Frontend Risks #1: CMS Битрикс отправляет данные ваших клиентов в Ирландию

В результате проведенного мной исследования безопасности 3000 российских frontend-приложений было обнаружено, что CMS Битрикс более 11 лет передает персональные данные посетителей сайтов на территорию Ирландии. Компании рискуют получить штрафы Роскомнадзора за трансграничную передачу данных без уведомления регулятора.

https://habr.com/ru/articles/919534/

#1СБитрикс #персональные_данные #система_аналитики #ндв #frontend #безопасность_вебприложений #безопасная_разработка #devsecops #рбпо #роскомнадзор

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3

Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными. В своих предыдущих статьях ( здесь и здесь ) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода. Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).

https://habr.com/ru/companies/bitrix/articles/914912/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3

Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными. В своих предыдущих статьях ( здесь и здесь ) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода. Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).

https://habr.com/ru/companies/bitrix/articles/914908/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

[Перевод] Как /etc/hosts поломал редактор сайта

Когда я работал над техническим постом о ресолвинге DNS, то столкнулся с чем-то неожиданным. Каждый раз, когда я вводил пути к файлу hosts ( /etc/h*sts — здесь я намеренно его обфусцировал, чтобы не вызвать ту самую ошибку), редактор Substack показывал «Network Error» и отказывался автоматически сохранять черновик.

https://habr.com/ru/articles/904612/

#ui #web_application_firewall #waf #безопасность_вебприложений

HTTP Request Smuggling: как особенности в обработке HTTP-заголовков приводят к атакам CL.TE и TE.CL

HTTP Request Smuggling или контрабанда HTTP-запросов — тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом и бэкендом. Каким образом различия в интерпретации заголовков позволяют атакующим использовать эту уязвимость? Как HTTP Request Smuggling можно использован в сочетании с Web Cache Poisoning? И на что обратить внимание, чтобы предотвратить подобные атаки? Разберем вместе на примере лабораторных работ с PortSwigger.

https://habr.com/ru/companies/jetinfosystems/articles/898788/

#http_request_smuggling #Web_Cache_Poisoning #безопасность_вебприложений #уязвимости #portswigger #cybersecurity

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 2

Продолжаем разбираться с основными уязвимостями и тем, как защищать сайты на Битрикс от этих угроз. В предыдущей статье я рассказала о методах защиты от SQL-инъекций и XSS-атак. Сегодня разберём защиту от CSRF- и SSRF-атак.

https://habr.com/ru/companies/bitrix/articles/894234/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

[Перевод] Как ИИ-агенты меняют атаки с украденными учётными данными

Атаки с подбором учётных данных оказали огромное влияние в 2024 году, подпитываемые замкнутым кругом заражений инфостилерами и утечек данных. Однако ситуация может стать ещё хуже с появлением Computer‑Using Agents (CUA) — нового типа ИИ‑агентов, обеспечивающих дешёвую и малозатратную автоматизацию распространённых веб‑задач, включая те, которые активно используют злоумышленники.

https://habr.com/ru/companies/otus/articles/892240/

#безопасность_вебприложений #безопасность_данных #ai #ииагенты #кража_учетных_данных

AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

https://habr.com/ru/companies/ussc/articles/891582/

#информационная_безопасность #безопасность_вебприложений #безопасная_разработка #нормативные_требования #облачные_технологии #оркестраторы #безопасность_приложений #appsec #атаки #управление_рисками_иб

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям

Привет! Меня зовут Анастасия Соколенко, я отвечаю за безопасную разработку в Битрикс24. Вместе с коллегами мы не только проверяем код, который пишут наши разработчики, но и учим их делать его максимально безопасным. Конечно, большинство разработчиков знакомы с разными уязвимостями веб-приложений, однако не все и не всегда применяют надлежащие методы защиты при написании кода. Существует очень много типов уязвимостей, но я разберу несколько самых распространённых, которые обязательно нужно учитывать при разработке. Сегодня расскажу вам о двух, а еще несколько рассмотрим в следующих частях этой статьи. SQL-инъекции и XSS-атаки входят в топ уязвимостей по мнению экспертов в области ИБ. Лаборатория Касперского ставит их на 4 и 5 места в своем рейтинге. С них мы и начнём.

https://habr.com/ru/companies/bitrix/articles/886090/

#cybersecurity #bitrix #битрикс #безопасность_вебприложений

Что делать, если ты первый AppSec-инженер в компании? План работ на стартовые полгода

Сейчас направление Application Security (AppSec) переживает бурный рост. Всё больше компаний выделяют AppSec в отдельное подразделение или начинают строить его с нуля. В крупных корпорациях появляются AppSec бизнес-партнеры, в стартапах лиды разработки всё чаще берут на себя задачи по обеспечению безопасности продуктов. Но с чего начать, если вы — первый AppSec-инженер или руководитель такого направления? Какие задачи поставить в первые полгода, чтобы заложить прочный фундамент? Меня зовут Алексей Волков, я эксперт в области продуктовой безопасности. Здесь я поделюсь опытом построения AppSec-процессов с нуля в первые полгода: как разобраться в ИТ-ландшафте, настроить процессы и расставить приоритеты, чтобы сразу дать бизнесу ощутимую пользу. Чеклист и советы основаны на моём опыте — без абстракций и нереалистичных ожиданий. При этом важно оговориться, что ваша работа может затянуться — в каждой компании свой ландшафт и у всех проблем бывают разные сроки решения.

https://habr.com/ru/articles/882198/

#appsec #менеджмент_в_it #безопасность_вебприложений #кибербезопасность