01.02.2022 @ 9:42 WebSecOps: веб-безопасность от А до RCE owasp, Pentestit, SQL injection, WAF, WAF bypass, web security Разработка веб-приложений похожа на задачку про два стула, где реализовать функционал, не допустив при этом уязвимость, крайне непросто. Особенно сильно это проявляется при сжатых сроках. Независимо от того, какой язык используется, насколько хорошо написан код, какие задействованы фреймворки — недостатки будут появиться даже в проверенном и легаси коде, важно уметь их оперативно выявлять, устранять и не придерживаться правила: «лучше XSS в проде, чем RCE в деве». Веб-разработка развивается очень быстро, постоянно появляются новые технологии, а с ними и новые угрозы безопасности. Поэтому мы разработали отдельную программу практической подготовки WebSecOps, рассчитанную на тех, кто хочет прокачать навыки в области веб-безопасности. Читать далее WebSecOps: веб-безопасность от А до RCE → Hekpo 6490 Web security Читать дальше >>
29.09.2020 @ 11:52 (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника Acunetix, BurpSuite, DirBuster, Nemesida WAF, owasp, Pentestit, SQLmap, ZAP Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин: веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку; веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить; веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными; веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь; благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца. Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten: А1 — Инъекции; А2 — Недостатки аутентификации; А3 — Разглашение конфиденциальных данных; А4 — Внешние сущности XML (XXE); А5 — Недостатки контроля доступа; А6 — Некорректная настройка параметров безопасности; А7 — Межсайтовое выполнение сценариев (XSS); А8 — Небезопасная десериализация; А9 — Использование компонентов с известными уязвимостями; А10 — Недостатки журналирования и мониторинга. Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника → Hekpo 10556 Web security Читать дальше >>
13.05.2016 @ 21:25 OWASP Mobile Top 10 mobile security, owasp Количество угроз мобильных устройств и приложений растет соизмеримо лавинообразному распространению носимых устройств, однако, как показывает практика, большинство сценариев атак содержат определенные векторы, либо могут быть классифицированы по типу обнаруженных уязвимостей в установленных компонентах программного обеспечения. Вашему вниманию предлагается классификация векторов атак и уязвимостей мобильных устройств OWASP Mobile Top 10 2016. Читать далее OWASP Mobile Top 10 → Luka Safonov 14336 Mobile security Читать дальше >>
21.04.2016 @ 10:45 Перевод OWASP Testing Guide. Часть 2.6. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании HTTP методов. Предыдущие части Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Читать далее Перевод OWASP Testing Guide. Часть 2.6. → unknd 15009 Web security Читать дальше >>
10.12.2015 @ 10:45 Перевод OWASP Testing Guide. Часть 2.2. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании конфигурации платформы веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 2.2. → unknd 5902 Web security Читать дальше >>
26.11.2015 @ 14:27 Перевод OWASP Testing Guide. Часть 2.1. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании конфигурации инфраструктуры веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 2.1. → unknd 12769 Web security Читать дальше >>
13.10.2015 @ 12:37 Перевод OWASP Testing Guide. Часть 1.11. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о составлении архитектурной карты веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 1.11. → unknd 9999 Web security Читать дальше >>
04.09.2015 @ 10:04 Перевод OWASP Testing Guide. Часть 1.8. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о составлении карты веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 1.8. → unknd 19028 Web security Читать дальше >>
31.08.2015 @ 11:40 Перевод OWASP Testing guide. Часть 1.7 owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет об определении точек входа веб-приложения. Читать далее Перевод OWASP Testing guide. Часть 1.7 → unknd 17000 Web security Читать дальше >>