Туки-туки: где искать данные для фаззинга веб-приложений

Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .

https://habr.com/ru/companies/pt/articles/934136/

#пентест #безопасность_вебприложений #api #appsec #sast #dast

Большой разлив чая: сервис анонимных слухов о мужиках Tea спалил персданные пользовательниц

Оказалось, тысячи присланных для верификации селфи и даже водительских прав хранились онлайн в незашифрованном виде и без пароля.

https://habr.com/ru/articles/931294/

#tea_dating_advice #4chan #python #firebase #безопасность_вебприложений #персональные_данные #утечка_данных

Как устроены цифровые сертификаты

Цифровой сертификат является неотъемлемой частью систем информационной безопасности, при этом зачастую вскользь упоминаясь как сопутствующий элемент более крупных технологий и протоколов. Рассмотрим сертификаты как независимые единицы: их структуру, области применения и жизненный цикл.

https://habr.com/ru/articles/930972/

#сертификаты #электронные_сертификаты #сертификация #сертификаты_x509 #sslсертификаты #tls #подпись_кода #безопасность_вебприложений #информационная_безопасность

Управление скоростью маркетинговых рассылок: как не уложить фронтенд-платформу

Привет, Хабр! Меня зовут Сергей Бакалдин, я работаю в команде ComPath. Сегодня я расскажу историю о том, как одна неосторожная e‑mail-рассылка чуть не положила фронтенд-систему «Спортмастера», и как мы от этого открестились с помощью гибкого механизма управления скоростью рассылок.

https://habr.com/ru/companies/sportmaster_lab/articles/928536/

#frontendразработка #api #архитектура #архитектура_системы #redis #топики #безопасность_вебприложений #безопасность_данных

Single Sign-On (SSO) для системных аналитиков: от основ до деталей OIDC, SAML и Kerberos

Системным аналитикам часто приходится проектировать процессы авторизации, выбирать протоколы и описывать требования к аутентификации. Но когда дело доходит до SSO (Single Sign‑On) — архитектурных решений становится неожиданно много: OIDC, SAML, Kerberos… Что из этого выбрать и почему? В статье — подробный разбор SSO: • Что это такое, как работает и где мы сталкиваемся с этим каждый день (вход через Google, корпоративные порталы, файловые ресурсы Windows); • Как устроены OIDC, SAML и Kerberos — и чем они отличаются на каждом этапе : от запроса до logout; • Кому какой протокол подходит и как избежать архитектурных ловушек (например, использование SAML в мобильном приложении — это боль); • И, конечно, схемы, псевдокод и чек‑листы выбора. Узнать больше про SSO, SAML и OpenID

https://habr.com/ru/articles/923692/

#интеграция #безопасность_вебприложений #oath #saml #kerberos

Frontend Risks #1: CMS Битрикс отправляет данные ваших клиентов в Ирландию

В результате проведенного мной исследования безопасности 3000 российских frontend-приложений было обнаружено, что CMS Битрикс более 11 лет передает персональные данные посетителей сайтов на территорию Ирландии. Компании рискуют получить штрафы Роскомнадзора за трансграничную передачу данных без уведомления регулятора.

https://habr.com/ru/articles/919534/

#1СБитрикс #персональные_данные #система_аналитики #ндв #frontend #безопасность_вебприложений #безопасная_разработка #devsecops #рбпо #роскомнадзор

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3

Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными. В своих предыдущих статьях ( здесь и здесь ) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода. Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).

https://habr.com/ru/companies/bitrix/articles/914912/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3

Привет, Хабр! Меня зовут Анастасия Соколенко и с теми, кто читал мои предыдущие статьи, мы уже знакомы. Я отвечаю за безопасную разработку в Битрикс, а здесь рассказываю о том, как разработчикам делать сайты максимально безопасными. В своих предыдущих статьях ( здесь и здесь ) я рассказывала о четырёх типовых уязвимостях веб-приложений и о том, как разработчикам предусмотреть защиту от них при написании кода. Сегодня поговорим о трёх методах, которые помогут противостоять злоумышленникам. Это нормализация путей, безопасная работа с десериализацией и криптоподпись (Signer).

https://habr.com/ru/companies/bitrix/articles/914908/

#bitrix #битрикс #безопасность_вебприложений #cybersecurity

[Перевод] Как /etc/hosts поломал редактор сайта

Когда я работал над техническим постом о ресолвинге DNS, то столкнулся с чем-то неожиданным. Каждый раз, когда я вводил пути к файлу hosts ( /etc/h*sts — здесь я намеренно его обфусцировал, чтобы не вызвать ту самую ошибку), редактор Substack показывал «Network Error» и отказывался автоматически сохранять черновик.

https://habr.com/ru/articles/904612/

#ui #web_application_firewall #waf #безопасность_вебприложений

HTTP Request Smuggling: как особенности в обработке HTTP-заголовков приводят к атакам CL.TE и TE.CL

HTTP Request Smuggling или контрабанда HTTP-запросов — тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом и бэкендом. Каким образом различия в интерпретации заголовков позволяют атакующим использовать эту уязвимость? Как HTTP Request Smuggling можно использован в сочетании с Web Cache Poisoning? И на что обратить внимание, чтобы предотвратить подобные атаки? Разберем вместе на примере лабораторных работ с PortSwigger.

https://habr.com/ru/companies/jetinfosystems/articles/898788/

#http_request_smuggling #Web_Cache_Poisoning #безопасность_вебприложений #уязвимости #portswigger #cybersecurity