Category: Безопасность

17
Сен
2022

Безопасность, cookie, бекенд, Expressjs,

В офф документации сказано что нужно использовать модули cookie-session или express-session которые создают сессии и для работы требуют совместимые сессионные хранилища. До этого в проекте было уже реализовано JWT авторизация, но управлени…

10
Июл
2022

Не могу перехватить исключение брошенное из UserProvider в Symfony

В новой Symfony 6.1 пытаюсь реализовать авторизацию как по логину-паролю, так и через github. Написал для этих целей свой UserProvider. И вот его метод loadUserByIdentifier:
public function loadUserByIdentifier($username): UserInterface
{

24
Июн
2022

Как правильно скрыть java script на фронте в записи WordPress, если обфускатором не получилось?

Вставил с помощью блока "Код" в новом текстовом редакторе записей Wordpress javascript программку, только теперь не знаю, как ее скрыть на фронте. Попробовал прогнать через онлайн обфускатор:
https://www.daftlogic.com/projects-on…

06
Июн
2022

net:ERR_UNSAFE_REDIRECT chrome при редиректе из расширения chrome

Я разрабатываю расширение для google chrome, моя задача выглядит примерно следущим образом:

при помощи chrome.webRequest.onBeforeRequest перехватить запрос
Предотвратить выполнение запроса (но не завершение его ошибкой) путем перенаправле…

17
Май
2022

Как проверить корректность SSL-сертификата в Java?

Есть код на Java, в котором я обращаюсь к стороннему серверу, отправляю туда POST-запрос и получаю в ответ JSON. В общих чертах код выглядит так:
// operationName – REST-операция на сервере, к которой я обращаюсь
// requestParams – запрос …

29
Апр
2022

Как защитить сервер от внесения изменений через чужие ajax запросы?

Сервер работает на PHP, хочу чтобы при оплате у клиента возникала возможность добавить изменения в один из файлов этого сервера. Я предпологал что это возможно, путём отправки Ajax запроса в определенный php файл, несущего ряд параметров, …

28
Апр
2022

SQL инъекция формы входа на сайтк

Всем привет, получил задание проверить на уязвимость вход на локальный сайт с электронным расписанием. Пробовал стандартные запросы типа: ‘ OR 1=1; /*, но ничего не получается. Вот код сайта:
<?php
session_start();
?>
&lt…

25
Апр
2022

Почему моему реверс шеллу не хватает разрешений?

Я решил обучить друга основам инфобезопасности, и ради прикола решили написать реверс шелл.
И после выполнения данного кода выбивает исключение, мол, не хватает разрешений.
import socket, subprocess

ss = socket.socket()

ss.connect((‘loca…

17
Мар
2022

Yii2 защита от race condition

Как в Yii2 можно обезопасить свой код от атаки типа race condition?
Например, в Laravel для SQL запросов есть такая штука как pessimistic locking (https://laravel.com/docs/5.4/queries#pessimistic-locking), которая блокирует данные от модиф…

04
Мар
2022

как XSS атака затрагивает других пользователей

Просмотрел различные материалы по XSS атаке (в том числе и многие вопросы здесь, на stackoverflow)
но так и не понял принцип работы такой атаки
В примерах из описания приводят пример по типу
http://some-url.com/xss?q=<script>alert(12…

14
Фев
2022

Безопасность данных на стаке при вызове функций exec

Мучает такой вопрос – после вызова execve (или любой из exec*) новая программа может прочитать данные, хранящиеся на стаке в предыдещей программе в момент вызова?
В манах указано, что новый процес замещает текущий, следует ли это понимать,…

26
Дек
2021

Почему антивирус блокирует мою программу на другом устройстве?

Делаю программки на python. Из python файла конвентирую в exe. Потом через программу делаю для моей программы установщик. Скидываю ссылку на яндекс диск друзьям. После скачивания установщика либо антивирус блокирует сам установщик, либо пр…

26
Дек
2021

Почему антивирус блокирует мою программу на другом устройстве?

Делаю программки на python. Из python файла конвентирую в exe. Потом через программу делаю для моей программы установщик. Скидываю ссылку на яндекс диск друзьям. После скачивания установщика Smart Screen выдаёт предупреждение о возможной о…

03
Дек
2021

Пишем Java веб-приложение на современном стеке. С нуля до микросервисной архитектуры. Часть 2

В этой части мы попытаемся добавить безопасности в наше приложение — сделаем отдельный микросервис аутентификации/авторизации, а в нашем приложении BookStore запретим вызов методов неавторизованными пользователями.
— Читать дальше «Пишем Java веб-прило…

01
Окт
2021

Какое из 8 направлений IT-стажировки вам подходит? Тест от Tproger и Kaspersky

Шуточный тест, чтобы определить, какое направление стажировки SafeBoard может вам подойти. Просто выбирайте решения, которые вам ближе всего.
— Читать дальше «Какое из 8 направлений IT-стажировки вам подходит? Тест от Tproger и Kaspersky»

31
Авг
2021

Защита памяти и передача управления в стек

Читаю книгу "Искусство эксплойта" и в какой то момент демонстрируется уязвимость переполнения буфера. В стек программы внедряется шелл-код, на который после передается управление. Попытался повторить, однако получил ошибку сегмен…

25
Авг
2021

Курс «Специалист по тестированию на проникновение»

7 месяцев практических занятий, постоянная поддержка менторов-пентестеров, диплом о профессиональной переподготовке и международный сертификат HackerU.
— Читать дальше «Курс «Специалист по тестированию на проникновение»»

24
Авг
2021

Обучение в «Школе программистов» 2021–2022

Открыт набор на обучение школьников 2–10 классов фундаментальным навыкам в разных направлениях IT. Офлайн в Москве и Санкт-Петербурге или онлайн по индивидуальному графику.
— Читать дальше «Обучение в «Школе программистов» 2021–2022»

20
Авг
2021

Расскажите о способах посмотреть php-код с чужого сервера [дубликат]

Правильно ли я понимаю, что это невозможно, и таким образом, владелец сайта может безопасно хранить некоторые пароли прям в php-скриптах?
(Это я задумался о том, как сделать два php-скрипта на сервере, чтоб пользователь сайта мог запустить…

19
Авг
2021

Шифрование и безопасность в менеджере паролей

Вопрос, касающийся сторон безопасности в разработке менеджера паролей.
1. Вводная.
Для общего развития я работаю над реализацией менеджера паролей, стек react + node.js + mongodb. Есть тачка (digitalocean), развёрнуты два приложения – клие…

19
Авг
2021

Шифрование и безопасность в менеджере паролей

Вопрос, касающийся сторон безопасности в разработке менеджера паролей.
1. Вводная.
Для общего развития я работаю над реализацией менеджера паролей, стек react + node.js + mongodb. Есть тачка (digitalocean), развёрнуты два приложения – клие…

06
Авг
2021

В Microsoft Edge добавили тестовый «супер-пупер безопасный режим», который повышает безопасность за счёт замедления браузера

Команда Microsoft по исследованию уязвимостей браузера работает над режимом Super Duper Secure Mode, который сделает браузер Edge более безопасным.
— Читать дальше «В Microsoft Edge добавили тестовый «супер-пупер безопасный режим», который повышает без…