WordPress: разбор уязвимости в Discount Rules for WooCommerce

Добрый день, уважаемые читатели! Сегодня мы разберем одну старую уязвимость в плагине Discount Rules for WooCommerce < 2.2.0 для WordPress. WooCommerce - это плагин для создания онлайн-магазина на движке WordPress, а WooCommerce Discout Rules - дополнение для WooCommerсe для предоставления и...

Все блоги / Про интернет

Важные советы backend-разработчику: защити себя от нежелательных проблем

Чем больше у backend-разработчика знаний в своей области, тем лучшим специалистом он является. Но опыт показывает: самые классные программисты подобны Сократу, который не стеснялся заявлять во всеуслышание «scio me nihil scire», что в переводе на общенародный - «я знаю, что ничего не знаю»....

Все блоги / Про интернет

Современная безопасность контейнерных приложений

Чем раньше команда задумается о проблеме безопасности, тем лучше. В этой статье обсудим, какие проблемы ИБ есть в стандартном контейнерном приложении, поговорим о безопасности использования Docker, Kubernetes и Terraform и разберём, как можно встроить проверки в стандартный пайплайн деплоя....

Все блоги / Про интернет

Тренды облачных технологий в мире и России. Меню на 2024 год

В декабре мы активно поглощали мандарины и ежегодные прогнозы по облакам. В какой-то момент и того, и другого оказалось слишком много. На сегодня мандарины наконец-то закончились, а вот аналитических отчетов стало больше. Мы собрали их, изучили и выделили общие мировые тренды на 2024 год. А на...

Все блоги / Про интернет

«Да не робот я!»: CAPTCHA исчезнет или станет ёщё более раздражающей?

Интернет-мем про роботов и капчу. Источник: Лаборатория Касперского. Вместе с ростом числа интернет-пользователей развивались боты для спам-рассылок и создания фейковых учетных записей. В 2000 году исследователями из Университета Карнеги-Меллона была разработана CAPTCHA, Completely Automated Public...

Все блоги / Про интернет

Как взломать сервис, в котором используется десериализация данных

Привет! Я Артемий Богданов, эксперт по практической безопасности Start X. Сегодня я расскажу, как небезопасная десериализация может привести к взлому сервиса. Сериализация и последующая десериализация бывают нужны, когда необходимо сохранить объект в строку, а затем в точности восстановить его...

Все блоги / Про интернет

Чем занимается AppSec? Безопасность внутренних веб-ресурсов

Довольно долгое время вероятным нарушителем считался только злоумышленник из интернета. На сегодняшний день компании весьма неплохо научились защищать внешний периметр, по крайней мере, важные активы. Но внешние ИТ-ресурсы — это лишь вершина айсберга. Во внутреннем периметре любой компании...

Все блоги / Про интернет

Кейген ForitNAC, «заражающий» лицензионные ключи исполняемым на сервере кодом (CVE-2023-22637)

В этом иссле­дова­нии я изу­чил при­ложе­ние FortiNAC — популярную в мире кровавого энтерпрайза систему контроля сетевого доступа (Network Access Control, NAC) от известного разработчика решений в информационной безопасности. Основная задача подобных продуктов — обнаруживать и профилировать любые...

Все блоги / Про интернет

Что такое формальная верификация

Это обзорная статья, в которой очень поверхностно и не подробно рассказывается о том, что такое формальная верификация программного кода, зачем она нужна и чем она отличается от аудита и тестирования. Формальная верификация — это доказательство с использованием математических методов корректности...

Все блоги / Про интернет

[Перевод] Управление заголовками HTTP в Joomla 4 (часть 2)

Эта статья - вторая часть перевода статьи Joomla’s New HTTP Headers Plugin For J4 из майского номера (2022) Joomla Community Magazine. Эта часть перевода посвящена тонкостям настройки Content Security Policy, HSTS в Joomla 4, тому как избежать атак на Ваш сайт. Читать далее...

Все блоги / Про интернет

Место QA в тестировании продукта на безопасность

Привет, меня зовут Дмитрий Крылатков, работаю QA-инженером в компании Doubletapp. Я всегда был заинтересован темой тестирования на безопасность, участвую в bug-bounty программах, а также поднимаю осведомленность о существующих уязвимостях среди команд тестирования и разработки. В статье расскажу,...

Все блоги / Про интернет

Безопасность программного обеспечения: ключевые элементы, уязвимости, стандарты

Утрата или модификация данных, утечка конфиденциальной информации и т. д. Все это – лишь некоторые из примеров катастрофических последствий хакерских атак. Именно поэтому безопасность программного обеспечения должна ставиться в главу угла при разработке программного обеспечения, а задача...

Все блоги / Про интернет

Как превратить DevOps-пайплайн в DevSecOps-пайплайн. Обзор концепции Shift Left

Привет, Хабр! Меня зовут Алексей Колосков, я DevOps/Cloud-инженер в Hilbert Team. Вместе с моим коллегой Михаилом Кажемским в этой статье мы расскажем об особенностях DevSecOps-пайплайна и концепции Shift Left. Вы узнаете об основных этапах DevSecOps-пайплайна, автоматизированных проверках...

Все блоги / Про интернет

Обеспечение безопасности Frontend приложений

Безопасность является важным фактором при создании frontend приложений, поскольку они часто являются отправной точкой для атак. Я решил собрать в одну статью основные меры, которых стоит придерживаться или о которых хотя бы нужно задуматься. Следуя этим основным мерам безопасности, frontend...

Все блоги / Про интернет

Изменение ландшафта угроз информационной безопасности в России

В настоящее время киберугрозы становятся все более распространенными в России и во всем мире. С каждым годом уровень угроз увеличивается, и этот тренд, очевидно, продолжится и в ближайшем будущем. Это связано с увеличением числа людей, которые используют Интернет и цифровые технологии, а также с...

Все блоги / Про интернет

Обзор Arachni: фреймворк для поиска уязвимостей в веб-приложениях

Чтобы просканировать веб-сайт или веб-приложение на наличие всевозможных уязвимостей, существует довольно обширный список программ. Такие программы называются сканеры уязвимостей. Главная цель таких утилит – найти уязвимости, собрать информацию о сайте, а также проверить, может ли сайт быть...

Все блоги / Про интернет

Как багхантеру искать XSS-уязвимости через наложение парсеров: исследование Positive Technologies

Привет, Хабр! Меня зовут Игорь Сак-Саковский, и я уже семь лет занимаюсь безопасностью веб-приложений в команде PT SWARM в компании Positive Technologies. В этой статье расскажу о моем недавнем исследовании, которое вошло в топ-10 методов веб-хакинга 2021 года по версии PortSwigger. При общении в...

Все блоги / Про интернет

Прессуем WordPress

Аккумулируем базовые знания, методы атак и нюансы самой популярной open-source CMS в рамках одного доклада. 9 декабря 2022 года я выступил на митапе «Клуба неанонимных багхантеров» от BI.ZONE. Там я рассказал об экосистеме WordPress: затронул структуру этой CMS, перечислил ее сильные и слабые...

Все блоги / Про интернет

Назад