#безопасность_вебприложений — Public Fediverse posts

Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .

https://habr.com/ru/articles/1035592/

#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости

Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .

https://habr.com/ru/articles/1035592/

#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости

Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .

https://habr.com/ru/articles/1035592/

#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости

Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .

https://habr.com/ru/articles/1035592/

#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

Интеграция .NET-приложения с внешним API по ГОСТ TLS через CryptoPro

Всем привет. Представлюсь - меня зовут Евгений Думчев и я Team Lead .NET разработки в DDPlanet. В какой-то момент в моей практике появилась задача по интеграции с внешним API. Для взаимодействия требовалось применять предоставленный публичный доверенный сертификат сервера .cer и клиентский .pfx сертификат. Особенность в том, что .pfx сертификат был выпущен через CryptoPro CSP - а это вносит свои тонкости в процесс интеграции…

https://habr.com/ru/articles/938244/

#cryptopro #tls #pfx #сертификаты #net #nginx #безопасность_вебприложений #api #интеграция #dockerfile

Туки-туки: где искать данные для фаззинга веб-приложений

Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .

https://habr.com/ru/companies/pt/articles/934136/

#пентест #безопасность_вебприложений #api #appsec #sast #dast

Интеграция .NET-приложения с внешним API по ГОСТ TLS через CryptoPro

Всем привет. Представлюсь - меня зовут Евгений Думчев и я Team Lead .NET разработки в DDPlanet. В какой-то момент в моей практике появилась задача по интеграции с внешним API. Для взаимодействия требовалось применять предоставленный публичный доверенный сертификат сервера .cer и клиентский .pfx сертификат. Особенность в том, что .pfx сертификат был выпущен через CryptoPro CSP - а это вносит свои тонкости в процесс интеграции…

https://habr.com/ru/articles/938244/

#cryptopro #tls #pfx #сертификаты #net #nginx #безопасность_вебприложений #api #интеграция #dockerfile

Интеграция .NET-приложения с внешним API по ГОСТ TLS через CryptoPro

Всем привет. Представлюсь - меня зовут Евгений Думчев и я Team Lead .NET разработки в DDPlanet. В какой-то момент в моей практике появилась задача по интеграции с внешним API. Для взаимодействия требовалось применять предоставленный публичный доверенный сертификат сервера .cer и клиентский .pfx сертификат. Особенность в том, что .pfx сертификат был выпущен через CryptoPro CSP - а это вносит свои тонкости в процесс интеграции…

https://habr.com/ru/articles/938244/

#cryptopro #tls #pfx #сертификаты #net #nginx #безопасность_вебприложений #api #интеграция #dockerfile

Интеграция .NET-приложения с внешним API по ГОСТ TLS через CryptoPro

Всем привет. Представлюсь - меня зовут Евгений Думчев и я Team Lead .NET разработки в DDPlanet. В какой-то момент в моей практике появилась задача по интеграции с внешним API. Для взаимодействия требовалось применять предоставленный публичный доверенный сертификат сервера .cer и клиентский .pfx сертификат. Особенность в том, что .pfx сертификат был выпущен через CryptoPro CSP - а это вносит свои тонкости в процесс интеграции…

https://habr.com/ru/articles/938244/

#cryptopro #tls #pfx #сертификаты #net #nginx #безопасность_вебприложений #api #интеграция #dockerfile

Как устроены цифровые сертификаты

Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл.

https://habr.com/ru/articles/930972/

#сертификаты #электронные_сертификаты #сертификация #сертификаты_x509 #sslсертификаты #tls #подпись_кода #безопасность_вебприложений #информационная_безопасность

Как устроены цифровые сертификаты

Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл.

https://habr.com/ru/articles/930972/

#сертификаты #электронные_сертификаты #сертификация #сертификаты_x509 #sslсертификаты #tls #подпись_кода #безопасность_вебприложений #информационная_безопасность

Как устроены цифровые сертификаты

Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл.

