Предисловие
Как известно, в России почти каждая первая финансовая организация позиционирует себя как софтверную IT-компанию, а не просто как "банк" или "платежная система". Сегодня речь пойдет о ЮМани — подразделении Сбера, IT-гиганта всея руси.
Рубрика «CORS»
Обновлено: Как я обнаружил проблемы у ЮМани (Сбербанк) с безопасностью и не получил денег за найденную уязвимость
2024-09-18 в 6:49, admin, рубрики: CORS, yoomoney, безопасность, Сбер, Сбербанк, утечка, уязвимость, ЮМани, яндекс.деньгиGridComponent. Часть II. Котики, NestJS и чуть-чуть о Postman
2022-09-03 в 20:26, admin, рубрики: backend, CORS, nestjs, node.js, nodejs, postgres, Postman, sqlite3, typeorm, TypeScriptДоброго дня!
Как и обещал, в продолжение своего пет-проекта по созданию грид-компонента опишу здесь создание backend части на таком фреймворке как NestJS, попутно ознакомив читателя с дополнительными инструментами для backend разработки. Код проекта найдете здесь. Статья в основном для новичков, поэтому не пытайтесь найти здесь что-то сверхъестественное.
Сразу сделаю оговорку, что я не являюсь крутым специалистом по данному фреймворку, скорее – большим его любителем. Но почему все-таки NestJS, а не какой-нибудь Читать полностью »
cors-anywhere на чистом конфиге nginx
2022-02-13 в 13:58, admin, рубрики: api, CORS, cors-anywhere, nginxЕсли вы сталкивались с CORS, то знаете всю ту боль, которую испытывает разработчик, когда нужно сходить к API на другом домене. Если конфигурация сервера не доступна для настройки, то использовали какое-нибудь решение на основе не менее популярного решения cors-anywhere.
Пятница вечер делать нечего
Не многим изестно, что директива proxy_pass поддерживает не только локальные домены и потоки (aka upstream), но и внешние источники, например:
proxy_pass https://api.github.com/$request_uriУязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту
2022-01-16 в 11:37, admin, рубрики: CORS, indexeddb, iOS, iPadOS, safari, skillfactory, безопасность веб-приложений, Блог компании SkillFactory, браузеры, информационная безопасность, планшеты, утечки, Читальный зал
FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания.
Безопасность REST API от А до ПИ
2020-05-25 в 8:10, admin, рубрики: api, authentication, Clickjacking, cookies, CORS, csrf, cwe, http, HTTPS, injection, IT-стандарты, OWASP, rest api, security api, security web, token, xss, Анализ и проектирование систем, информационная безопасность, Разработка веб-сайтовВведение
Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответствии со спецификацией. Задача обеспечения безопасности REST API не так очевидна, как, например, обеспечение безопасности баз данных, но ее необходимость не менее важна.
В настоящее время многие онлайн системы с помощью API передают приватные данные пользователей, такие как медицинские или финансовые. Текущая же ситуация с безопасностью в веб-приложениях весьма печальна: по данным Comnews порядка 70% содержат критические уязвимости. Поэтому всем, кто участвует в проектировании, реализации и тестировании онлайн систем, важно иметь общую картину по существующим угрозам и способам обеспечения безопасности как всей системы, так и используемого REST API.
В статье я попытался обобщить информацию о существующих уязвимостях REST API, чтобы у читателей сложилась общая картина. На схемах представлена современная архитектура клиент-сервер и обобщенный REST API запрос с потенциальными угрозами безопасности. Далее я подробнее расскажу об этих угрозах, и как технически реализовать защиту от них.
Cross-Origin Read Blocking (CORB) в расширениях для Chrome
2020-02-24 в 9:23, admin, рубрики: chrome extension, CORB, CORS, firefox extension, web extension, Расширения для браузеров
Если вы когда-то разработали расширение для Chrome, то может оказаться, что оно перестало работать.
Причина в том, что начиная аж с прошлого года, в браузере Chrome блокируются Cross-Origin запросы из content-скриптов. Это означает, что если ваше расширение обращается к некоторому строннему API напрямую из content-скрипта, такой запрос будет заблокирован благодаря Cross-Origin Read Blocking (CORB)
Читать полностью »
RealWorld: aiohttp, Tortoise ORM
2020-02-09 в 6:34, admin, рубрики: aiohttp, CORS, jwt, python, real world, Tortoise ORM, Разработка веб-сайтовRealWorld: aiohttp, Tortoise ORM
На Real World https://github.com/gothinkster/realworld отсутствует пример для aiohttp, и я решил его сделать. Опытным разработчикам, похоже, некогда этим заниматься, а начинающим в aiohttp непонятно как делать правильно. Я начал его делать с помощью Tortoise ORM. Пока начал делать аутентификацию.
Хочется сделать этот проект правильно, поэтому под катом очень много вопросов опытным aiohttp разработчкам.
Автоматизация загрузки логов из Kibana в Redmine
2018-04-27 в 5:29, admin, рубрики: ad-hoc решение., CORS, filelist, haproxy, javascript, jquery, kibana, logstash, redmine, автоматизация, Блог компании ИНФОРИОН, КодоБред, логи, ненормальное программирование, никто не читает теги, хукТипичный юзкейс для Kibana — смотрим логи, видим ошибки, создаем тикеты по ним. Логов у нас довольно много, места для их хранения мало. Поэтому просто вставить ссылку на документ из Elasticsearch/Kibana недостаточно, особенно для низкоприоритетных задач: пока доберемся до нее, индекс с логом может быть уже удален. Соответственно, приходится документ сохранять в файл и прикреплять к тикету.
Если один раз это делать, то это еще куда ни шло, но создавать уже десять тикетов подряд будет тупо лень, поэтому я решил это «быстренько» (ха-ха) автоматизировать.
Под катом: статья для пятницы, экспериментальная фича javascript, пара грязных хаков, небольшая регулярка с галочками, reverse proxy, проигрыш безопасности удобству, костыли и очевидная картинка из xkcd.
Читать полностью »
Security Week 27: ExPetr = BlackEnergy, более 90% сайтов небезопасны, в Linux закрыли RCE-уязвимость
2017-07-07 в 16:19, admin, рубрики: blackenergy, CORS, expetr, hpkp, HSTS, HTTPS, klsw, mozilla, Petya, systemd, systemd-resolvd, Ubuntu, xcto, xfo, xxssp, Блог компании «Лаборатория Касперского», информационная безопасность
Зловещий ExPetr, поставивший на колени несколько весьма солидных учреждений, продолжает преподносить сюрпризы. Наши аналитики из команды GReAT обнаружили его родство со стирателем, атаковавшим пару лет назад украинские электростанции в рамках кампании BlackEnergy.
Конечно, откровенного использования кусков кода в ExPetr не наблюдается, авторы постарались не спалиться. Но программистский почерк так просто не замаскируешь.
Сначала аналитики сравнили списки расширений шифруемых файлов. На первый взгляд не очень похоже – BlackEnergy работал со значительно большим разнообразием файлов, – но если приглядеться, сходство все-таки есть. Типов расширений существует множество, и из них можно собрать бесконечное число разных списков, а тут налицо явные пересечения по составу и форматированию.
Читать полностью »