Category: Безопасность

04
Июл
2020

Нужно ли всё экранирование encodeURIComponent?

Понятно, что encodeURIComponent нужен чтобы предотвратить неоднозначности в парсинге url, а также избежать проблем с кодировкой. Но действительно ли всё производимое экранирование требуется для query-параметров (именно для них, а не для лю…

03
Июл
2020

PHP. Безопасность. Авторизация

Пишу авторизацию для сайта на php. Возник вопрос по поводу безопасности при реализации функции "запомнить меня".
Если вкратце, то пользователю выдаются cookie с токеном, который сформирован следующим методом:
$bytes = random_byte…

29
Июн
2020

7 июля, онлайн: вебинар «Безопасность WEB: уязвимости авторизации»

Поговорят про уязвимость в системе авторизации, про её критичность и последствиях, а также о наиболее эффективных способах предотвращения.
— Читать дальше «Вебинар «Безопасность WEB: уязвимости авторизации»»

26
Июн
2020

2–4 июля, онлайн: интенсив «Станьте хакером на Python за 3 дня»

Изучите основы кодинга на Python, разберётесь с файлами и типами данных, научитесь проводить атаки методом грубой силы и добавите проект в портфолио.
— Читать дальше «Интенсив «Станьте хакером на Python за 3 дня»»

25
Июн
2020

30 июня, онлайн: вебинар «Безопасность WEB: проблемы аутентификации»

На мероприятии расскажут про случаи использования уязвимости аутентификации и участники вместе со спикером разберут две практические задачи.
— Читать дальше «Вебинар «Безопасность WEB: проблемы аутентификации»»

22
Июн
2020

25 июня, онлайн: митап Backend United #6: Табаско

Поговорят об обнаружении и предотвращении ошибок при написании и эксплуатации кода, которые могут привести к проблемам с секьюрностью.
— Читать дальше «Митап Backend United #6: Табаско»

16
Июн
2020

23 июня, онлайн: вебинар «Безопасность WEB: уязвимости SSRF»

Поговорят про уязвимость, про критичность и сценарии эксплуатации SSTI и о наиболее эффективных способах предотвращения уязвимости.
— Читать дальше «Вебинар «Безопасность WEB: уязвимости SSTI»»

11
Июн
2020

16 июня, онлайн: вебинар «Безопасность WEB: уязвимости SSRF»

Поговорят про уязвимость, про критичность и сценарии эксплуатации SSRF и о наиболее эффективных способах предотвращения уязвимости.
— Читать дальше «Вебинар «Безопасность WEB: уязвимости SSRF»»

03
Июн
2020

9 июня, онлайн: вебинар «Безопасность WEB: уязвимости XML External Entity»

Рассмотрят теорию и покажут решение реальных задач, связанных с эксплуатацией уязвимостей XXE, из опыта профессиональных пентестеров.
— Читать дальше «Вебинар «Безопасность WEB: уязвимости XML External Entity»»

26
Май
2020

2 июня, онлайн: вебинар «Безопасность WEB: уязвимости CSRF и XXS»

Рассмотрят теорию и покажут решение реальных задач, связанных с подделкой межсайтовых запросов и межсайтовым скриптингом, из практики опытных пентестеров.
— Читать дальше «Вебинар «Безопасность WEB: уязвимости CSRF и XXS»»

21
Май
2020

Как запретить доступ на просмотр файла, но разрешить его выполнение?

Есть js файл (main) который с помощью модуля подключает в себя другой js файл (second).

import {second} from ‘./second.js’;

jQuery(document).ready(function(){
second();
});

Со своего сайта я предоставляю людям ссылку на файл main.j…

08
Май
2020

@Secured и @RolesAllowed в Spring Security не работает с ENUM

Пишу свой первый боевой проект на Spring MVC. Есть класс User, от которого наследуются по связям три класса Customer, Admin, Cook. Соответственно, созданы и таблицы. Добавил в проект Spring Security и систему авторизации. Вход в систему пр…

03
Май
2020

Книги и статьи по безопасности веб-приложений

Занимаюсь разработкой на PHP. Хотел бы узнать все о безопасности веб-приложений.

