Category: Безопасность

17
Май
2022

Как проверить корректность SSL-сертификата в Java?

Есть код на Java, в котором я обращаюсь к стороннему серверу, отправляю туда POST-запрос и получаю в ответ JSON. В общих чертах код выглядит так:
// operationName – REST-операция на сервере, к которой я обращаюсь
// requestParams – запрос …

29
Апр
2022

Как защитить сервер от внесения изменений через чужие ajax запросы?

Сервер работает на PHP, хочу чтобы при оплате у клиента возникала возможность добавить изменения в один из файлов этого сервера. Я предпологал что это возможно, путём отправки Ajax запроса в определенный php файл, несущего ряд параметров, …

28
Апр
2022

SQL инъекция формы входа на сайтк

Всем привет, получил задание проверить на уязвимость вход на локальный сайт с электронным расписанием. Пробовал стандартные запросы типа: ‘ OR 1=1; /*, но ничего не получается. Вот код сайта:
<?php
session_start();
?>
&lt…

25
Апр
2022

Почему моему реверс шеллу не хватает разрешений?

Я решил обучить друга основам инфобезопасности, и ради прикола решили написать реверс шелл.
И после выполнения данного кода выбивает исключение, мол, не хватает разрешений.
import socket, subprocess

ss = socket.socket()

ss.connect((‘loca…

17
Мар
2022

Yii2 защита от race condition

Как в Yii2 можно обезопасить свой код от атаки типа race condition?
Например, в Laravel для SQL запросов есть такая штука как pessimistic locking (https://laravel.com/docs/5.4/queries#pessimistic-locking), которая блокирует данные от модиф…

04
Мар
2022

как XSS атака затрагивает других пользователей

Просмотрел различные материалы по XSS атаке (в том числе и многие вопросы здесь, на stackoverflow)
но так и не понял принцип работы такой атаки
В примерах из описания приводят пример по типу
http://some-url.com/xss?q=<script>alert(12…

14
Фев
2022

Безопасность данных на стаке при вызове функций exec

Мучает такой вопрос – после вызова execve (или любой из exec*) новая программа может прочитать данные, хранящиеся на стаке в предыдещей программе в момент вызова?
В манах указано, что новый процес замещает текущий, следует ли это понимать,…

26
Дек
2021

Почему антивирус блокирует мою программу на другом устройстве?

Делаю программки на python. Из python файла конвентирую в exe. Потом через программу делаю для моей программы установщик. Скидываю ссылку на яндекс диск друзьям. После скачивания установщика либо антивирус блокирует сам установщик, либо пр…

26
Дек
2021

Почему антивирус блокирует мою программу на другом устройстве?

Делаю программки на python. Из python файла конвентирую в exe. Потом через программу делаю для моей программы установщик. Скидываю ссылку на яндекс диск друзьям. После скачивания установщика либо антивирус блокирует сам установщик, либо пр…

03
Дек
2021

Пишем Java веб-приложение на современном стеке. С нуля до микросервисной архитектуры. Часть 2

В этой части мы попытаемся добавить безопасности в наше приложение — сделаем отдельный микросервис аутентификации/авторизации, а в нашем приложении BookStore запретим вызов методов неавторизованными пользователями.
— Читать дальше «Пишем Java веб-прило…

01
Окт
2021

Какое из 8 направлений IT-стажировки вам подходит? Тест от Tproger и Kaspersky

Шуточный тест, чтобы определить, какое направление стажировки SafeBoard может вам подойти. Просто выбирайте решения, которые вам ближе всего.
— Читать дальше «Какое из 8 направлений IT-стажировки вам подходит? Тест от Tproger и Kaspersky»

31
Авг
2021

Защита памяти и передача управления в стек

Читаю книгу "Искусство эксплойта" и в какой то момент демонстрируется уязвимость переполнения буфера. В стек программы внедряется шелл-код, на который после передается управление. Попытался повторить, однако получил ошибку сегмен…

25
Авг
2021

Курс «Специалист по тестированию на проникновение»

7 месяцев практических занятий, постоянная поддержка менторов-пентестеров, диплом о профессиональной переподготовке и международный сертификат HackerU.
— Читать дальше «Курс «Специалист по тестированию на проникновение»»

24
Авг
2021

Обучение в «Школе программистов» 2021–2022

Открыт набор на обучение школьников 2–10 классов фундаментальным навыкам в разных направлениях IT. Офлайн в Москве и Санкт-Петербурге или онлайн по индивидуальному графику.
— Читать дальше «Обучение в «Школе программистов» 2021–2022»

20
Авг
2021

Расскажите о способах посмотреть php-код с чужого сервера [дубликат]

Правильно ли я понимаю, что это невозможно, и таким образом, владелец сайта может безопасно хранить некоторые пароли прям в php-скриптах?
(Это я задумался о том, как сделать два php-скрипта на сервере, чтоб пользователь сайта мог запустить…

19
Авг
2021

Шифрование и безопасность в менеджере паролей

Вопрос, касающийся сторон безопасности в разработке менеджера паролей.
1. Вводная.
Для общего развития я работаю над реализацией менеджера паролей, стек react + node.js + mongodb. Есть тачка (digitalocean), развёрнуты два приложения – клие…

19
Авг
2021

Шифрование и безопасность в менеджере паролей

Вопрос, касающийся сторон безопасности в разработке менеджера паролей.
1. Вводная.
Для общего развития я работаю над реализацией менеджера паролей, стек react + node.js + mongodb. Есть тачка (digitalocean), развёрнуты два приложения – клие…

06
Авг
2021

В Microsoft Edge добавили тестовый «супер-пупер безопасный режим», который повышает безопасность за счёт замедления браузера

Команда Microsoft по исследованию уязвимостей браузера работает над режимом Super Duper Secure Mode, который сделает браузер Edge более безопасным.
— Читать дальше «В Microsoft Edge добавили тестовый «супер-пупер безопасный режим», который повышает без…

14
Июл
2021

При попытке вынести логику метода saveUser в @RestController не добавляется юзер

Пишу небольшое Rest-приложение и хочу вынести логику метода по созданию юзера в userservice, но как только это делаю, перенеся логику в метод addUser, метод перестаёт создавать юзера. Скажите, что делаю неправильно?
Логика метода, которую …

13
Июл
2021

XSS- и CSRF-атаки — разбираем уязвимости

Рассказываем об уязвимостях #frontend-приложений XSS и CSRF, разбираем дефолтную политику браузера и пути её обхода или настройки
— Читать дальше «XSS- и CSRF-атаки — разбираем уязвимости»

21
Июн
2021

Конференция ZeroNights 2021

Эксперты по информационной безопасности, 4 тематических секции, воркшопы, встречи и конкурсы в городском пространстве Санкт-Петербурга.
— Читать дальше «Конференция ZeroNights 2021»

09
Июн
2021

Хакатон INNOHACK 2.0

Команды из разработчиков, аналитиков, тестировщиков, DevOps-инженеров и UI/UX-дизайнеров должны решить одну из 5 бизнес-задач. Призовой фонд — 1,2 млн рублей. Заявки принимаются до 15 июня.
— Читать дальше «Хакатон INNOHACK 2.0»

04
Июн
2021

Сгенерировать случайный ключ длиной 128 бит используя SecureRandom Java

Требуется сгенерировать случайный ключ длиной 128 бит используя SecureRandom, далее вычислить HMAC (на базе SHA2 или SHA3) от хода со сгенерированным ключом. Ходом является случайное число