«Многие воспринимают OWASP Top 10 как абстрактный список для сдачи аудита. Но в российском IT это прямое отражение архитектурных привычек и операционных провалов, повторяющихся в госкорпорациях, финтехе и интернет-сервисах. Причина не в недостатке инструментов, а в логике разработки под 152-ФЗ: мы сначала думаем о конфиденциальности данных, забывая, что кирпич, заложенный в основу для ЦОД ФСТЭК, … Читать далее
«Burp Suite, это не просто инструмент, а рабочий стол пентестера, позволяющий превратить абстрактные HTTP-запросы в материальные уязвимости. Его мощь не в отдельных фичах, а в их сплетении, когда перехват трафика запускает сканирование, а результаты отправляются на автоматизированную обработку.» Burp Suite Professional: инструментарий для исследования безопасности веб-приложений Burp Suite Professional — стандартный инструмент в арсенале специалистов … Читать далее
Межсайтовый скриптинг работает потому, что браузер не отличает HTML от сервера от HTML, который подставил злоумышленник. Вся защита — это попытка искусственно провести границу там, где браузер её не видит. https://seberd.ru/1962 Я работаю с веб-приложениями достаточно давно, чтобы перестать удивляться количеству XSS в продакшене. Даже у компаний с репутацией. Даже после аудита. Проблема не в … Читать далее
Контракт на работу, которого не видно В мире, где каждое второе приложение собирается из частей, которые написаны разными людьми, в разное время и на разных языках, нужен универсальный способ заставить их общаться. Этот способ не должен требовать, чтобы разработчики разбирались во внутреннем устройстве друг друга. API, это и есть такой способ, но в его основе … Читать далее
«Многие считают OWASP и NIST разными мирами: один для разработки, другой для аудита. На практике их пересечение, это точка, где можно превратить формальное соответствие требованиям ФСТЭК в реальную устойчивость к атакам. Задача не в механическом сопоставлении, а в построении цикла, где стандарты безопасности приложений питают доказательную базу для регулятора.» Почему интеграция OWASP и NIST не … Читать далее
«Ключ к пониманию DOM-based XSS — увидеть веб-страницу не как статичный документ, а как живое приложение, которое переписывает само себя на лету. Именно эта способность к самомодификации, заложенная в DOM, и открывает путь для атак, которые обходят традиционные серверные защиты.» Как устроена «живая» страница: DOM и его влияние на безопасность Когда браузер получает от сервера … Читать далее
«В российском ИБ-ландшафте WAF и NGFW часто воспринимаются как взаимозаменяемые или конкурирующие решения. Это ошибка, которая приводит либо к избыточным затратам, либо к критическим уязвимостям. Разница между ними — не в «поколениях», а в фундаментальном различии слоёв, на которых они работают. Понимание этой разницы — ключ к построению эффективной и экономичной защиты.» Семь уровней OSI … Читать далее
«Кажется, что трёхзначные цифры в логах, это просто технические детали, но на деле это целый язык для разговора между компонентами системы. Понимая этот язык до уровня нюансов, можно не только чинить ошибки, но и проектировать более устойчивую архитектуру, видеть попытки атак там, где другие видят просто шум, и даже закладывать механизмы для будущих оптимизаций, которые … Читать далее