OWASP Top 10 для приложений LLM и GenAI: Руководство для разработчиков и практиков
Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта.
Рубрика «OWASP»
Безопасность приложений больших языковых моделей (LLM, GenAI)
2024-09-15 в 8:16, admin, рубрики: genai, llm, OWASP, owasp top 10, securityИнтервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru
2023-01-31 в 10:43, admin, рубрики: bugbounty, bugbounty.ru, hackerone, OWASP, интервью, информационная безопасность, кибербезопасность, киберполигон, лука сафоновПосле ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru появилась ещё до ухода h1, до санкций и всех известных событий последнего года.
Что нового появилось в PVS-Studio в 2021 году
2021-12-31 в 11:50, admin, рубрики: .net 6, CLion, MISRA, OWASP, pvs-studio, safety, SAST, security, static analysis, Unreal Engine, visual studio 2022, Блог компании PVS-Studio
2021 вот-вот закончится, а значит, настало время подведения итогов! Сегодня мы поговорим о том, что нового появилось в анализаторе PVS-Studio за прошедший год. Устраивайтесь поудобнее, мы начинаем.
«Кража» со взломом: пентест финансовой организации
2021-11-30 в 7:53, admin, рубрики: OWASP, аудит безопасности, аудит внутренней сети, аудит сайта, Блог компании Бастион, информационная безопасность, социальная инженерия, Тестирование IT-систем, Тестирование веб-сервисов, тестирование на проникновение, уязвимости, финансы, фишинг
В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.
Безопасность через неясность недооценивается
2020-09-15 в 21:44, admin, рубрики: OWASP, безопасность через неясность, Блог компании GlobalSign, информационная безопасность, камуфляж, модель швейцарского сыра, обфускация, порты, Программирование, симметричное шифрование, эшелонированная оборонаВ информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить:
- Никогда не внедряйте собственную криптографию.
- Всегда используйте TLS.
- Безопасность через неясность (security by obscurity) — это плохо.
И тому подобное. Большинство из них в целом верны. Однако мне начинает казаться, что люди слепо следуют этим аксиомам как культу карго. И многие на самом деле не думают об исключениях из правил. В этой статье я выскажу свои возражения против идеи «безопасность через неясность — это плохо».
Риск, эшелонированная оборона и швейцарский сыр
Одной из главных задач ИБ является снижение рисков. Согласно методологии OWASP, риск возникновения проблемы рассчитывается по формуле:
Риск = Вероятность * Воздействие
По этой формуле, проблема удалённого выполнения кода (RCE) представляет больший риск, чем проблема межсайтового скриптинга, поскольку RCE несёт большее воздействие. Здесь всё просто. Но что насчёт метрики вероятности?Читать полностью »
Собираешься работать в кибербезопасности? Прочитай это
2020-07-28 в 8:45, admin, рубрики: kali linux, Metasploit, nessus, Nikto, nmap, OpenVAS, OWASP, WebGoat, информационная безопасность, карьера, Карьера в IT-индустрии, навыкиАвтор статьи — Брайан Кребс, известный журналист в сфере информационной безопасности.
Каждый год из колледжей и университетов выходят тысячи выпускников по специальностям «информационная безопасность» или «информатика», абсолютно не подготовленных к реальной работе. Здесь мы посмотрим на результаты недавнего опроса, который выявил самые большие пробелы в навыках выпускников, а также подумаем, как кандидатам на работу выделиться из толпы.
Практически каждую неделю мне приходит минимум одно письмо от читателя, который просит совета, как начать карьеру в сфере ИБ. В большинстве случаев соискатели спрашивают, какие сертификаты им следует получить или у какой специализации самое светлое будущее.
Читать полностью »
Безопасность REST API от А до ПИ
2020-05-25 в 8:10, admin, рубрики: api, authentication, Clickjacking, cookies, CORS, csrf, cwe, http, HTTPS, injection, IT-стандарты, OWASP, rest api, security api, security web, token, xss, Анализ и проектирование систем, информационная безопасность, Разработка веб-сайтовВведение
Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответствии со спецификацией. Задача обеспечения безопасности REST API не так очевидна, как, например, обеспечение безопасности баз данных, но ее необходимость не менее важна.
В настоящее время многие онлайн системы с помощью API передают приватные данные пользователей, такие как медицинские или финансовые. Текущая же ситуация с безопасностью в веб-приложениях весьма печальна: по данным Comnews порядка 70% содержат критические уязвимости. Поэтому всем, кто участвует в проектировании, реализации и тестировании онлайн систем, важно иметь общую картину по существующим угрозам и способам обеспечения безопасности как всей системы, так и используемого REST API.
В статье я попытался обобщить информацию о существующих уязвимостях REST API, чтобы у читателей сложилась общая картина. На схемах представлена современная архитектура клиент-сервер и обобщенный REST API запрос с потенциальными угрозами безопасности. Далее я подробнее расскажу об этих угрозах, и как технически реализовать защиту от них.
OWASP Moscow 2020-1
2020-02-29 в 7:53, admin, рубрики: OWASP, Блог компании OWASP, информационная безопасность
5 марта 2020 года в московском офисе компании OZON пройдёт очередная встреча Московского отделения сообщества OWASP, на которой соберутся специалисты по информационной безопасности.
Читать полностью »
Сайт интим-услуг изнутри, история одного взлома
2020-01-24 в 14:32, admin, рубрики: OWASP, информационная безопасностьИнформационная безопасность — мое хобби, днем я обычная девушка, а по ночам исследовательница сети в поисках не хороших людей. Вечер пятницы проходил как обычно, серфинг сети с целью поймать что-то интересное, и этот вечер превзошел все мои ожидания.
Небольшая история о большой глупости.
Читать полностью »
Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI
2020-01-13 в 7:20, admin, рубрики: Dependency Check, devops, OWASP, информационная безопасность, системное администрированиеВажная часть управления уязвимостями состоит в том, чтобы хорошо понимать и обеспечить безопасность цепочки поставок тех компонентов ПО, из которых строятся современные системы. Команды, практикующие гибкие методики и DevOps, широко применяют библиотеки и каркасы с открытым исходным кодом, чтобы сократить время и стоимость разработки. Но эта медаль имеет и обратную сторону: возможность получить в наследство чужие ошибки и уязвимости.
Очевидно, команда должна обязательно знать, какие компоненты с открытым исходным кодом включены в ее приложения, следить за тем, чтобы заведомо надежные версии скачивались из заведомо надежных источников, и загружать обновленные версии компонентов после исправления вновь обнаруженных уязвимостей.
В этом посте рассмотрим использование OWASP Dependency Check для прерывания сборки в случае обнаружения серьезных проблем с вашим кодом.