https://habr.com/ru/articles/930972/

#сертификаты #электронные_сертификаты #сертификация #сертификаты_x509 #sslсертификаты #tls #подпись_кода #безопасность_вебприложений #информационная_безопасность

Как устроены цифровые сертификаты

Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл.

https://habr.com/ru/articles/930972/

#сертификаты #электронные_сертификаты #сертификация #сертификаты_x509 #sslсертификаты #tls #подпись_кода #безопасность_вебприложений #информационная_безопасность

Безопасность веба: итоги 2025 года и взгляд в будущее

На связи Лука Сафонов — бизнес-партнер по инновационному развитию компании «Гарда». В прошлой статье я рассказывал про организацию сетевой безопасности в финтехе, а сегодня хочу поговорить в целом про безопасность веба. Узнать подробности

https://habr.com/ru/companies/garda/articles/1001388/

#атаки_на_вебприложения #безопасность_вебприложений #безопасность_вебинтерфейсов #сетевая_безопасность #waf

Обзор изменений в законодательстве за июль 2024 года

В обзоре изменений за июль 2024 года рассмотрим следующие темы: критическая информационная инфраструктура, персональные данные, безопасность финансовых организаций, деятельность ФСТЭК России, стандартизация и другие важные изменения в законодательстве в сфере ИТ и ИБ .

https://habr.com/ru/companies/ussc/articles/834924/

#информационная_безопасность #законодательство #законодательство_и_ит #законодательство_в_it #законодательство_и_itбизнес #законодательство_в_иб #персональные_данные #кии #безопасность_данных #безопасность_вебприложений

Как одна форма обратной связи привела к компрометации helpdesk-учетки банка

Всем привет! Меня зовут Игорь Панарин, я же m0nr0e21 . Руковожу направлением анализа защищённости инфраструктуры в Дирекции по информационной безопасности РАНХиГС. Мы работаем с распределённой инфраструктурой: офисы, филиалы, ЦОДы — много площадок и зон ответственности. В такой среде важно не просто находить уязвимости, а наводить порядок в процессах, выстраивать понятное управление и делать безопасность системной, а не точечной. В этой статье я разберу, как проходил взлом банковского сегмента на полигоне Standoff Hackbase, какие векторы атак сработали и какие практические выводы из этого стоит сделать специалистам по безопасности. Мы делаем большую системную работу — и иногда полезно выйти «в поле», чтобы убедиться, что защита действительно готова к бою.

https://habr.com/ru/companies/pt/articles/996352/

#helpdesk #blueteam #standoff #hackbase #rdp #ssh #безопасность_вебприложений #банк #кибератаки #уязвимости_и_их_эксплуатация

Изоляция и лимитирование пользователей хостинга с ОС «МСВСфера Сервер» 9 редакция для хостинг-провайдеров

Хостинг - это десятки тысяч сайтов и пользователей находящихся под управлением одного сервера. Зачастую пользователь хостинга не погружается в детали настроек сервера, а знает только основное — на сервере есть PHP, Ruby, Python, MySQL и Apache, чтобы его сайт успешно функционировал . Ему не интересно, как и что настроено на сервере, главное, чтоб все работало и не создавало ему проблем.

https://habr.com/ru/companies/inferit/articles/954302/

#хостинг #лимиты #изоляция #многопользовательская_работа #cgroups #безопасность_вебприложений

