Metasploitable3 — умышленно уязвимая машина для проведения тестирования на взлом
Читать полностью »
Рубрика «xss»
DeepSeek AI: От инъекции промпта до захвата аккаунта
2024-12-03 в 15:11, admin, рубрики: AI, base64, llm, xss, Веб-безопасность, ИИ, инъекция промпта, эксплойтОколо двух недель назад китайская лаборатория DeepSeek
представила свою новую AI модель DeepSeek-R1-Lite
, которая специализируется на логических рассуждениях. Конечно, у всего AI-сообщества быстро загорелся огонь в глазах от заявленных возможностей модели.
И я один из них. Как обычно: раз новая модель - значит новые идеи и тесты...
Атрибут charset и важность его использования
2024-08-10 в 15:28, admin, рубрики: charset, content-type, encoding, http, security, security web, xssКакие предположения можно сделать относительно следующего HTTP ответа сервера?
Глядя на этот небольшой фрагмент HTTP ответа, можно предположить, что веб-приложение, вероятно, содержит уязвимость XSS.
Почему это возможно? Что обращает на себя внимание в этом ответе сервера?
О проблемах информационной безопасности и IT образования на примере HTML Academy
2022-07-04 в 11:46, admin, рубрики: htmlacademy, IT-образование, php, sql-инъекция, xss, взлом сайтов, информационная безопасность, Карьера в IT-индустрии, образование, обучение, Разработка веб-сайтов, Учебный процесс в IT
Меня всегда очень интересовала довольно грустная ситуация с языком РНР. Из неказистого шаблонного движка для веб-страничек, к середине 2010-х он вырос в мощный, современный и аккуратный язык программирования… в то время как практически все обучающие материалы в сети выставляют его всё тем же неуклюжим уродцем, который с огромным трудом, не соблюдая никаких стандартов, позволяет разве что сделать примитивную веб-страничку с кучей уязвимостей. Что, разумеется, уже давно совершенно не так. Поэтому когда на форуме РНР клуба появился пост о наборе "наставников" на курс по РНР в HTML Academy, я не раздумывая подал заявку. Чтобы посмотреть как с обстоит с этим дело на платных курсах, а так же по возможности поделиться своим опытом в этой области.
Что вам сказать? "Если хотите, чтобы вам и дальше нравилась колбаса, не берите экскурсию на мясокомбинат"
Изгнание гугляндекса из госвеба
2022-05-23 в 15:51, admin, рубрики: xss, веб-аналитика, гос. порталы, государство и интернет, информационная безопасность, прокуратура
Сайты госорганов начали избавляться от россыпи счетчиков и прочего кода, собирающего «аналитику» об их посетителях для третьих лиц. Почему государство выпинывает на мороз интернет-шпионов и причем тут кадровые перестановки в Генпрокуратуре?
Читать полностью »
Чем хороший программист отличается от плохого, или почему нужно выходить за рамки
2022-03-24 в 6:13, admin, рубрики: vulnerability, xss, информационная безопасность, ненормальное программирование, Программирование, Разработка веб-сайтов, уязвимость, хабра-папа, хабрахабрЭто будет моя самая короткая статья.
>">Когда-то я был молод и зелен и решал проблемы именно так, как их решают джуны. Алгоритм такой:
-
Узнать о проблеме
-
Локализовать проблему
-
Загуглить проблему и решение
Как я опять Хабр сломал
2022-03-17 в 9:54, admin, рубрики: vulnerability, xss, информационная безопасность, ненормальное программирование, Программирование, Разработка веб-сайтов, уязвимость, хабра-папаВсегда хотел взломать Хабр. Мечта такая, но как-то руки не доходили. И вот, вдохновившись статьей о праведном взломе через iframe src , я, как и автор поста @Maxchagin, решил исследовать функционал Хабра на предмет уязвимостей.
Начать решил с нового редактора, рассуждая следующим образом: раз он новый, то и уязвимости там точно должны быть.
ФормулыЧитать полностью »
Неочевидные уязвимости онлайн сервисов. Часть первая
2021-06-16 в 13:03, admin, рубрики: Open Redirect, ruvds_статьи, xss, аудит безопасности, Блог компании RUVDS.com, информационная безопасность, облачные сервисы, сервисы, уязвимости, хостинг
Пожалуй, каждый второй программист хоть раз задумывался попробовать создать свой, если не стартап, то собственный онлайн сервис. Может быть, такой инструмент умел бы делать простые SEO-аудиты сайтов, помогал находить технические ошибки, упрощая жизнь вебмастерам или маркетологам.
А может быть, вы популярный хостинг? Хотите привлечь пользователей, используя около-тематический трафик — создаете онлайн сервис который смог бы заменить целые серверные утилиты — nslookup, dig, curl?! Звучит неплохо, но всё ли так хорошо с безопасностью пользователей?
Об интересных и неочевидных уязвимостях онлайн-сервисов поговорим под катом. Читать полностью »
Сайты региональных органов власти: всё ещё печальнее, чем у федералов
2020-12-06 в 18:17, admin, рубрики: cve-2016-2107, HTTPS, poodle, robot, ssl сертификаты, TLS, xss, Администрирование доменных имен, анализ трафика, безопасность данных, гос. порталы, государственные органы, доменные имена, доступ к информации, законодательство, информационная безопасность, региональные сайты, сайт, утечка данныхВот мы и выпустили сводный доклад по итогам мониторинга сайтов высших органов власти регионов – «Надежность сайтов органов государственной власти субъектов Российской Федерации – 2020». Оценивали их с трех сторон: а) можно ли эти сайты считать официальными с точки зрения закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и как щедро сливают данные о своих посетителях третьим лицам?
По результатам исследования сайтов федеральных органов власти можно было догадаться, что на региональном уровне все окажется не лучше, но вот как и насколько, мы даже не догадывались.
Читать полностью »