Подскажите пожалуйста книги, статьи, вебинары и т.д. С чего лучше начать и чем закончить(чтобы идти как бы от простого к сложному)

29
Апр
2020

Безопасный вывод средств

Есть сервер(Сервер-A), на нем веб-приложение, с помощью него пользователи могу выполнять разные операции(к примеру, изменить имя, добавить заметку и т.д.), необходимо внедрить механизм который будет максимально безопасно запускать один тип…

25
Апр
2020

64-символьный ключ в ajax-запросе для внесения изменений на сайте в роле админа

Не хватает пока опыта чтобы самому определить насколько безопасным или опасным была бы следующая схема авторизации на сайте.

Итак, на хостинг в папке public_html размещается html-файл с JavaScript’ом, который ajax’ом подгружает страницы с…

15
Апр
2020

1–30 апреля, онлайн: курсы Pluralsight

Более 7000 видео-курсов стали доступными до конца месяца, среди категорий: разработка ПО, DevOps, анализ данных, ИИ и машинное обучение.
— Читать дальше «Онлайн-курсы Pluralsight»

07
Апр
2020

IT во время чумы: Apple делает маски, Mozilla даёт денег open source проектам, и другие новости последней недели

Определение коронавируса по кашлю, возвращение легендарного приложения и как хакеры паразитируют на самоизоляции — обо всём этом в нашей подборке за неделю.
— Читать дальше «IT во время чумы: Apple делает маски, Mozilla даёт денег open source проектам,…

07
Апр
2020

21 апреля, онлайн: вебинар «Безопасность WEB для начинающих»

Поговорят про современные угрозы, сценарии защиты и самообразование, а также поделятся кейсами из практики экспертов по информационной безопасности.
— Читать дальше «Вебинар «Безопасность WEB для начинающих»»

04
Апр
2020

IP адрес клиента в websocket

Есть простой серверный и не менее простой клиентский скрипты. Суть в том, что я хочу получать IP-адрес клиента при подключении к ws-серверу. Каким образом это можно реализовать?

const WebSocket = require(‘ws’);

const wsServer = new…

17
Мар
2020

5 апреля, онлайн: соревнование Moscow CTF School

Во время конкурса участникам предстоит столкнуться с задачами, связанными с различными аспектами информационной безопасности.
— Читать дальше «Соревнование Moscow CTF School 2020»

16
Мар
2020

Улучшение алгоритма авторизации в RESTFull приложение JAX-RS(Jersey)

Всем привет 🙂
У меня есть рабочая реализация Basic Authorization с ролями, под JAX-RS(Jersey), но она кажется мне не сильно оптимальной.
Если у вас есть более удачные примеры реализации или объективная критика, жду.

web.xml

<servl…

09
Мар
2020

insertAdjacentHTML почему не безопасно?

Смотрю видео по JS и наткнулся на тот пункт что использование insertAdjacentHTML не безопасно
Но не могу понять почему…
JavaScript при загрузке используется у каждого юзера локально, так в чём проблема безопасности использования insertA…

14
Фев
2020

Уязвимость в инфраструктуре Университета

уважаемые форумчане. Возникла такая интересная ситуация (начну немного с предыстории – много букв).
В Университете М, в котором я учусь, ещё с момента моего поступления было неплохое приложение с расписанием занятий. Но год спустя отдел ин…

11
Фев
2020

SQL инъекция формы на сайте

Всем привет, получил задание написать простую форму регистрации и авторизации на сайте,успешно справился, теперь нужно зайти на сайт зная только логин, но не зная пароля с помощь SQL-инъекции. Как это сделать не могу понять, уже все статьи…


Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/u0546839/data/www/prog-help.ru/wp-content/plugins/feedwordpress/syndicatedpost.class.php on line 1332

Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/u0546839/data/www/prog-help.ru/wp-content/plugins/feedwordpress/syndicatedpost.class.php on line 1332

Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/u0546839/data/www/prog-help.ru/wp-content/plugins/feedwordpress/syndicatedpost.class.php on line 1332

Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/u0546839/data/www/prog-help.ru/wp-content/plugins/feedwordpress/syndicatedpost.class.php on line 1332

Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/u0546839/data/www/prog-help.ru/wp-content/plugins/feedwordpress/syndicatedpost.class.php on line 1332