Веб-безопасность: OWASP и API

Механика эксплуатации уязвимостей SSTI и LFI на практике

от

Сервер выполняет ровно тот код, который ему передали. Если шаблонизатор или функция включения файлов не различает данные и инструкции, приложение добровольно отдает управление своей логикой любому, кто умеет манипулировать путями. Как возникает Server Side Template Injection Уязвимость SSTI появляется в момент, когда приложение передает пользовательский ввод напрямую в движок рендеринга шаблонов. Разработчики иногда используют шаблонизаторы … Читать далее

Механика клиентских уязвимостей XSS и CSRF

от

Браузер по умолчанию доверяет коду, полученному от сервера. Защита периметра теряет смысл, если атакующий получает возможность управлять сессией легитимного пользователя через его же терминал. Природа внедрения кода в браузер Cross-Site Scripting возникает в момент, когда приложение берет данные от пользователя и вставляет их в страницу без предварительной очистки. Браузер не различает легитимный код от разработчика … Читать далее

Разделение проверки и исполнения в API умного замка открыло чужие двери

от

«В умных устройствах мы доверяем «облакам» и серверам, но именно там — в ленивых кэшах, разорванных транзакциях и молчаливом доверии к промежуточным идентификаторам — кроются самые опасные бреши. Эта история не про хакера, а про архитектора API, который разделил проверку и действие, и про то, как эта щель десятилетиями остаётся открытой.» Архитектура безопасности IoT и … Читать далее

Ошибка в конфиге разработки открыла внутренний API для внешних запросов

от

“Настоящая опасность часто не в том, что что-то недоделали, а в том, что что-то забыли выключить. Самая распространённая уязвимость, это легитимная функция, оказавшаяся не там, где должна быть. История об открытом внутреннем API — не о хакерах, а о постепенном накоплении мелких уступок ради удобства разработки, которые в итоге обнуляют все рубежи защиты.” Аномалия в … Читать далее

CAPTCHA: От Защиты к Обучению Искусственного Интеллекта

от

CAPTCHA: От Защиты к Обучению Искусственного Интеллекта Распространенное заблуждение гласит, что пользователи решают CAPTCHA лишь для подтверждения своей человечности перед цифровыми системами. В действительности, этот процесс зачастую служит более глубокой цели: не только защиты от автоматизированных атак, но и невольного участия в тренировке нейросетей, тем самым постоянно повышая их интеллект и адаптивность. В этой парадигме … Читать далее

Cloud Access Security Broker: контроль данных за пределами периметра

от

«Всё больше процессов переходит в облако, а безопасность при этом застревает где-то между внутренним политиками и договором об уровне услуг с провайдером. CASB, это попытка вернуть контроль над тем, что на самом деле происходит с корпоративными данными за пределами периметра». Безоблачных инфраструктур практически не осталось. Однако переход на облачные сервисы не отменяет требований регуляторов, будь … Читать далее

Фундаментальная проблема безопасности веб-браузеров

от

«Если вы посмотрите на браузер как на доверенный посредник между вами и всем интернетом, то вопрос о его фундаментальной безопасности, это вопрос о том, насколько доверенным он может быть при такой сложности. Ответ — не очень.» Две несовместимые задачи: безопасность против универсальности Современный веб-браузер, это не просто программа для чтения HTML. Это исполняемая среда, объединяющая … Читать далее

Миграция с Imperva: Когда замена WAF становится аудитом безопасности

от

“Замена одного WAF на другой — не просто замена железки. Это проверка всего процесса управления безопасностью, переупаковка инцидентов в правила и неизбежное столкновение с тем, как на самом деле устроена твоя защита.” Проект миграции с Imperva на отечественный стек Не смена поставщика, а пересмотр стратегии Решение о миграции с зарубежного решения, такого как Imperva, на … Читать далее

OWASP ASVS: не просто чек-лист, а язык для проверки безопасности

от

«Просто скажи, что OWASP ASVS, это стандарт проверки безопасности. Почти все именно так его и представляют, но это неполно и неточно. По сути, это системный язык, на котором можно договориться с разработчиком, архитектором, тестировщиком и проверяющим. Это не набор требований, а карта, показывающая, какие тропы в приложении уже протоптаны (и проверены), а какие остаются terra … Читать далее

CASB: архитектура контроля для хаоса облачных сервисов

от

«О CASB обычно говорят в двух крайностях: как о волшебной таблетке для облачной безопасности или как об очередном дорогом и бесполезном продукте вендоров. На деле это не продукт, а архитектурная концепция, и её смысл — не в том, чтобы встать ‘между’ пользователем и облаком, а в том, чтобы создать единый центр управления политиками для того … Читать далее