Подтверждение номеров телефона без SMS

Сегодня компаниям все чаще нужно верифицировать клиента не только по email, но и по телефонному номеру. Проблем с подтверждением номера по смс две — это дорогой для компании и не всегда безопасный способ — клиенты часто используют временные виртуальные номера. Предлагаем простой API метод для...

Все блоги / Про интернет

Проблемы безопасности онлайн банков

Привет друзья! Сегодня речь пойдет о насущных проблемах безопасности банковских систем, мы разберем часто встречающиеся уязвимости и сделаем выводы на основе актуальных проблем. Опять же, автор не гарантирует вам показать как полностью защитить вашу систему от кибер угроз, лишь хочет показать на...

Все блоги / Про интернет

CodeQL: SAST своими руками (и головой). Часть 1

Привет Хабр! Как вы все уже знаете, в области безопасности приложений без статических анализаторов исходного кода (SAST) совсем никуда. SAST-сканеры занимаются тем, что проверяют код приложения на различные типы программных ошибок, которые могут скомпрометировать систему, предоставить...

Все блоги / Про интернет

Безопасная разработка: SAST, DAST, IAST и RASP

По статистике 90% инцидентов безопасности возникают в результате использования злоумышленниками известных программных ошибок. Естественно, что устранение уязвимостей на этапе разработки ПО значительно снижает риски информационной безопасности. Для этого в помощь разработчикам был создан целый ряд...

Все блоги / Про интернет

Вебинар «Опыт участия в кибербитве The Standoff: анализ атак и обзор инструментов»

Ровно месяц прошёл с крупнейшей кибербитвы The Standoff, где команды защитников обеспечивали безопасность инфраструктуры цифрового мегаполиса от хакерского трафика. Команда из Татарстана CyberTatars & MoscowMasters за время учений зафиксировала 49 инцидентов и провела более 20 часов расследований,...

Все блоги / Про интернет

Код ваш, призы наши – принимаем заявки на онлайн-хакатон «ВТБ More.Tech»

Привет! Мы начали приём заявок на «ВТБ More.Tech» – онлайн-хакатон для молодых амбициозных айтишников. От вас – профессиональные навыки, желание участвовать в web- или mobile-треках соревнования и умение работать в команде. От нас – призовой фонд 900 тыс. рублей и возможность начать карьеру в...

Все блоги / Про интернет

Трек DevSecOps — тест безопасности на DevOpsConf Live 2020

У нас 2 часа. Быстро пофиксим баг и сразу назад... Кибербезопасность в наше время нужна везде, от условного пропускного режима и коммерческой тайны до PR и коммуникаций в кризисные моменты. ИТ уже очень глубоко и критично проникли в бизнес, а новые технологии все легче создать, внедрить и...

Все блоги / Про интернет

[Перевод] Распространенные ошибки безопасности в приложениях Laravel

В большинстве случаев уязвимости безопасности возникают только из-за недостаточной осведомленности, а не из-за халатности. Хотя мы обнаружили, что большинство разработчиков заботятся о безопасности, но иногда они не понимают, как конкретный шаблон кода может привести к уязвимости, поэтому в...

Все блоги / Про интернет

Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM

5 марта 2020 года в офисе OZON прошёл очередной митап Московского отделения сообщества OWASP. Кажется, что получилось здорово, а краткий отчёт с материалами встречи был недавно опубликован на Хабре. В этом же посте представлен доклад oxdef. Продолжая серию экспресс-докладов про проекты OWASP,...

Все блоги / Про интернет

Браузер на страже API-запросов

Команде разработчиков, создающей одностраничное приложение (SPA), рано или поздно придётся столкнуться с ограничениями браузерной безопасности. С одной стороны, нужно сделать так, чтобы фронтенд-сторона могла беспрепятственно общаться с бэкенд API-сервером, а с другой — защитить такое общение от...

Все блоги / Про интернет

[Перевод] Trusted Types — новый способ защиты кода веб-приложений от XSS-атак

Компания Google разработала API, которое позволяет современным веб-приложениям защитить свой фронтенд от XSS-атак, а конкретнее — от JavaScript инъекций в DOM (DOM-Based Cross Site Scripting). Межсайтовый скриптинг (XSS) — наиболее распространённый тип атак, связанных с уязвимостью современных...

Все блоги / Про интернет

Как «взломать» RedBull

На самом деле правильнее назвать статью «как накрутить себе баллы в конкурсе, чтобы выиграть целый холодильник RedBull». У нас, кстати, в офисе уже стоит такой холодильник с напитками. Когда в очередной раз в офис доставили соки, газировки и другие напитки в офис, я обнаружил листовку с рекламой...

Все блоги / Про интернет

Почему usability vs security — не трейдофф

Я с 2014 года работаю над безопасностью мобильных и веб-приложений. Много раз слышал от разных людей и в разном контексте про «трейдофф usability vs security», при этом с самого начала видел в этом какой-то подвох. В этом посте я расскажу, что это за трейдофф и почему на самом деле от него давно...

Все блоги / Про интернет

Как я взломал банк за 20 минут

В этой статье я покажу вам, насколько хрупкой бывает система безопасности банков, которую может взломать даже школьник. И так, начнем с предыстории! Предыстория Я уже долгое время ищу уязвимости на платформе HackerOne обычно я просто жду инвайты в новые крутые приватные программы, а если их нет,...

Все блоги / Про интернет

Как простой <img> тэг может стать высоким риском для бизнеса?

Безопасность на реальных примерах всегда интересна. Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг. Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух эта уязвимость и выявилась....

Все блоги / Про интернет

RubyRussia 2019. Михаил Пронякин: безопасен ли Ruby

На конференции RubyRussia будет много докладов о том, как писать код и как делать это лучше других. Но если продукт, который выпускает ваша компания, небезопасен, то это может привести к большим проблемам. Григорий Петров обсудил эту важную тему с Михаилом Пронякиным из компании «ОНСЕК»,...

Все блоги / Про интернет

Безопасность приложений, или Как внедрить security в заказную разработку. Личный опыт AGIMA

Digital-агентства все больше внимания уделяют безопасности инфраструктуры, в которой ведется разработка, а также начинают смотреть в сторону обеспечения безопасности приложений. Вы наверняка читали про разновидность и критичность уязвимостей, инструменты и методы обеспечения ИБ. Но как...

Все блоги / Про интернет

Как технологии быстрой разработки могут стать источником неприятных уязвимостей

Безопасность на реальных примерах всегда более интересна. Как тестировщик на проникновение, люблю, когда приходят проекты, построенные на фреймворках быстрой разработки (Rapid development), подобно Ruby-on-Rails, Django, AdonisJs, Express и так далее. Они позволяют очень быстро строить систему за...

Все блоги / Про интернет

Назад