Новые угрозы в OWASP API Security Top 10
Всем привет! Сегодня мы будем говорить о новых рисках в OWASP API Security Top 10, что плохого они нам обещают и что со всем этим можно сделать. В 2023 году некоммерческая организация OWSAP обновила свой отчёт и выпустила новую версию 2023. По сравнению с 2023 годом, перечень рисков претерпел...
Как провести фаззинг REST API с помощью RESTler. Часть 3
Вступление Привет, Хабр! С вами Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В прошлых статьях, посвященных фаззингу REST API, мы рассказывали о методе Stateful REST API Fuzzing и настройках инструмента RESTler. Сегодня мы поговорим...
Как провести фаззинг REST API с помощью RESTler. Часть 2
Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTler. Сегодня мы поговорим о продвинутых возможностях RESTler-а и...
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Андрей Амирах, руководитель отдела технического пресейла Security Vision Тимур Галиулин, менеджер по развитию продуктов Infowatch В этой статье мы расскажем о процессе автоматизации рутинной деятельности в одном из подразделений ИБ крупной компании. Исходные данные: подразделение информационной...
Интеграция системы «Антифрод» в работу операторов: требования к программному обеспечению и эффективность API
Внедрение системы «Антифрод» стало обязательным требованием к операторам связи. Давайте рассмотрим, как это сделать региональным операторам, сфокусируемся на технических аспектах и требованиях к оборудованию. Также подскажем, как сделать работу API системы максимально эффективной. Но самое главное...
Анализ безопасности приложений, использующих GraphQL API
Привет! Меня зовут Даниил Савин. Летом я участвовал в программе стажировки для безопасников от Бастион и в процессе глубоко исследовал тему безопасности приложений, использующих GraphQL. Так появилась статья, из которой вы узнаете: — какие встроенные функции есть у GraphQL; — как тестировать...
Безопасность API веб-приложений
Привет, Хабр! Это инженерный отдел по динамическому анализу Swordfish Security. В предыдущих статьях мы описывали плагин для OWASP ZAP, рассказывали, как сканировать приложения с помощью инструмента Burp Suite Pro и настроить автоматическую авторизацию в DAST-сканере. Сегодня мы обсудим, на что...
Добавили бота в свой Telegram канал? Будьте готовы с ним попрощаться
Изучая безопасность мессенджера Telegram, меня поразила одна его "особенность" при работе с ботами - выяснилось, что при добавлении в канал бота никак нельзя ограничить его в правах на удаление подписчиков. То есть, говоря прямо, любой бот может вычистить всю аудиторию канала за считанные минуты....
Автостопом по HashiCorp Vault
Оффтоп Наш рассказ — это гид автостопщика, некое summary тех вещей, которых нам не хватало при знакомстве с Vault. В нем мы сделаем несколько остановок: поговорим в целом про управление секретами, о том, почему мы рекомендуем именно Vault; рассмотрим, как Vault работает; поделимся лайфхаками по...
Добавляем номер в чёрный список с помощью API
Привет, Хабр! Меня зовут Анастасия Иванова, я технический писатель МТС Exolve. В этой статье я расскажу, как можно реализовать автоматическое добавление номеров в чёрный список после нескольких входящих звонков в веб-приложении на NodeJS. Читать далее...
5 принципов защиты данных при работе с API
В последние годы стало нормой использовать API при разработке веб- и мобильных приложений. В этой статье Екатерина Саяпина, Product Owner личного кабинета платформы МТС Exolve рассказывает, каким рискам могут подвергнуться данные при работе с API и что можно сделать для их защиты. Читать далее...
Система оповещения открытых портов на Alma Linux. Теория и реализация
Привет, Хабр! В данной статье я постарался максимально подробно описать создание данной системы, при этом параллельно предоставить читателю хорошую теоретическую базу и понимание происходящего. Также хотел бы уточнить, что поскольку в статье объясняются достаточно базовые вещи и задействован...
Пример интеграции мессенджера с DLP-системой InfoWatch Traffic Monitor через API
В этой статье мы расскажем, как внешние приложения и сервисы могут взаимодействовать с DLP-системой InfoWatch Traffic Monitor (далее ТМ) через API. API-интерфейс в TM разработан уже давно, но в последний год интерес к нему со стороны сторонних разработчиков значительно вырос. Интеграторы и вендоры...
Защищаем API – что важно знать?
В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого прогера. Интересно узнать об актуальных инструментах защиты API и о том, почему их важно...
Зачем компаниям API Management
Привет, Хабр! Сегодня обсудим тему управления API в корпорации. Поделимся опытом внедрения API-менеджмента в МТС, расскажем, что уже сделали, сколько потратили времени, с какими ошибками столкнулись, и зачем все это вообще нужно. Эта статья будет интересна всем, кто задумывается о централизации...
CLD — Open source проект для ИТ компаний и SRE/DevOps инженеров
CLD это система для обеспечения комплексной информационной безопасности и организации разграничения доступа к серверам и скриптам с возможностью оперативно внедрять пользовательские модули и инструменты автоматизации. Мы высоко ценим автоматизацию процессов и унификацию инфраструктуры, проект...
Критикую bug bounty программу Apple и наглядно показываю почему не стоит туда репортить баги
Небольшая история о том, как я зарепортил баги в Apple BugBounty Program Эта история началась 18 января 2022 года. У компании Apple есть платная API для разработчиков Apple Developer Program С помощью этого API можно получать информацию об артистах, альбомах, треках, видео, плейлистах, чартах,...
[Перевод] Рекомендации по проектированию безопасности API для внутренних и облачных систем
Эта статья является переводом моей английской статьи которую можно прочитать здесь. Заранее извиняюсь за возможные неточности в компьютерной терминологии на русском языке. Интерфейсы прикладного программирования или API отвечают за большую часть системной интеграции и функциональных компонентов...
Назад