Я с 2014 года работаю над безопасностью мобильных и веб-приложений. Много раз слышал от разных людей и в разном контексте про «трейдофф usability vs security», при этом с самого начала видел в этом какой-то подвох. В этом посте я поделюсь своим мнением, почему, на мой взгляд, это не трейдофф, и на самом деле от него давно стоит отказаться.
Рубрика «безопасность веб-приложений» - 2
Почему удобство vs безопасность — не трейдофф
2020-02-06 в 6:00, admin, рубрики: анализ кода, безопасность веб-приложений, информационная безопасность, мобильные приложения, разработка мобильных приложений, Софт, юзабилитиСкоро Новый год. PHP — 25*. Вот что мы ему хотим пожелать
2019-12-03 в 11:20, admin, рубрики: api-platform, CRUD RESTful API, laravel, php, php митап, symfony, yii, безопасность веб-приложений, Блог компании Skyeng, казань, логирование, переход на go, Татарстан, трассировкаСовременный PHP совсем не тот, что был во времена пятой версии. Обидно до сих пор встречать хейтеров языка, которые обвиняют его по-старинке, не зная 7-ю версию. Надеемся, мы и не встретим их на большом PHP-митапе в Казани 14 декабря. А всех остальных ждем с радостью. Дело будет днем субботы, так что можно доехать из Иннополиса, Челнов, Ульяновска, Москвы… Многие докладчики также приедут из других городов.

В общем, приходите. А еще добавляйтесь в чат первой казанской BeerPHP-встречи — она пройдет сразу после митапа.
По традиции, мы взяли блиц-интервью у докладчиков: узнали, чего бы они пожелали языку, чем удивят на встрече, какими вещами не гордятся и о чем еще с ними поговорить, помимо разработки.
Читать полностью »
Небезопасные функции PHP
2019-10-18 в 14:41, admin, рубрики: php, php-fpm, безопасность, безопасность веб-приложений, Блог компании ModescoХолдинг Modesco — это более 300 инфосайтов и 5 крупных Интернет-сервисов. Проекты регулярно покупаются и продаются. Как вы понимаете, поддерживать качество кода на высоком уровне в данной ситуации физически невозможно. Да и основное внимание программистов, как правило, сосредоточено на самих сервисах. Взломы, shell, заражения сайтов прочими вредоносными штуками… Все это наносит ощутимый вред пользователям и компании. Чтобы избежать этого, частенько приходится искать довольно нестандартные способы для уменьшения рисков.

Как простой <img> тэг может стать высоким риском для бизнеса?
2019-10-10 в 13:14, admin, рубрики: penetration testing, security, websec, безопасность веб-приложений, информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисовБезопасность на реальных примерах всегда интересна.
Сегодня поговорим об SSRF атаке, когда можно заставить сервер делать произвольные запросы в Интернет через img тэг.

Итак, недавно занимался тестированием на проникновение одновременно на двух проектах, сразу на двух эта уязвимость и выявилась. Скриншоты взяты прямо из отчетов, потому вся лишняя информация замазана.
Описание атаки
RubyRussia 2019. Михаил Пронякин: безопасен ли Ruby
2019-09-13 в 13:45, admin, рубрики: Conference, railsclub, railsconf, ROR, ruby, ruby on rails, rubyrussia, безопасность, безопасность веб-приложений, Блог компании RubyRussia, интервью, информационная безопасность, уязвимостиНа конференции RubyRussia будет много докладов о том, как писать код и как делать это лучше других. Но если продукт, который выпускает ваша компания, небезопасен, то это может привести к большим проблемам. Григорий Петров обсудил эту важную тему с Михаилом Пронякиным из компании «ОНСЕК», разработчик комплексной платформы «Валарм».

