Атаки с подбором учётных данных оказали огромное влияние в 2024 году, подпитываемые замкнутым кругом заражений инфостилерами и утечек данных. Однако ситуация может стать ещё хуже с появлением Computer‑Using Agents (CUA) — нового типа ИИ‑агентов, обеспечивающих дешёвую и малозатратную автоматизацию распространённых веб‑задач, включая те, которые активно используют злоумышленники.
Рубрика «безопасность веб-приложений»
Как ИИ-агенты меняют атаки с украденными учётными данными
2025-03-19 в 9:49, admin, рубрики: AI, безопасность веб-приложений, безопасность данных, ии-агенты, кража учетных данныхПеренос JWT-токенов в куки: Django REST + React
2025-01-15 в 15:15, admin, рубрики: django, jwt, jwt token, React, web-разработка, авторизация пользователя, безопасность веб-приложений, веб-приложения, джангоПривет! Статья в первую очередь была прежде всего написана для самого себя с целью запоминания интересного опыта по реализации кастомных костылей авторизации с помощью JWT-токенов, находящихся в куки.
В качестве бекенда был выбран горячо любимый Django Rest Framework, в качестве фронтовой части в моем случае использовался React. Начну с реализации серверной стороны. Я пропущу шаги по настройке Django REST Framework в связке с React. В Django в моем случае в качестве приложения для аутентификации пользователей было создано приложение user.
В качестве базы JWT-токенов взял библиотеку Simple JWTЧитать полностью »
Что такое формальная верификация
2023-08-05 в 10:52, admin, рубрики: coq, Rust, Алгоритмы, безопасность, безопасность веб-приложений, безопасность данных, информационная безопасность, Криптовалюты, формальная верификация, функциональное программированиеЭто обзорная статья, в которой очень поверхностно и не подробно рассказывается о том, что такое формальная верификация программного кода, зачем она нужна и чем она отличается от аудита и тестирования.
Формальная верификация — это доказательство с использованием математических методов корректности программного обеспечения.
Формальная верификация молода. На сегодняшний день, на сайте хабр, например, нет (пока) специализации «Формальная верификация», нет специальности «Proof инженер» или «Специалист по формальной верификации». А люди, работающие по этой специальности — есть.
2 состояния аккаунта привязанного к телефону: «потерян» и «еще не потерян»
2022-02-04 в 21:38, admin, рубрики: Анализ и проектирование систем, безопасность веб-приложений, двухфакторная аутентификация, интерфейсы, информационная безопасность, Программирование, регистрация, сотовая связь, сотовые сетиВы создаете сервис, а в нем - регистрацию по номеру телефона? Вы создаете проблему себе и своим пользователям. Это не защитит ваш сервис от спамеров и нежелательных регистраций. Аккаунт ваших пользователей это тоже не защитит. Давайте разберемся почему.
Почему регистрация по телефонному номеру не защищает от спама
Для СНГ стоимость аренды номера на 10 минут для регистрации и приема СМС начинается от 0.03 $ . Сегодня эта защита по цене взлома приближается к разгадываю капчи индусами. Т.е. за 1 $ пользователь сможет создать пару десятков аккаунтов, с которым сможет спамить, писать непотребства, накручивать статистику и т.д.Читать полностью »
Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту
2022-01-16 в 11:37, admin, рубрики: CORS, indexeddb, iOS, iPadOS, safari, skillfactory, безопасность веб-приложений, Блог компании SkillFactory, браузеры, информационная безопасность, планшеты, утечки, Читальный зал
FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания.
Pysa: как избежать проблем безопасности в коде Python
2020-09-18 в 13:30, admin, рубрики: open source, python, безопасность веб-приложений, Блог компании SkillFactory, информационная безопасность, Разработка веб-сайтов, статический анализ
7 августа Facebook представил Pysa — ориентированный на безопасность статический анализатор с открытым исходным кодом, помогающий работать с миллионами строк в Instagram. Раскрыты ограничения, затронуты проектные решения и, конечно, средства, помогающие избегать ложных положительных срабатываний. Показана ситуация, когда Pysa наиболее полезен, и код, в котором анализатор неприменим. Подробности из блога Facebook Engineering под катом.
Читать полностью »
Почему удобство vs безопасность — не трейдофф
2020-02-06 в 6:00, admin, рубрики: анализ кода, безопасность веб-приложений, информационная безопасность, мобильные приложения, разработка мобильных приложений, Софт, юзабилитиЯ с 2014 года работаю над безопасностью мобильных и веб-приложений. Много раз слышал от разных людей и в разном контексте про «трейдофф usability vs security», при этом с самого начала видел в этом какой-то подвох. В этом посте я поделюсь своим мнением, почему, на мой взгляд, это не трейдофф, и на самом деле от него давно стоит отказаться.
Скоро Новый год. PHP — 25*. Вот что мы ему хотим пожелать
2019-12-03 в 11:20, admin, рубрики: api-platform, CRUD RESTful API, laravel, php, php митап, symfony, yii, безопасность веб-приложений, Блог компании Skyeng, казань, логирование, переход на go, Татарстан, трассировкаСовременный PHP совсем не тот, что был во времена пятой версии. Обидно до сих пор встречать хейтеров языка, которые обвиняют его по-старинке, не зная 7-ю версию. Надеемся, мы и не встретим их на большом PHP-митапе в Казани 14 декабря. А всех остальных ждем с радостью. Дело будет днем субботы, так что можно доехать из Иннополиса, Челнов, Ульяновска, Москвы… Многие докладчики также приедут из других городов.
В общем, приходите. А еще добавляйтесь в чат первой казанской BeerPHP-встречи — она пройдет сразу после митапа.
По традиции, мы взяли блиц-интервью у докладчиков: узнали, чего бы они пожелали языку, чем удивят на встрече, какими вещами не гордятся и о чем еще с ними поговорить, помимо разработки.
Читать полностью »
Небезопасные функции PHP
2019-10-18 в 14:41, admin, рубрики: php, php-fpm, безопасность, безопасность веб-приложений, Блог компании ModescoХолдинг Modesco — это более 300 инфосайтов и 5 крупных Интернет-сервисов. Проекты регулярно покупаются и продаются. Как вы понимаете, поддерживать качество кода на высоком уровне в данной ситуации физически невозможно. Да и основное внимание программистов, как правило, сосредоточено на самих сервисах. Взломы, shell, заражения сайтов прочими вредоносными штуками… Все это наносит ощутимый вред пользователям и компании. Чтобы избежать этого, частенько приходится искать довольно нестандартные способы для уменьшения рисков.
Как простой <img> тэг может стать высоким риском для бизнеса?
2019-10-10 в 13:14, admin, рубрики: penetration testing, security, websec, безопасность веб-приложений, информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисовБезопасность на реальных примерах всегда интересна.
Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг.
Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух эта уязвимость и выявилась. Скриншоты взяты прямо из отчетов, потому вся лишняя информация замазана.