVSStudio #security #security_web

    #owasp #owasp_top_10 #owasp_top_10_2025 #информационная_безопасность #webразработка #вебразработка
  5. Habr @[email protected] ·

    Чем грозит вашему проекту установка пакетов «вслепую»

    Доброго дня, читатель! Меня зовут Александр Роут, я фронтенд‑разработчик в Домклик. В сентябре 2025 года в экосистеме npm произошёл тревожный инцидент: злоумышленники получили доступ к репозиториям нескольких популярных пакетов и внедрили в них вредоносный код. Этот код мог подменять адреса криптокошельков и перехватывать финансовые транзакции. Эта атака — не первый и не последний случай в истории. Она вновь подняла важный вопрос «Насколько мы можем доверять сотням зависимостей, которые добавляем в свои проекты?» Часто мы устанавливаем пакеты, практически не задумываясь о том, что именно скачиваем и запускаем. Особую опасность представляют postinstall‑скрипты, которые могут выполнять произвольные действия на вашем компьютере сразу после установки.

    habr.com/ru/companies/domclick

    #npm #security #security_web #websec #webразработка

    #webразработка #websec #security_web #security #npm
  6. Habr @[email protected] ·

    Кто из банков просит код из смс в 2025 году

    Примерно с 2018 года некоторые банки начали запрашивать код из смс. Обычно это требовалось для подтверждения личности клиента банка при обращении в колл-центр. В 2025 году я задался вопросом – а какие банки так делают до сих пор? Прежде чем поделиться результатами своих исследований, давайте попробуем понять откуда взялись эти коды из смс.

    habr.com/ru/articles/874502/

    #security #security_web #otpаутентификация #sms #bank

    #security #security_web #otpаутентификация #sms #bank
  7. Habr @[email protected] ·

    [Перевод] Атрибут charset и важность его использования

    Какие предположения можно сделать относительно следующего HTTP ответа сервера? Глядя на этот небольшой фрагмент HTTP ответа, можно предположить, что веб-приложение, вероятно, содержит уязвимость XSS . Почему это возможно? Что обращает на себя внимание в этом ответе сервера? Вы будете правы, если сомневаетесь насчет заголовка Content-Type. В нем есть незначительный недостаток - отсутствие атрибута charset. Это может казаться неважным, однако, в этой статье мы объясним, как злоумышленники могут использовать этот недостаток для внедрения произвольного JavaScript кода на веб-сайт, сознательно изменяя набор символов , который ожидает браузер.

    habr.com/ru/articles/835206/

    #xss #http #charset #encoding #contenttype #security #security_web

    #security_web #security #contenttype #encoding #charset #http
  8. Habr @[email protected] ·

    Security code review. Подходы и инструменты AppSec инженера

    Для поиска уязвимостей в приложениях существует множество инструментов. SAST, DAST, IAST, SCA помогают в этом процессе, но часто не покрывают целые категории уязвимостей. Часть уязвимостей эффективнее искать в коде во время ручного ревью и пентеста. В этой статье остановимся на ревью кода.

    habr.com/ru/articles/791578/

    #appsec #security_web #tools #code_review #code_analysis #plugins #owasp

    #owasp #plugins #code_analysis #code_review #tools #security_web