Опыт внедрения практик AppSec/DevSecOps

Процессы разработки должны быть построены так, чтобы гарантировать предсказуемый уровень безопасности продукта на выходе. Именно с такой идеей мы приступали к модернизации наших внутренних процессов в «ЛАНИТ ― Би Пи Эм». Мы провели исследование мировых практик обеспечения безопасности, которые...

Все блоги / Про интернет

WAF для Вебсокетов: рабочее решение или иллюзия?

Есть мнение, что в силу особенностей вебсокетов, WAF не может их нормально анализировать и защищать. Давайте попробуем разобраться, насколько это утверждение справедливо. Читать далее...

Все блоги / Про интернет

[Перевод] Безопасность приложений больших языковых моделей (LLM, GenAI)

Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта. Появление больших языковых моделей (LLMs) и технологий генеративного искусственного интеллекта (GenAI), таких как GPT-4, произвело революцию в различных отраслях...

Все блоги / Про интернет

Темные стороны контейнеров: риски и меры безопасности

Гайнуллина Екатерина, инженер по информационной безопасности отдела развития Security Vision Контейнеры Docker давно стали неотъемлемой частью современных IT-инфраструктур благодаря своей легкости и гибкости. Однако, несмотря на все их преимущества, они обладают и серьезными недостатками в плане...

Все блоги / Про интернет

Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов

Привет! На связи Олег Казаков из Spectr. В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps...

Все блоги / Про интернет

Не тереби мое API или API-First Security Strategy

В современной цифровой экосистеме API (интерфейсы программирования приложений) играют ключевую роль, обеспечивая связь и взаимодействие между различными компонентами программного обеспечения. Защита API стала приоритетной задачей разработчиков и инженеров, поскольку уязвимости в этих интерфейсах...

Все блоги / Про интернет

[Перевод] Как защитить веб сервисы при помощи шлюза OpenIG

Обеспечение безопасности веб сервисов — одна из важных частей процесса разработки. Если если в инфраструктуре несколько сервисов, то каждый из них должен быть должным образом защищен. Если реализовывать проверки политик безопасности в каждом сервисе, то затраты на разработку и поддержку таких...

Все блоги / Про интернет

Модели зрелости в кибербезопасности на примере OWASP SAMM

Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких...

Все блоги / Про интернет

Чем разработчику заняться на PHDays Fest 2: наш гайд по программе технического трека

С 23 по 26 мая в «Лужниках» пройдет Positive Hack Days Fest 2. Традиционно эксперты сообщества POSIdev помогли сформировать секцию для разработчиков в профессиональной программе фестиваля. Мы будем говорить о языках программирования, создании платформ, инжиниринге данных, менеджменте, повышении...

Все блоги / Про интернет

Избавляемся от паролей

Меня зовут Александр Чикайло, я разрабатываю межсетевой экран уровня веб-приложений PT Application Firewall в Positive Technologies и специализируюсь на защите веба. Сегодня речь пойдет о беспарольной аутентификации и ее безопасном применении в приложениях. В этом материале я освещу систему...

Все блоги / Про интернет

Игра в безопасность Android-приложений

Давайте в общих чертах рассмотрим вопросы взлома и защиты Android-приложений. В рамках статьи нас интересуют сами процессы взлома и защиты, а не конкретные методики работы с конкретными инструментами. Поэтому разберёмся с этими процессами и постараемся сделать выводы. Чтобы читать было интереснее,...

Все блоги / Про интернет

Как провести фаззинг REST API с помощью RESTler. Часть 2

Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTler. Сегодня мы поговорим о продвинутых возможностях RESTler-а и...

Все блоги / Про интернет

Использование PKI для безопасности IoT

Устройства интернета вещей в последнее десятилетие получили широкое распространение. Их используют и в системах умного дома и в более важных промышленных системах. При этом, массовое развертывание приводит к угрозам безопасности, последствия которых растут с увеличением количества развернутых...

Все блоги / Про интернет

Как мы ускорили написание кода на 20% с помощью обучения сотрудников работе с веб-уязвимостями

Раньше, когда мы нанимали новых специалистов, работа над кодом строилась так: пишем, проверяем, исправляем ошибки, проверяем ещё раз, снова переписываем и т.д. В итоге даже после испытательного срока разработчик тратил на фрагмент кода до 60 часов, а ревьюер — до 10. Но плановый аудит помог понять,...

Все блоги / Про интернет

Security code review.  Подходы и инструменты AppSec инженера

Для поиска уязвимостей в приложениях существует множество инструментов. SAST, DAST, IAST, SCA помогают в этом процессе, но часто не покрывают целые категории уязвимостей. Часть уязвимостей эффективнее искать в коде во время ручного ревью и пентеста. В этой статье остановимся на ревью кода. Читать...

Все блоги / Про интернет

Смотрим шире. Бесплатные инструменты для комплексной работы с уязвимостями

«‎Чем можно контролировать уязвимости? Подскажи, плиз», — обратился недавно знакомый. Вроде ничего странного. Но к концу обсуждения я вдруг понял, что человек ждет список инструментов, которые только находят и закрывают уязвимости... Читать далее...

Все блоги / Про интернет

Безопасность API веб-приложений

Привет, Хабр! Это инженерный отдел по динамическому анализу Swordfish Security. В предыдущих статьях мы описывали плагин для OWASP ZAP, рассказывали, как сканировать приложения с помощью инструмента Burp Suite Pro и настроить автоматическую авторизацию в DAST-сканере. Сегодня мы обсудим, на что...

Все блоги / Про интернет

Обзор фреймворка для сбора данных OWASP Nettacker

OWASP Nettacker — это автоматизированная платформа (фреймворк) для автоматического тестирования на проникновение, сканирования уязвимостей, сбора информации и создания отчетов, включая найденные уязвимости, информацию об используемых компонентов и другие сведения. Nettacker использует такие...

Все блоги / Про интернет

Назад