(не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника
, , , , , , ,

Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин:

  • веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку;
  • веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить;
  • веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными;
  • веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь;
  • благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца.

Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten:

  • А1 — Инъекции;
  • А2 — Недостатки аутентификации;
  • А3 — Разглашение конфиденциальных данных;
  • А4 — Внешние сущности XML (XXE);
  • А5 — Недостатки контроля доступа;
  • А6 — Некорректная настройка параметров безопасности;
  • А7 — Межсайтовое выполнение сценариев (XSS);
  • А8 — Небезопасная десериализация;
  • А9 — Использование компонентов с известными
    уязвимостями;
  • А10 — Недостатки журналирования и мониторинга.

Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника

OWASP Mobile Top 10
,

Количество угроз мобильных устройств и приложений растет соизмеримо лавинообразному распространению носимых устройств, однако, как показывает практика, большинство сценариев  атак содержат определенные векторы, либо могут быть классифицированы по типу обнаруженных уязвимостей в установленных компонентах программного обеспечения. Вашему вниманию предлагается классификация векторов атак и уязвимостей мобильных устройств OWASP Mobile Top 10 2016.

Читать далее OWASP Mobile Top 10

Перевод OWASP Testing Guide. Часть 2.6.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании HTTP методов.


Читать далее Перевод OWASP Testing Guide. Часть 2.6.

Перевод OWASP Testing Guide. Часть 2.1.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании конфигурации инфраструктуры веб-приложения.
Читать далее Перевод OWASP Testing Guide. Часть 2.1.

Сообщество специалистов в области информационной безопасности.