[Перевод] MalTerminal: первый вирус, который пишет сам себя с помощью ИИ

🚨 MalTerminal: первый вирус, который пишет себя сам — с помощью GPT-4 Представьте: хакеру больше не нужно быть гением ассемблера. Достаточно написать в чат: «Создай вредонос, который обойдёт защиту Windows 11» — и через минуту получить готовый, уникальный, никогда не виданный антивирусами код. Это не сценарий из киберпанка. Это — MalTerminal . Первое в истории вредоносное ПО, которое использует GPT-4 не как помощника, а как мозг всей операции . Обнаружен он был исследователями SentinelOne — и сразу взорвал мозг экспертам по кибербезопасности. Почему? Потому что это конец эпохи сигнатур . Как это работает? MalTerminal не содержит в себе заранее написанного вредоносного кода. Вместо этого, прямо во время атаки он: Анализирует систему жертвы (ОС, защита, процессы), Формулирует запрос к GPT-4: «Напиши скрипт на Python, который отключит Defender и скачает шифровальщик» , Получает, исполняет — и удаляет следы. Ни сигнатур. Ни повторов. Только чистый, адаптивный хаос. Факт, от которого мурашки: в коде нашли ссылки на устаревший API OpenAI — значит, MalTerminal создали ещё до ноября 2023 года . Мы уже полтора года живём в новой реальности — просто не все это осознали. Это не атака. Это proof-of-concept. Пока MalTerminal не замечен в «дикой природе». Скорее всего, его создали red team для тестов или хакер-одиночка, чтобы показать: «Я могу» . Но сам факт, что это возможно — меняет всё. Что это значит для вас? Антивирусы устарели. Те, что ищут по сигнатурам — бесполезны. Поведенческие — пока держатся, но ненадолго. Барьер входа рухнул. Теперь вредоносный код может написать даже новичок. Главное — уметь правильно задать промпт. Атаки станут персональными. Вирус будет адаптироваться под вашу систему, ваши привычки — как bespoke-костюм, только с ножом в спине. Кто виноват? OpenAI? Пользователь? Платформа? Юридическая серая зона — огромная. 🛡️ Как защищаться? Забудьте про старые методы. Наступает эра AI vs AI . Защита должна: Смотреть на намерения , а не на код: что программа пытается сделать? Мониторить обращения к LLM : если софт вдруг начал активно общаться с GPT — это красный флаг. Быть проактивной : предсказывать, моделировать, учиться. Уже появляются решения вроде FalconShield — они анализируют, как и зачем программы используют ИИ. Это как детектор лжи для кода. Что дальше? Бизнес потратит миллиарды на новую защиту. Люди начнут бояться технологий — особенно если ИИ-вирусы доберутся до больниц и электросетей. Начнётся гонка ИИ-вооружений между государствами. Да, это звучит как «Терминатор». Но мы уже на этом пути. Главный вывод: MalTerminal — не просто вирус. Это предупреждение . ИИ стал оружием. И вопрос не в технологии — а в том, кто её использует и для чего . У нас ещё есть время адаптироваться. Вопрос — воспользуемся ли мы им? #кибербезопасность #ИИ #MalTerminal #GPT4 #вредоносноеПО #AIsecurity #SentinelOne #хакеры #антивирусы #будущеевотносило #OpenAI #LLM

https://habr.com/ru/articles/949920/

#искусственный_интеллект #вирусы #вирусный_анализ #вирусы_и_антивирусы #искусственный_интеллект_и_чатбот #безопасность #безопасность_в_сети #безопасность_данных #безопасная_разработка #безопасность_вебприложений

[Перевод] DPoP: что это такое, как работает и почему Bearer-токенов недостаточно

Bearer-токен работает слишком просто: кто его получил, тот и авторизован. Именно поэтому утечки токенов регулярно превращаются в реальные инциденты — от CI/CD до облачных хранилищ. В новом переводе от команды Spring АйО рассмотрим, как DPoP меняет эту модель, привязывая токен к ключу клиента, зачем это нужно backend-разработчику и как поднять рабочую реализацию на Keycloak и Quarkus.

https://habr.com/ru/companies/spring_aio/articles/1015544/

#java #kotlin #dpop #ci #cd #bearer #security #безопасность #безопасность_вебприложений #безопасность_в_сети

Внедряем двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально

Еще в пандемийные годы стало понятно, что жить без двухфакторки на удаленке, как минимум, рискованно. И хоть большинство приложений и обеспечивают 2FA, все-таки существуют сервисы, для которых защищенный доступ из коробки недоступен. Я Саша Зеленов, архитектор Читать дальше

https://habr.com/ru/companies/cloud_ru/articles/778632/

#2faаутентификация #2fa #oauth2 #oauth2client #кейс #безопасность #безопасность_вебприложений #двухфакторная_аутентификация

