Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений

Доброго времени суток, друзья! В этой статье я хочу поделиться с вами результатами небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений (далее — просто заголовки). Сначала мы с вами кратко разберем основные виды уязвимостей веб-приложений,...

Все блоги / Про интернет

Безопасность через ограничение пользователей или как создать уязвимость

В 2019 году выявили уязвимость CPDoS Cache Poisoned Denial of Service) на сети CDN, которая позволяет отравить HTTP кэш CDN провайдера и вызвать отказ в обслуживании. Много хайпа уязвимость пока не собрала, так как не была замечена в реальных атаках. Но об одном из способов отравления кэша хочется...

Все блоги / Про интернет

[Из песочницы] Бесплатный прокси-сервер для предприятия с доменной авторизацией

pfSense+Squid с фильтрацией https + Технология единого входа (SSO) с фильтрацией по группам Active Directory Краткая предыстория На предприятии возникла необходимость во внедрении прокси-сервера с возможность фильтрации доступа к сайтам(в том числе https) по группам из AD, чтобы пользователи не...

Все блоги / Про интернет

[Перевод] DNS по HTTPS – половинчатое и неверное решение

Всё время существования интернета открытость была одной из его определяющих характеристик, и большая часть сегодняшнего трафика всё ещё передаётся без какого бы то ни было шифрования. Большая часть запросов HTML-страниц и связанного с этим контента делается прямым текстом, и ответы возвращаются тем...

Все блоги / Про интернет

Firefox и Chrome позволяют использовать заголовок Alt-Svc для сканирования портов внутренней сети

Тришта Тивари(Trishita Tiwari) и Ари Трахтенберг(Ari Trachtenberg) из Бостонского университета опубликовали работу, показывающую новый метод атаки для сканирования портов на хостах внутренней сети пользователя или на локальном хосте(CVE-2019-11728). Атака осуществляется с помощью HTTP заголовка...

Все блоги / Про интернет

Сосчитаем агентов «Ревизор»

Не секрет, что за контролем блокировок по списку запрещённой информации в России следит автоматизированная система «Ревизор». Как это работает неплохо написано вот в этой статье на Habr, картинка оттуда же: Непосредственно у провайдера устанавливается модуль «Агент Ревизор»: Модуль «Агент Ревизор»...

Все блоги / Про интернет