Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья - попытка честно сравнить два мира, найти точки пересечения и разобраться, почему одни проблемы одинаковые, а другие - принципиально разные. Исходные данные: OWASP Top 10 Web 2025 , OWASP Mobile Top 10 2024 , статистика NVD/CVE-базы, данные реальных пентестов, IBM Cost of a Data Breach 2024 .

https://habr.com/ru/articles/1035592/

#owasp_top_10 #безопасность_вебприложений #безопасность_мобильных_приложений #supply_chain #Certificate_Pinning #idor #secure_coding #devsecops #уязвимости

Wayback Machine как архив IDOR: как временные ссылки перестали быть временными

В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.

https://habr.com/ru/articles/1035516/

#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365

Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…

Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...

#Aktualności #Ai #BugBounty #Hackerone #IDOR #Websec

https://sekurak.pl/vibe-chaos-hacker-zglosil-podatnosci-do-ai-owej-platformy-do-tworzenia-aplikacji-bez-kodowania-lovable/

180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему

Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.

https://habr.com/ru/articles/1030936/

#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность

Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web

https://insicurezzadigitale.com/violazione-ants-un-banale-difetto-idor-espone-19-milioni-di-identita-francesi-in-vendita-sul-dark-web/

📰 RCI Hospitality Data Breach Exposes Sensitive Information of Contractors

RCI Hospitality Holdings discloses a data breach exposing contractor PII, including SSNs. ‼️ The breach was caused by an Insecure Direct Object Reference (IDOR) vulnerability on a web server. #DataBreach #IDOR #Vulnerability

🔗 https://cyber.netsecops.io/articles/rci-hospitality-discloses-data-breach-exposing-contractor-information/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

Уязвимости в мессенджере MAX

С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель
https://enep-home.ru/2026/04/13/%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2-%d0%bc%d0%b5%d1%81%d1%81%d0%b5%d0%bd%d0%b4%d0%b6%d0%b5%d1%80%d0%b5-max/

#BugBounty #IDOR #MAX #безопасность #мессенджер #уязвимость