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Первый месяц в Bug Bounty: итоги, цифры и выученные уроки

Введение Мой путь в ИБ начался с нуля - у меня не было опыта работы и образования в айти в целом, будь это системное администрирование или программирование. Я просто планомерно учился и сдавал сертификации. За три года у меня собрался определенный стек: OSCP, HTB CWES, CRTP, PNPT, PJPT, PJOR, CompTIA A+, Network+ и Security+. Когда пришло время искать работу пентестером, я столкнулся с реальностью: вакансий в моем регионе почти нет, а те, что находил, не приносили даже приглашений на собеседование. Профиль без практического опыта не вызывал интереса у работодателей. Чтобы начать нарабатывать реальный стаж, я решил попробовать себя в багхантинге. Основная цель была простой получить опыт и проверить свои знания в бою, а не в лабораторной среде. Ну и, конечно, был интерес заработать репутацию практика и получить первые выплаты. Выбор площадки Я решил начать с локальной казахстанской платформы RTeam. На мировых площадках вроде HackerOne меня пугала огромная конкуренция - казалось, что новичку там делать нечего, всё уже найдено до меня. Я не смогу конкурировать с лучшими хакерами из всего мира. На RTeam у меня была программа с маленьким скоупом. Первое время я не столько искал баги, сколько экспериментировал, пробовал применять методы, о которых недавно узнал, изучал новые тулзы в багхантинге. Я не ставил задачу сразу найти уязвимости, а старался больше вникнуть в то, как всё устроено. Месяц в цифрах Изначально мои ожидания были скромными: я надеялся найти хотя бы одну небольшую уязвимость. В итоге за месяц активной работы получилось отправить 9 отчетов.

https://habr.com/ru/articles/993926/

#информационная_безопасность #bug_bounty #безопасность_вебприложений #пентест #oscp

Кастомные вордлисты для самых маленьких

Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.

https://habr.com/ru/companies/deiteriylab/articles/1029012/

#информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing

pgAdmin4 CVE-2024-3116

22 апреля была зарегистрирована уязвимость CVE-2024-3116, получившая 7.4 баллов по CVSS. Эта уязвимость приводит к удаленному выполнению кода в серверной версии pgAdmin4 ≤ 8.4 на системах Windows. pgAdmin4 - это графический инструмент, предназначенный для администрирования баз данных PostgreSQL. Он поддерживает работу в двух режимах - desktop и server. Для эксплуатации этой уязвимости необходимо обладать валидными учетными данными. Сегодня в данной статье мы подготовим стенд и разберем детали этой уязвимости.

https://habr.com/ru/articles/814555/

#Пентест #Эксплоит #pgAdmin4 #уязвимость #безопасность_вебприложений #безопасность #RCE

MongoDB, Clerk и Nginx-прокси: строим горизонтально масштабируемую архитектуру почти бесплатно

Всем привет! В этой статье я расскажу как после Хабра-эффекта от предыдущей статьи настало время переезжать с грозного монолита на масштабируемую архитектуру с разделением на API, Web и Auth сервисы. Как я сделал тестовый контур и перевёл туда всё тестирование сервиса. С какими сложностями пришлось столкнуться и почему связка Bun+Vercel может преподнести неприятный сюрприз в виде много часовой отладки.

https://habr.com/ru/articles/992496/

#nosq #nodejs #проектирование_систем #безопасность_вебприложений #безопасность_данных

[Перевод] Как /etc/hosts поломал редактор сайта

Когда я работал над техническим постом о ресолвинге DNS, то столкнулся с чем-то неожиданным. Каждый раз, когда я вводил пути к файлу hosts ( /etc/h*sts — здесь я намеренно его обфусцировал, чтобы не вызвать ту самую ошибку), редактор Substack показывал «Network Error» и отказывался автоматически сохранять черновик.

