Уязвимости в Naumen Service Desk

Naumen Service Desk — один из самых распространённых helpdesk-продуктов на отечественном рынке. Он используется в госсекторе, корпоративных ИТ-службах, интеграционных решениях. Именно поэтому любые найденные в нём уязвимости потенциально опасны — они используются в реальных атаках, которые могут привести к серьёзным последствиям. В этой статье я попробовал собрать свой опыт тестирования веб-приложения этого продукта с точки зрения безопасности, в том числе описал найденные zero-day уязвимости, которые приводят к удаленному исполнению кода ОС.

https://habr.com/ru/companies/angarasecurity/articles/940658/

#helpdesk #анализ_кода #эксплуатация_уязвимостей #исходный_код #naumen #api

Лайфхаки проектирования и адаптации (opensource)решений под себя

Очередной раз разрабатывая и оптимизируя архитектуру не вполне стандартного проекта, для чего у AI, ожидаемо, нет готового шаблона, а только «лоскутки» чужих решений, решил зафиксировать свой ход мыслей и последовательность этапов в решении нестандартной задачи. Чтобы абстрактную программистскую «чуйку» зафиксировать в более чёткий и осознанный «свод правил». Представьте, что у вас есть некая система, которая работает определённым образом. У неё есть свой API, свои архитектурные принципы, рекомендуемые подходы к разработке и т.п. С другой стороны, у вас у самого есть видение своего будущего проекта, его архитектуры и того, как бы вы хотели управлять функционалом, предоставляемым «некой системой». Видение есть, а вот уверенности, что так можно – нету. Вот, делюсь своим подходом, как я поступаю в таких ситуациях. Осторожно, лонгрид!

https://habr.com/ru/articles/911212/

#Проектирование #разработка #opensource #работа_мозга #психология_программирования #анализ_кода #хакинг #api

В поисках хорошего стиля. Часть 2. Пишем свой линтер на Go для golangci-lint

Привет! Меня зовут Артём Блохин, я Go-разработчик в команде интеграций Островка. Сегодня поговорим о линтинге кода. Если бы «Сумерки» были про код, Эдвард — был линтером, а Белла — легаси-кодом, их диалог звучал бы так:

https://habr.com/ru/companies/ostrovok/articles/908768/

#golang #golangcilint #линтер #статический_анализ #анализ_кода #ast #чистый_код #островок #styleguide #плагины

Прямая без препятствий. Часть 2. Защита мобильных приложений — выход найден?

В современных мобильных операционных системах нам по умолчанию недоступны права суперпользователя, а более-менее привилегированный доступ для приложений получить просто невозможно без использования уязвимостей. Поэтому невозможно сделать единое приложение, которое будет защищать все мобильное устройство из пользовательского пространства. Остается единственный выход — встраивать защиту прямо в защищаемое приложение. Меня зовут Николай Анисеня, и я продолжаю рассказывать о безопасности мобильных приложений. В предыдущей статье мы подробно поговорили о состоянии защищенности приложений и девайсов на настоящий момент. Если коротко — приятных новостей мало. Но выход есть. В этой статье расскажу о перспективах защиты.

https://habr.com/ru/companies/pt/articles/905726/

#pt_maze #уязвимости_мобильных_приложений #sdk #saas #телеметрия #защита_кода #controlflow #анализ_кода #обфускация #zero_trust

[Перевод] Что делает код трудным для чтения? Визуальные паттерны сложности

Не так давно я проводил аудит кодовой базы на работе и заметил, что, несмотря на высокое качество кода, я очень быстро уставал умственно и с трудом мог работать с текстом кода продолжительное время. В конце концов, я понял, почему этот код был таким сложным для восприятия, но причина оказалась не той, которую я ожидал (см. цикломатическая сложность ). После небольшого анализа и исследования выяснилось, что дело скорее в читаемости кода - аспекте, о котором у меня было мало данных, но который мне было интересно изучить с точки зрения объективных терминов и общепринятых метрик. Сегодня мы погрузимся в результаты этого исследования, то есть вместо того, чтобы визуализировать код, мы поговорим о визуальных паттернах кода - тех, которые буквально заставляют мой мозг болеть! Предупреждение! Это туманная и плохо изученная область. В исследовании использовались различные источники: популярные метрики, научные статьи и практические мнения (включая мое собственное). Но в конце пути мы сведем всё ниже к 8 визуально различимым свойствам , которые помогут программистам любого языка улучшить читаемость кода.

https://habr.com/ru/articles/893820/

#анализ_кода #программное_обеспечение #паттерны_программирования

EDA of dataset Python

Привет, Хабр! Аналитики данных часто сталкиваются с грязными данными, которые могут существенно замедлить процесс анализа. Грязны данные – это пропущенные значения, дубликаты, неконсистентные данные. Пропущенные значения заставляют нас гадать, что же было замыслено нашим коллегой; дубликаты вводят в заблуждение, умножая одно и то же на количество их копий, а неконсистентные данные заставляют нас сомневаться в каждой цифре. Очищать грязные данные можно c Pandas . Рассмотрим основные методы.

https://habr.com/ru/articles/882588/

#анализ #анализ_данных #анализ_и_проектирование_систем #анализ_сложности_алгоритмов #анализ_трафика #анализ_кода

Что такое «правильный» ASOC?

Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для развития appsec, пусть не в стране, но хотя бы в Хабр-сообществе. В ходе работы нам с командой пришлось прожить многие этапы внедрения ASOC, решить тысячу и одну проблему, дорабатывать фичи, устранять баги, и «допиливать» воркфлоу так, чтобы ASOC действительно работал, не только на бумаге, но и на практике. Постараюсь рассказать, как мы для себя видим качественный продукт. (Возможно из этого выльется цикл статей, кто его знает).

https://habr.com/ru/articles/880638/

#devsecops #безопасная_разработка #application_security #анализ_кода #сканер_уязвимостей

DPDK: 100 больших и маленьких багов

В своей обители в Р'лайхе мёртвый Ктулху спит в ожидании своего часа. А в C коде проекта DPDK спит множество ошибок, и тоже в ожидании своего часа. Давайте посмотрим, какие из них может выявить анализатор PVS-Studio.

https://habr.com/ru/companies/pvs-studio/articles/857860/

#DPDK #Data_Plane_Development_Kit #C #программирование #баги #ошибки_в_коде #static_code_analysis #SAST #статический_анализ_кода #анализ_кода #информационная_безопасность #PVSStudio #open_source

Случай из практики анализа кода

Приветствую всех хабрачитателей. Если выкинуть административную работу, то моя основная деятельность на работе - поиск различных уязвимостей. Чаще всего мой инструментарий представляет собой набор каких-то отладчиков, динамических анализаторов и прочего подобного. Но иногда приходится заниматься анализом исходного кода произвольной степени кривизны понятности. И это практически отдельный параллельный мир в области безопасности. Под катом я расскажу об одном примере разбора небольшой проблемы в коде. Открываем код OpenJDK на гитхабе

https://habr.com/ru/companies/pm/articles/837688/

#статический_анализ #исходный_код #анализ_кода #openjdk

Не панацея, но помощник. О статическом анализаторе кода

Приветствую, уважаемые читатели Хабра! Сегодня я хочу предложить вашему вниманию статью о статических анализаторах кода, о том, что это такое и для чего они, собственно, нужны.

https://habr.com/ru/companies/reksoft/articles/840744/

#статический_анализатор #статический_анализатор_кода #исходный_код #анализ_кода #patternbased_analysis #data_flow_analysis #control_flow #msbuild #cmake #baseline