Какой рейтинг вас больше интересует?
|
Главная / Главные темы / Тэг «информационные»
[Перевод] Как я взломал Гитхаб еще раз 2014-02-07 22:41:02
Это история о том, как я соединил 5 Low-severity багов в один большой баг, с помощью которого ...
+ развернуть текст сохранённая копия
Это история о том, как я соединил 5 Low-severity багов в один большой баг, с помощью которого можно было читать/писать в приватные репы на Гитхабе (опять).
Несколько дней назад гитхаб запустил баунти программу. За 4 часа я смастерил такой URL после посещения которого я получал доступ к вашему гитхаб аккаунту и репозиториям. Хотите узнать как?
Читать дальше →
Тэги: api, github, rails, ruby, security, безопасность, веб-разработка, информационная
Тенденції сучасного ринку в сфері сайтобудівництва 2014-02-05 22:08:49
Тенденції сучасного ринку в сфері сайтобудівництва свідчать про збільшення кількості сайтів рі ...
+ развернуть текст сохранённая копия
Тенденції сучасного ринку в сфері сайтобудівництва свідчать про збільшення кількості сайтів різноманітної тематики та направлення й, водночас, про стабільне скорочення проценту прибіжників самописних сайтів. Зменшення кількості бажаючих мати власний повноцінний сайт пояснюється значними витратами на цю справу часу та коштів. І мова ведеться не лише про витрати, пов’язані з процесом розробки сайту, але й підтримки Далее... Запись Тенденції сучасного ринку в сфері сайтобудівництва впервые появилась Крым сквозь время.
Тэги: интернет, информационные, компьютеры., сайт, технологии., хостинг
Лучшие практики и рекомендации по защите php-приложений от XSS-атак 2014-02-05 12:57:35
Лучшие практики и рекомендации по защите php-приложений от XSS-атак
Создание ...
+ развернуть текст сохранённая копия
Лучшие практики и рекомендации по защите php-приложений от XSS-атак
Создание функционирующего веб-приложения – это только полдела. Современные онлайн-сервисы и веб-приложения, помимо собственного контента, хранят данные пользователей. Защита этих данных зависит от правильно написанного кода с точки зрения надёжности и безопасности.
Большинство уязвимостей связано с неправильной обработкой данных, получаемых извне, или недостаточно строгой их проверкой. Одной из таких уязвимостей является межсайтовое выполнение сценариев (Сross Site Sсriрting, XSS), которая может привести к дефейсу сайта, перенаправлению пользователя на зараженный ресурс, вставке в веб-ресурс вредоносного кода, краже COOKIE-файлов, сессии и прочей информации. Противостоять XSS своими сила поможет применение лучших практик и рекомендаций по безопасному программированию, о которых и пойдет речь ниже.
Читать дальше →
Тэги: pentestit, php, безопасность, блог, информационная, компании
Content Security Policy, для зла 2014-02-04 15:51:52
Есть такой специальный хедер для безопасности вебсайтов CSP.
CSP ограничивает ...
+ развернуть текст сохранённая копия
Есть такой специальный хедер для безопасности вебсайтов CSP.
CSP ограничивает загрузку каких либо ресурсов если они не были пре-одобрены в хедере, то есть отличная защита от XSS. Атакующий не сможет загрузить сторонний скрипт, inline-скрипты тоже отключены…
На уровне браузера вы можете разрешить только конкретные урлы для загрузки а другие будут запрещены. Помимо пользы этот механизм может принести и вред — ведь факт блокировки и есть детекция! Осталось только придумать как ее применить.
Читать дальше →
Тэги: csp, standards, web, безопасность, веб-разработка, информационная
Сканирование с поддержкой JavaScript/Ajax/DomMutation или SlimerJS + CasperJS + Magic = Profit 2014-02-01 19:25:23
Сегодня вновь очень активно развивается тема автоматизации тестирования безопасности веб- ...
+ развернуть текст сохранённая копия
Сегодня вновь очень активно развивается тема автоматизации тестирования безопасности веб-приложений с использованием PhantomJS в связке с BurpSuite, ModSecurity, Garmr и т.д. Я не стал исключением, о своём опыте разработки относительно рабочего прототипа сканера с поддержкой Javascript, Ajax и DomMutation я бы и хотел с вами поделится. Может это поможет кому-то разработать собственное решение, которое будет гораздо лучше. Всех заинтересованных прошу под кат:-)
Читать дальше →
Тэги: automation, crawling, scanner, security, testing, безопасность, веб-разработка, информационная, тестирование
Главная / Главные темы / Тэг «информационные»
|
Взлеты Топ 5
Падения Топ 5
|