https://habr.com/ru/articles/904612/

#ui #web_application_firewall #waf #безопасность_вебприложений

Использование ModSecurity в Nginx — практика защиты проекта на WordPress

ModSecurity, одно из наиболее популярных веб-приложений файрволов (WAF) в мире, помогает предотвращать различные виды атак на веб-приложения, включая SQL-инъекции, кросс-сайтовый скриптинг (XSS), фальсификацию межсайтовых запросов (CSRF) и другие угрозы. Инструмент работает как модуль для таких серверов, как Apache, Nginx и IIS. Альтернатива ModSecurity — многоуровневая система безопасности для блокировки атак на Linux-серверы BitNinja . Среди модулей платформы — WAF и AI-сканер. Специализируется на защите от SQL-инъекций, XSS, вирусов, Dos и использования форм сайта для спам-атак. BitNinja подойдет, если OpenSource-решение по какой-то причине не подходит. Подробнее о BitNinja в ispmanager расскажем в следующей статье. В этой статье рассмотрим: 1. Отключение ModSecurity в административной части сайта 2. Безопасные настройки php.ini 3. Защита PHPMyAdmin 4. Защита RoundCube 5. Защита WordPress Читать

https://habr.com/ru/companies/ispmanager/articles/822381/

#информационная_безопасность #информационные_технологии #ispmanager #modsecurity #phpmyadmin #nginx #roundcube #wordpress #phpini #безопасность_вебприложений

Использование ModSecurity в Nginx — практика защиты проекта на WordPress

ModSecurity, одно из наиболее популярных веб-приложений файрволов (WAF) в мире, помогает предотвращать различные виды атак на веб-приложения, включая SQL-инъекции, кросс-сайтовый скриптинг (XSS), фальсификацию межсайтовых запросов (CSRF) и другие угрозы. Инструмент работает как модуль для таких серверов, как Apache, Nginx и IIS. Альтернатива ModSecurity — многоуровневая система безопасности для блокировки атак на Linux-серверы BitNinja . Среди модулей платформы — WAF и AI-сканер. Специализируется на защите от SQL-инъекций, XSS, вирусов, Dos и использования форм сайта для спам-атак. BitNinja подойдет, если OpenSource-решение по какой-то причине не подходит. Подробнее о BitNinja в ispmanager расскажем в следующей статье. В этой статье рассмотрим: 1. Отключение ModSecurity в административной части сайта 2. Безопасные настройки php.ini 3. Защита PHPMyAdmin 4. Защита RoundCube 5. Защита WordPress Читать

https://habr.com/ru/companies/ispmanager/articles/822381/

#информационная_безопасность #информационные_технологии #ispmanager #modsecurity #phpmyadmin #nginx #roundcube #wordpress #phpini #безопасность_вебприложений

Использование ModSecurity в Nginx — практика защиты проекта на WordPress

ModSecurity, одно из наиболее популярных веб-приложений файрволов (WAF) в мире, помогает предотвращать различные виды атак на веб-приложения, включая SQL-инъекции, кросс-сайтовый скриптинг (XSS), фальсификацию межсайтовых запросов (CSRF) и другие угрозы. Инструмент работает как модуль для таких серверов, как Apache, Nginx и IIS. Альтернатива ModSecurity — многоуровневая система безопасности для блокировки атак на Linux-серверы BitNinja . Среди модулей платформы — WAF и AI-сканер. Специализируется на защите от SQL-инъекций, XSS, вирусов, Dos и использования форм сайта для спам-атак. BitNinja подойдет, если OpenSource-решение по какой-то причине не подходит. Подробнее о BitNinja в ispmanager расскажем в следующей статье. В этой статье рассмотрим: 1. Отключение ModSecurity в административной части сайта 2. Безопасные настройки php.ini 3. Защита PHPMyAdmin 4. Защита RoundCube 5. Защита WordPress Читать

https://habr.com/ru/companies/ispmanager/articles/822381/

#информационная_безопасность #информационные_технологии #ispmanager #modsecurity #phpmyadmin #nginx #roundcube #wordpress #phpini #безопасность_вебприложений

SSO на базе Spring Authorization Server. Можно ли в прод?