Расскажи, чем ты занимаешься и как используешь Ruby?
Читать полностью »
Как технологии быстрой разработки могут стать источником неприятных уязвимостей
2019-08-02 в 12:02, admin, рубрики: adonisjs, ASP.NET, django, express, penetration testing, security, websec, безопасность веб-приложений, информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисовБезопасность на реальных примерах всегда более интересна.
Как тестировщик на проникновение, люблю, когда приходят проекты, построенные на фреймворках быстрой разработки (Rapid development), подобно Ruby-on-Rails, Django, AdonisJs, Express и так далее. Они позволяют очень быстро строить систему за счет того, что бизнес модели прокидываются сразу на все уровни, включая клиентский браузер. Model (модели бизнес объектов в базе) и ViewModel (контракт взаимодействия с клиентами) такие фреймворки часто объединяют вместе, чтобы избежать лишнего перекладывания из Model во ViewModel и обратно, REST сервисы автоматом генерируются. C точки зрения разработки можно просто разработать бизнес модель на сервере, и потом использовать ее сразу на клиенте, что несомненно увеличивает скорость разработки.
Еще раз, я не утверждаю, что вышеупомянутые фреймворки плохие, или с ними что-то не то, у них есть средства и инструменты правильной защиты, просто с ними разработчики делают больше всего ошибок. Такое встречал и на одном ASP.NET MVC проекте, в котором разработчики наделали те же уязвимости, выставляя Models вместо ViewModels…
Читать полностью »
Как потерять доступ в лайв систему, просто пошарив исходный код
2019-07-10 в 15:08, admin, рубрики: penetration testing, security, websec, безопасность веб-приложений, информационная безопасность, Тестирование IT-систем, Тестирование веб-сервисовБезопасность на реальных примерах всегда более интересна.
Один раз пришел клиент с запросом на тестирование на проникновение. У него было достаточно много причин для беспокойства, среди прочих прозвучала и такая: “Несколько месяцев назад к нам пришел новый разработчик, получил доступы к исходному коду, документации, тестовому серверу, через два дня пропал и до сих пор не отвечает. Чем мне это может грозить? Доступы в лайв систему ему не давали.”Читать полностью »
Интернет проект security.txt — знакомство с еще одним .well-known файлом
2019-06-20 в 10:29, admin, рубрики: bug bounty, ietf, web-разработка, безопасность веб-приложений, информационная безопасность, Разработка веб-сайтов, хакерыОсновная идея проекта — формализация взаимодействия между внутренней ИБ и внешними исследователями, давая четкое указание как и куда направлять информацию об уязвимостях или проблемах безопасности. Формализация взаимодействия — серьезная проблема, не все сайты имеют программы bug bounty, или даже просто указывают контакты специалистов по безопасности. А попытки достучаться через службу поддержки и твиттер зачастую заканчиваются уверениями что «Все так и должно быть», и последующим игнорированием.
Конечно, это будет работать только если компания размещающая информацию в security.txt готова проверять и своевременно реагировать на информацию полученную через этот канал.
Как я нашел свою первую уязвимость?
2019-06-15 в 11:16, admin, рубрики: cms, hacking, url, безопасность веб-приложений, информационная безопасностьПредисловие
Всем привет. Мне 20 лет. Еще недавно я учился в лицее и готовился поступать в медицинский ВУЗ, а сейчас я — фулстэк разработчик в одной американской компании. На самом деле я очень рад, что с медициной у меня не вышло — программирование было моим хобби, а сейчас я могу им заниматься постоянно. Сейчас я хотел бы написать скорее не об успехе в IT. Прямо сейчас я хочу поговорить о том, как я прочитал пару книг по уязвимостям (для защиты своих проектов) и мне удалось применить эти знания на практике.
Дисклеймер
Все материалы, скриншоты, а так же ссылки на сторонние ресурсы, размещены в образовательных целях. Автор не несет ответственности за их использование другими посетителями хабра. Компания заранее уведомлена за 48 часов об уязвимости и получила достаточно данных для ее исправления.
Читать полностью »
От обычного пользователя до полноправного администратора сервера (XSS, LFI, Web-Shell)
2019-05-22 в 8:32, admin, рубрики: безопасность веб-приложений, информационная безопасность, тестирование, Тестирование IT-систем, тестирование веб-приложений, Тестирование веб-сервисов
В начале года мне написал сотрудник одной фирмы. Как я понял, в компании произошел небольшой конфликт. Из-за которого существовал риск компроментации системы каким-то из сотрудников. Решение провести аудит системы определенно было правильное. Ведь результаты проверки приятно удивили меня, и «неприятно» удивили заказчика.
Читать полностью »


