Рубрика «безопасность веб-приложений»

Введение

Доброго времени суток, друзья!

В данной статье я постараюсь довольно кратко и подробно описать то, как работает spring security изнутри. Статья будет вводная, и будет содержать в основном теорию.

Собственно. Что же такое этот Spring Security?

Spring Security — это главный фреймворк который предоставляет механизмы построения систем аутентификации и авторизации. Помимо этого он даёт возможность обеспечения безопасности для приложений, созданных на spring'e.

Мы поняли, что он обеспечивает безопасность и даёт возможность аутентификации и авторизации, то что это такое?...

АутентификацияЧитать полностью »

Вайбкод и безопасность: как не задеплоить уязвимости вместе с фичами - 1

Часть 1 — С чего всё началось (и немного теории)

Введение

Читать полностью »

MalTerminal: первый вирус, который пишет сам себя с помощью ИИ - 1

Представьте: хакеру больше не нужно сидеть ночами, вылизывая строчки кода для нового вируса. Достаточно открыть чат с ИИ и написать: «Сделай мне вредоносную программу, которая обойдёт защиту Windows 11 и зашифрует файлы»Читать полностью »

Аннотация

Single Sign‑On (SSO) позволяет пользователям входить в разные приложения с одним набором учётных данных, упрощая доступ и повышая безопасность. Эта статья поможет системным аналитикам разобраться в принципах SSO, сравнить механизмы OpenID Connect (OIDC), SAML и Kerberos и выбрать подходящий для проекта. От простых объяснений до технических деталей — вы получите полное представление о том, как работает SSO.

1. Введение: Что такое SSO и почему это важно

Читать полностью »

Атаки с подбором учётных данных оказали огромное влияние в 2024 году, подпитываемые замкнутым кругом заражений инфостилерами и утечек данных. Однако ситуация может стать ещё хуже с появлением Computer‑Using Agents (CUA) — нового типа ИИ‑агентов, обеспечивающих дешёвую и малозатратную автоматизацию распространённых веб‑задач, включая те, которые активно используют злоумышленники.

Украденные учётные данные: главное оружие киберпреступников в 2024 году

Читать полностью »

Привет! Статья в первую очередь была прежде всего написана для самого себя с целью запоминания интересного опыта по реализации кастомных костылей авторизации с помощью JWT-токенов, находящихся в куки.

В качестве бекенда был выбран горячо любимый Django Rest Framework, в качестве фронтовой части в моем случае использовался React. Начну с реализации серверной стороны. Я пропущу шаги по настройке Django REST Framework в связке с React. В Django в моем случае в качестве приложения для аутентификации пользователей было создано приложение user.

В качестве базы JWT-токенов взял библиотеку Simple JWTЧитать полностью »

Это обзорная статья, в которой очень поверхностно и не подробно рассказывается о том, что такое формальная верификация программного кода, зачем она нужна и чем она отличается от аудита и тестирования.

Формальная верификация — это доказательство с использованием математических методов корректности программного обеспечения.

Формальная верификация молода. На сегодняшний день, на сайте хабр, например, нет (пока) специализации «Формальная верификация», нет специальности «Proof инженер» или «Специалист по формальной верификации». А люди, работающие по этой специальности — есть.

Читать полностью »

Вы создаете сервис, а в нем - регистрацию по номеру телефона? Вы создаете проблему себе и своим пользователям. Это не защитит ваш сервис от спамеров и нежелательных регистраций. Аккаунт ваших пользователей это тоже не защитит. Давайте разберемся почему.

Почему регистрация по телефонному номеру не защищает от спама

Для СНГ стоимость аренды номера на 10 минут для регистрации и приема СМС начинается от 0.03 $ . Сегодня эта защита по цене взлома приближается к разгадываю капчи индусами. Т.е. за 1 $ пользователь сможет создать пару десятков аккаунтов, с которым сможет спамить, писать непотребства, накручивать статистику и т.д.Читать полностью »

Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту - 1

FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания. 

Читать полностью »

Pysa: как избежать проблем безопасности в коде Python - 1


7 августа Facebook представил Pysa — ориентированный на безопасность статический анализатор с открытым исходным кодом, помогающий работать с миллионами строк в Instagram. Раскрыты ограничения, затронуты проектные решения и, конечно, средства, помогающие избегать ложных положительных срабатываний. Показана ситуация, когда Pysa наиболее полезен, и код, в котором анализатор неприменим. Подробности из блога Facebook Engineering под катом.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js