В современных приложениях централизованная аутентификация и авторизация играют ключевую роль в обеспечении безопасности и удобства пользователей. Именно с такой задачей мы столкнулись в компании NAUKA при создании "Платформы" — экосистемы, предназначенной для функционирования наших решений и разработки собственных прикладных приложений. В качестве основного компонента системы аутентификации и авторизации был выбран Spring Authorization Server. Настоящая статья - это небольшой практический обзор реализации SSO-сервера на основе технологии Spring Authorization Server с акцентом на решении типовых проблем, которые возникают при её использовании в реальной системе. Мы рассмотрим как технические детали, так и архитектурные решения, которые помогут создать надежный и масштабируемый сервер авторизации.

https://habr.com/ru/companies/nauka/articles/938970/

#аутентификация #авторизация #spring #spring_security #spring_framework #безопасность_вебприложений #сервер #java #идентификация

Пост-квантовый гибридный алгоритм шифрования для высоко-нагруженных систем с реализацией на TypeScript

Новый пост-квантовый гибридный алгоритм шифрования для высоко-нагруженных систем с реализацией на TypeScript. Ring-LWE, работа с ключами с использованием MAC и SHAKE-256, защита от основных видов атак и другие мысли в реализации протокола QuarkDash.

https://habr.com/ru/articles/1020092/

#криптография #криптографические_протоколы #алгоритмы #typescript #ring #lwe #shake256 #mac #kdf #безопасность_вебприложений

Как одна форма обратной связи привела к компрометации helpdesk-учетки банка

Всем привет! Меня зовут Игорь Панарин, я же m0nr0e21 . Руковожу направлением анализа защищённости инфраструктуры в Дирекции по информационной безопасности РАНХиГС. Мы работаем с распределённой инфраструктурой: офисы, филиалы, ЦОДы — много площадок и зон ответственности. В такой среде важно не просто находить уязвимости, а наводить порядок в процессах, выстраивать понятное управление и делать безопасность системной, а не точечной. В этой статье я разберу, как проходил взлом банковского сегмента на полигоне Standoff Hackbase, какие векторы атак сработали и какие практические выводы из этого стоит сделать специалистам по безопасности. Мы делаем большую системную работу — и иногда полезно выйти «в поле», чтобы убедиться, что защита действительно готова к бою.

https://habr.com/ru/companies/pt/articles/996352/

#helpdesk #blueteam #standoff #hackbase #rdp #ssh #безопасность_вебприложений #банк #кибератаки #уязвимости_и_их_эксплуатация

Как одна форма обратной связи привела к компрометации helpdesk-учетки банка

Всем привет! Меня зовут Игорь Панарин, я же m0nr0e21 . Руковожу направлением анализа защищённости инфраструктуры в Дирекции по информационной безопасности РАНХиГС. Мы работаем с распределённой инфраструктурой: офисы, филиалы, ЦОДы — много площадок и зон ответственности. В такой среде важно не просто находить уязвимости, а наводить порядок в процессах, выстраивать понятное управление и делать безопасность системной, а не точечной. В этой статье я разберу, как проходил взлом банковского сегмента на полигоне Standoff Hackbase, какие векторы атак сработали и какие практические выводы из этого стоит сделать специалистам по безопасности. Мы делаем большую системную работу — и иногда полезно выйти «в поле», чтобы убедиться, что защита действительно готова к бою.

https://habr.com/ru/companies/pt/articles/996352/

#helpdesk #blueteam #standoff #hackbase #rdp #ssh #безопасность_вебприложений #банк #кибератаки #уязвимости_и_их_эксплуатация

