XSS, CSRF, injection и классика OWASP

Механика эксплуатации уязвимостей SSTI и LFI на практике

от

Сервер выполняет ровно тот код, который ему передали. Если шаблонизатор или функция включения файлов не различает данные и инструкции, приложение добровольно отдает управление своей логикой любому, кто умеет манипулировать путями. Как возникает Server Side Template Injection Уязвимость SSTI появляется в момент, когда приложение передает пользовательский ввод напрямую в движок рендеринга шаблонов. Разработчики иногда используют шаблонизаторы … Читать далее

Механика клиентских уязвимостей XSS и CSRF

от

Браузер по умолчанию доверяет коду, полученному от сервера. Защита периметра теряет смысл, если атакующий получает возможность управлять сессией легитимного пользователя через его же терминал. Природа внедрения кода в браузер Cross-Site Scripting возникает в момент, когда приложение берет данные от пользователя и вставляет их в страницу без предварительной очистки. Браузер не различает легитимный код от разработчика … Читать далее

CAPTCHA: От Защиты к Обучению Искусственного Интеллекта

от

CAPTCHA: От Защиты к Обучению Искусственного Интеллекта Распространенное заблуждение гласит, что пользователи решают CAPTCHA лишь для подтверждения своей человечности перед цифровыми системами. В действительности, этот процесс зачастую служит более глубокой цели: не только защиты от автоматизированных атак, но и невольного участия в тренировке нейросетей, тем самым постоянно повышая их интеллект и адаптивность. В этой парадигме … Читать далее

Фундаментальная проблема безопасности веб-браузеров

от

«Если вы посмотрите на браузер как на доверенный посредник между вами и всем интернетом, то вопрос о его фундаментальной безопасности, это вопрос о том, насколько доверенным он может быть при такой сложности. Ответ — не очень.» Две несовместимые задачи: безопасность против универсальности Современный веб-браузер, это не просто программа для чтения HTML. Это исполняемая среда, объединяющая … Читать далее

OWASP ASVS: не просто чек-лист, а язык для проверки безопасности

от

«Просто скажи, что OWASP ASVS, это стандарт проверки безопасности. Почти все именно так его и представляют, но это неполно и неточно. По сути, это системный язык, на котором можно договориться с разработчиком, архитектором, тестировщиком и проверяющим. Это не набор требований, а карта, показывающая, какие тропы в приложении уже протоптаны (и проверены), а какие остаются terra … Читать далее

OWASP Top 10: реальные уязвимости в российских проектах

от

«Многие воспринимают OWASP Top 10 как абстрактный список для сдачи аудита. Но в российском IT это прямое отражение архитектурных привычек и операционных провалов, повторяющихся в госкорпорациях, финтехе и интернет-сервисах. Причина не в недостатке инструментов, а в логике разработки под 152-ФЗ: мы сначала думаем о конфиденциальности данных, забывая, что кирпич, заложенный в основу для ЦОД ФСТЭК, … Читать далее

Что такое XSS атака

от

Межсайтовый скриптинг работает потому, что браузер не отличает HTML от сервера от HTML, который подставил злоумышленник. Вся защита — это попытка искусственно провести границу там, где браузер её не видит. https://seberd.ru/1962 Я работаю с веб-приложениями достаточно давно, чтобы перестать удивляться количеству XSS в продакшене. Даже у компаний с репутацией. Даже после аудита. Проблема не в … Читать далее

Зачем интеграция OWASP и NIST выходит за рамки формальности

от

«Многие считают OWASP и NIST разными мирами: один для разработки, другой для аудита. На практике их пересечение, это точка, где можно превратить формальное соответствие требованиям ФСТЭК в реальную устойчивость к атакам. Задача не в механическом сопоставлении, а в построении цикла, где стандарты безопасности приложений питают доказательную базу для регулятора.» Почему интеграция OWASP и NIST не … Читать далее

Как избежать XSS атак на основе DOM

от

«Ключ к пониманию DOM-based XSS — увидеть веб-страницу не как статичный документ, а как живое приложение, которое переписывает само себя на лету. Именно эта способность к самомодификации, заложенная в DOM, и открывает путь для атак, которые обходят традиционные серверные защиты.» Как устроена «живая» страница: DOM и его влияние на безопасность Когда браузер получает от сервера … Читать далее