Google продвигает новый стандарт WebBundles — потенциально опасную для веба технологию «упаковки» веб-сайтов
В общем потоке новостей остался незамеченным совместный призыв продукт-менеджера Chrome Кенджи Бахе и веб-консультанта Google Юсуке Уцуномии об использовании нового стандарта Web Bundles, разработанного Google. На chromium.googlesource появился соответствующий мануал по использованию WebBundles и,...
Обзор площадки для тестирования веб-уязвимостей OWASP Top-10 на примере bWAPP
Привет, Хабр! В этой статье предлагаю читателю ознакомится с уязвимостями веб-приложений (и не только), по классификации OWASP Top-10, и их эксплуатацией на примере bWAPP. Читать дальше →...
Абсолютно безопасный вебсайт это не миф
В первую очередь поясню что эта технология находится на ранней стадии разработки, и я бы хотел подискутировать в этом топике о её рентабельности и полезности. Поэтому прототипа еще нет. Большинство уязвимостей в веб сайтах являются результатом изменения HTTP запроса, подмены URL или заголовков, и...
Тест Тьюринга на основе реальных поисковых запросов в Яндексе
Дело в том, что все (или почти все) поисковые запросы в Яндексе, пусть и в анонимизорованном виде, в реальном времени доступны по адресу export.yandex.ru/last/last20x.xml На основе этого API я сделал маленький проект на Openresty (nginx + Lua + imagemagick), предоставляющий высокопроизводительную...
О медицинской тайне или кому нужна информационная безопасность?
У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу «У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel...
Типичные ошибки при защите сайтов от CSRF-атак
В настоящее время в сфере обеспечения безопасности веб-сайтов и приложений возникла очень интересная ситуация: с одной стороны, некоторые разработчики уделяют особое внимание безопасности, с другой, они напрочь забывают о некоторых видах атак и не считают ошибки, позволяющие выполнить данные атаки,...
[Из песочницы] Web Application Firewall (ModSecurity) в действии
Атаки на уровень web-приложений одни из самых распространенных и часто крайне критичны. В данной статье хочу показать насколько способен WAF ModSecurity отражать данные угрозы. 1. Межсетевой экран уровня web-приложений Modsecurity 1.1 Проект ModSecurity ModSecurity создан Иваном Ристиком (Ivan...
Конспект по веб-безопасности
Простите, но накипело. Много шишек уже набито на тему безопасности сайтов. Молодые специалисты, окончившие ВУЗы, хоть и умеют программировать, но в вопросе безопасности сайта наступают на одни и те же грабли. Этот конспект-памятка о том, как добиться относительно высокой безопасности приложений в...