Как одна форма обратной связи привела к компрометации helpdesk-учетки банка

Всем привет! Меня зовут Игорь Панарин, я же m0nr0e21 . Руковожу направлением анализа защищённости инфраструктуры в Дирекции по информационной безопасности РАНХиГС. Мы работаем с распределённой инфраструктурой: офисы, филиалы, ЦОДы — много площадок и зон ответственности. В такой среде важно не просто находить уязвимости, а наводить порядок в процессах, выстраивать понятное управление и делать безопасность системной, а не точечной. В этой статье я разберу, как проходил взлом банковского сегмента на полигоне Standoff Hackbase, какие векторы атак сработали и какие практические выводы из этого стоит сделать специалистам по безопасности. Мы делаем большую системную работу — и иногда полезно выйти «в поле», чтобы убедиться, что защита действительно готова к бою.

https://habr.com/ru/companies/pt/articles/996352/

#helpdesk #blueteam #standoff #hackbase #rdp #ssh #безопасность_вебприложений #банк #кибератаки #уязвимости_и_их_эксплуатация

Исследование веб-приложений с помощью утилиты Ffuf

В сфере информационной безопасности и тестирования веб-приложений каждая малейшая уязвимость может привести к серьезным последствиям. Надежным помощником в обнаружении скрытых угроз и проведения глубокого анализа безопасности веб-систем может стать утилита Ffuf. Разбираемся с фаззингом с Ffuf и исследуем несколько ключевых методов его применения.

https://habr.com/ru/companies/skillfactory/articles/810293/

#безопасность_вебприложений #информационная_безопасность #фаззинг #безопасность_сайтов #фаззингтестирование #Ffuf #команды_Ffuf #защита_сайта

[Перевод] Зачем нужна нотаризация приложений Apple?

Подписание и «нотариальное заверение» (в дальнейшем мы используем устоявшийся в сообществе термин нотаризация — прим. ред.) приложений и другого исполняемого кода — тема довольно спорная. За последние годы Apple постепенно вводила всё более строгие правила и теперь требует, чтобы разработчики заверяли свои приложения и код, распространяемые даже вне App Store. В этой статье мы попытаемся объяснить, почему это необходимо и как это усиливает безопасность Mac. В идеале всем хочется быть уверенными, что любой код, который запускается на нашем Mac, а в частности приложения, — это именно то, что создал разработчик, без каких‑либо изменений. Кроме того, в случае обнаружения вредоносного кода macOS может оперативно защитить нас, отказав в его запуске. Первое условие для этого — проверка приложений и кода на подлинность, а второе — наличие системы, которая может предотвратить запуск небезопасного кода.

https://habr.com/ru/companies/ringo_mdm/articles/860546/

#нотаризация #apple #mac #администрирование #системное_администрирование #безопасность_вебприложений #безопасность_мобильных_приложений #подпись_кода #разработка_приложений

<Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST

Привет, Хабр! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. В этой статье мы разберемся, как пройти авторизацию в DAST-сканере с помощью прокси. Почему мы решили взяться за эту тему? Сейчас расскажем.

https://habr.com/ru/companies/swordfish_security/articles/811821/

#информационная_безопасность #безопасность_вебприложений #dast #сканер_уязвимостей #аутентификация #скрипт #проксирование

Техническая реализация безопасной системы сделок через модель эскроу (не гаранты, а математика)

Архитектура большинства гарант-сервисов неразрывно связана с рисками: ошибками, возможностью мошенничества, сложными и непрозрачными схемами. Ее можно заменить аналогом с принципиально другим уровнем безопасности — системой по модели эскроу. В ней нет необходимости доверять человеку, только математике. Показываем, как реализовать технические гарантии безопасности сделок с помощью MultiSig-кошельков, Node.js, smart-контрактов, TronWeb v5. Разбираем код и логику проектирования P2P-платформы, которая не может украсть деньги пользователя (даже если захочет) 👇

https://habr.com/ru/articles/1001526/

#телеграмбот #nodejs_приложения #безопасность_вебприложений #блокчейнтехнологии #криптовалюты #p2pсервисы #p2pплатежи #финтехпродукты #безопасная_сделка #эскроу

Техническая реализация безопасной системы сделок через модель эскроу (не гаранты, а математика)

