Удалённое выполнение кода через загрузку картинок на вашем сервере или локальном компьютере в ghostscript/imagick

Кратко: если у вас на сайте есть загрузка изображений и вы обрабатываете их при помощи популярной библиотеки ImageMagick, то загрузив картинку можно выполнить shell-команду с правами юзера веб-сервера (например: загрузить RAT, майнер, слить исходники, получить доступ к базе, вызвать отказ и т.п.)...

Все блоги / Про интернет

[Перевод] CORS, CSP, HTTPS, HSTS: о технологиях веб-безопасности

Автор материала, перевод которого мы публикуем сегодня, говорит, что существует множество причин изучать веб-безопасность. Например, вопросами безопасности интересуются пользователи веб-сайтов, которых беспокоит возможность кражи их персональных данных. Безопасность заботит веб-разработчиков,...

Все блоги / Про интернет

[Перевод] [в закладки] 23 рекомендации по защите Node.js-приложений

В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность — это то, о чём стоит помнить на всех этапах жизненного цикла проектов. Авторы материала, перевод которого мы сегодня публикуем, поддерживают репозиторий на GitHub, содержащий около 80 рекомендаций по...

Все блоги / Про интернет

[Перевод] Google и HTTP

Я выступаю против усилий Google по дискредитации протокола HTTP. Здесь — обобщение причин, по которым я придерживаюсь такой точки зрения. Читать дальше →...

Все блоги / Про интернет

Третья версия reCAPTCHA срабатывает в фоне незаметно для пользователей

В мае этого года на конференции конференции Google I/O 2018 представили третью версия технологии reCAPTCHA — reCAPTCHA v3 (бета). Как известно, это самая популярная система типа CAPTCHA, которая создана для блокировки ботов, то есть автоматизированных действий на разных сервисах. Систему...

Все блоги / Про интернет

[Перевод] Объяснение протокола SRTP

Протокол SRTP (Secure Real-time Transport Protocol) это система безопасности, которая расширяет протокол RTP (Real-time Transport Protocol) набором защитных механизмов. WebRTC использует DTLS-SRTP для шифрования, аутентификации и целостности сообщений, а также для защиты от атак повторного...

Все блоги / Про интернет

CSRF-уязвимости все еще актуальны

CSRF (Сross Site Request Forgery) в переводе на русский — это подделка межсайтовых запросов. Михаил Егоров (0ang3el) в своем докладе на Highload++ 2017 рассказал о CSRF-уязвимостях, о том, какие обычно используются механизмы защиты, а также как их все равно можно обойти. А в конце вывел ряд советов...

Все блоги / Про интернет

Стандарт Web Authentication API: беспарольная аутентификация в вебе

В марте 2018 года Альянс FIDO (Fast IDentity Online) и Консорциум W3C достигли важного рубежа: после двух лет разработки стандарт Web Authentication (WebAuthn) получил статус кандидата в рекомендации (CR) — это стабильная версия документа, в которую больше не планируется вносить принципиальных...

Все блоги / Про интернет

Как засунуть одну CDN в другую?

В жизни каждого админа случаются моменты когда нужно сильно и за недорого. Часто такие задачи способствуют личностному росту и становятся первым шагам к жестким извращениям. Сейчас я попробую описать именно такой случай. Задача. Нужно опубликовать информацию на web-сайте. Информация должна быть...

Все блоги / Про интернет

Защита от легкого DDoS'a

Совсем недавно на хабре уже появилась рекламная статья о борьбе с DDoS на уровне приложения. У меня был аналогичный опыт поиска оптимального алгоритма противодействия атакам, может кому пригодится — когда человек в первый раз сталкивается в DDoS-ом его сайта, это вызывает шок, поэтому полезно...

Все блоги / Про интернет

Защита от DDoS атаки на уровне веб-приложений

Как известно DDoS атаки на сайт бывают разной интенсивности, имеет значение количество хостов участвующих в атаке, количество сетевых пакетов и объем передаваемых данных. В самых тяжелых случаях отбить атаку возможно только применяя специализированное оборудование и сервисы. Если же объем атаки...

Все блоги / Про интернет

Всё дело в комбинации: история системы безопасности одного сайта

Один из заказчиков, очень крупный интернет-магазин, как-то попросил нас обеспечить защиту веб-приложения от веб-атак. Учитывая масштабы ресурса, мы начали поиск нужного подхода. В результате решили применить комбинацию позитивной и негативной модели безопасности, реализовав её с помощью файрвола...

Все блоги / Про интернет

Развод как он есть (или «подтверждение подтверждению рознь!»)

Давно мне не попадалось такого красивого социального развода на действие (см. под катом). На фоне истории с блокировками и вообще затягивания гаек тем более приятно видеть, что кто-то сумел суровым тоном такое написать — ведь отдельные граждане и поведутся! Мне думается, shared хостингам пора...

Все блоги / Про интернет

Правильные ответы по криптографии: 2018 год

В литературе и самых сложных современных системах есть «лучшие» ответы на многие вопросы. Если вы разрабатываете встроенные приложения, то предлагают использовать STROBE и модный современный криптографический стек для аутентификации полностью из одиночных SHA-3-подобных функций губки. Советуют...

Все блоги / Про интернет

Снижение доверия к Symantec PKI: рекомендации владельцам сайтов

Привет Хабр, ранее, в своем блоге по безопасности, мы объявили о планах по снижению доверия Chrome к сертификатам Symantec (включая принадлежащие Symantec бренды, такие как Thawte, VeriSign, Equifax, GeoTrust и RapidSSL). В этом посте описывается, как владельцы сайтов могут определить, повлияет ли...

Все блоги / Про интернет

Валидация емейл адресов для защиты от спам ботов на сайте

Электронная почта до сих пор остается одним из важнейших и эффективных элементов онлайн бизнеса и маркетинга и является наиболее эффективным каналом получения дохода. Поэтому для любого онлайн бизнеса и владельцев веб сайтов важно быть уверенным, что именно владелец емейла использовал его для...

Все блоги / Про интернет

Защита ASP.NET приложений от взлома

ASP.NET MVC — не самый хайповый, но довольно популярный стек в среде веб-разработчиков. С точки зрения (анти)хакера, его стандартная функциональность дает тебе кое-какой базовый уровень безопасности, но для предохранения от абсолютного большинства хакерских трюков нужна дополнительная защита. В...

Все блоги / Про интернет

Дополнительные факторы оценки спам активности IP/Email адресов в Anti-Spam/Anti-Fraud API

CleanTalk Cloud Anti-Spam в процессе работы, собирает данные о спам активности IP/Email адресов. На основе этих данных формируется база данных спам IP/email. CleanTalk предоставляет несколько API методов для работы с имеющимися у нас данными. Недавно, нами были добавлены новые параметры в методе...

Все блоги / Про интернет