29.09.2020 @ 11:52 (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника Acunetix, BurpSuite, DirBuster, Nemesida WAF, owasp, Pentestit, SQLmap, ZAP Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин: веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку; веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить; веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными; веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь; благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца. Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten: А1 — Инъекции; А2 — Недостатки аутентификации; А3 — Разглашение конфиденциальных данных; А4 — Внешние сущности XML (XXE); А5 — Недостатки контроля доступа; А6 — Некорректная настройка параметров безопасности; А7 — Межсайтовое выполнение сценариев (XSS); А8 — Небезопасная десериализация; А9 — Использование компонентов с известными уязвимостями; А10 — Недостатки журналирования и мониторинга. Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника → Hekpo 10686 Web security Читать дальше >>
13.05.2016 @ 21:25 OWASP Mobile Top 10 mobile security, owasp Количество угроз мобильных устройств и приложений растет соизмеримо лавинообразному распространению носимых устройств, однако, как показывает практика, большинство сценариев атак содержат определенные векторы, либо могут быть классифицированы по типу обнаруженных уязвимостей в установленных компонентах программного обеспечения. Вашему вниманию предлагается классификация векторов атак и уязвимостей мобильных устройств OWASP Mobile Top 10 2016. Читать далее OWASP Mobile Top 10 → Luka Safonov 14414 Mobile security Читать дальше >>
21.04.2016 @ 10:45 Перевод OWASP Testing Guide. Часть 2.6. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании HTTP методов. Предыдущие части Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Читать далее Перевод OWASP Testing Guide. Часть 2.6. → unknd 15138 Web security Читать дальше >>
10.12.2015 @ 10:45 Перевод OWASP Testing Guide. Часть 2.2. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании конфигурации платформы веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 2.2. → unknd 5956 Web security Читать дальше >>
26.11.2015 @ 14:27 Перевод OWASP Testing Guide. Часть 2.1. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании конфигурации инфраструктуры веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 2.1. → unknd 12832 Web security Читать дальше >>
13.10.2015 @ 12:37 Перевод OWASP Testing Guide. Часть 1.11. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о составлении архитектурной карты веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 1.11. → unknd 10041 Web security Читать дальше >>
04.09.2015 @ 10:04 Перевод OWASP Testing Guide. Часть 1.8. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о составлении карты веб-приложения. Читать далее Перевод OWASP Testing Guide. Часть 1.8. → unknd 19078 Web security Читать дальше >>
31.08.2015 @ 11:40 Перевод OWASP Testing guide. Часть 1.7 owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет об определении точек входа веб-приложения. Читать далее Перевод OWASP Testing guide. Часть 1.7 → unknd 17079 Web security Читать дальше >>