Архитектура большинства гарант-сервисов неразрывно связана с рисками: ошибками, возможностью мошенничества, сложными и непрозрачными схемами. Ее можно заменить аналогом с принципиально другим уровнем безопасности — системой по модели эскроу. В ней нет необходимости доверять человеку, только математике. Показываем, как реализовать технические гарантии безопасности сделок с помощью MultiSig-кошельков, Node.js, smart-контрактов, TronWeb v5. Разбираем код и логику проектирования P2P-платформы, которая не может украсть деньги пользователя (даже если захочет) 👇

https://habr.com/ru/articles/1001526/

#телеграмбот #nodejs_приложения #безопасность_вебприложений #блокчейнтехнологии #криптовалюты #p2pсервисы #p2pплатежи #финтехпродукты #безопасная_сделка #эскроу

Техническая реализация безопасной системы сделок через модель эскроу (не гаранты, а математика)

Архитектура большинства гарант-сервисов неразрывно связана с рисками: ошибками, возможностью мошенничества, сложными и непрозрачными схемами. Ее можно заменить аналогом с принципиально другим уровнем безопасности — системой по модели эскроу. В ней нет необходимости доверять человеку, только математике. Показываем, как реализовать технические гарантии безопасности сделок с помощью MultiSig-кошельков, Node.js, smart-контрактов, TronWeb v5. Разбираем код и логику проектирования P2P-платформы, которая не может украсть деньги пользователя (даже если захочет) 👇

https://habr.com/ru/articles/1001526/

#телеграмбот #nodejs_приложения #безопасность_вебприложений #блокчейнтехнологии #криптовалюты #p2pсервисы #p2pплатежи #финтехпродукты #безопасная_сделка #эскроу

Техническая реализация безопасной системы сделок через модель эскроу (не гаранты, а математика)

Архитектура большинства гарант-сервисов неразрывно связана с рисками: ошибками, возможностью мошенничества, сложными и непрозрачными схемами. Ее можно заменить аналогом с принципиально другим уровнем безопасности — системой по модели эскроу. В ней нет необходимости доверять человеку, только математике. Показываем, как реализовать технические гарантии безопасности сделок с помощью MultiSig-кошельков, Node.js, smart-контрактов, TronWeb v5. Разбираем код и логику проектирования P2P-платформы, которая не может украсть деньги пользователя (даже если захочет) 👇

https://habr.com/ru/articles/1001526/

#телеграмбот #nodejs_приложения #безопасность_вебприложений #блокчейнтехнологии #криптовалюты #p2pсервисы #p2pплатежи #финтехпродукты #безопасная_сделка #эскроу

Чек-лист по кибербезопасности. Ключевые факторы риска и проверенные практики их минимизации

В 2023 году средний ущерб от кибератак для российских компаний составил 20 млн руб. — и это только деньги, без репутационных потерь, нервов и роста рисков повторных вторжений. В первом квартале 2024-го тенденция продолжилась: количество инцидентов увеличилось как минимум на 7%. Сегодня у любого бизнеса есть ИТ-составляющая: сайт, базы товаров и клиентов, ПО, оборудование, подключенное к интернету, или просто страница в соцсети. Значит, вы уже находитесь в зоне риска, вопрос только в его уровне. Давайте проверим!

https://habr.com/ru/articles/830526/

#кибербезопасность #итбезопасность #итинфраструктура #менеджер_паролей #менеджмент #безопасность #безопасность_данных #безопасность_сайтов #безопасность_в_сети #безопасность_вебприложений

Банк vs мошенники. Кто сильнее?

Жизнь все больше переходит в цифровую плоскость. Меняются как наши привычки, так и возможности. Мы привыкли, что через банковское приложение можем не только проверить остаток, а и оплатить услуги, перевести другу деньги и при необходимости взять кредит без визита в банк.

https://habr.com/ru/companies/sovcombank_technologies/articles/817463/

#безопасность #безопасность_вебприложений #безопасность_в_сети #безопасность_данных #безопасность_сайтов #безопасность_мобильных_приложений #фрод #социальная_инженерия #личные_данные #банковская_безопасность