Сусам Пал, автор pastebin для математиков MathB.in, объявил о закрытии проекта. Причиной стали сложности в его поддержке и внимание со стороны регуляторов. О своём решении он сообщил у себя в блоге.

«Тринадцать лет назад, тихим субботним вечером, я сел и начал создавать MathB.in. Я кодил всю ночь, и когда 25 марта 2012 года, в воскресенье, взошло солнце, сайт был готов. Я зарегистрировал новое доменное имя и поделился им с несколькими друзьями-любителями математики. Тогда мы часами обсуждали увлекательные математические задачи, и этот сайт дал нам возможность легко делиться фрагментами задач друг с другом», — рассказывает он. 

Уже через год у проекта были пользователи со всего мира. Однако с тех пор, пишет Пал, времена изменились, и поддерживать сервис в одиночку стало сложнее. 

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, провела испытание на проникновение в информационные системы Selectel, ведущего независимого провайдера IT-инфраструктуры в России. Результатом пентеста стали комплексный анализ защищенности веб-приложений и успешное устранение потенциальных угроз.

Microsoft объявила о внедрении опции, позволяющей веб-приложениям отправлять уведомления о входящих вызовах в браузере Edge через Notifications API.

Apache выпустила обновление безопасности, устраняющее критическую уязвимость в веб-сервере Tomcat. Она может привести к удалённому выполнению кода.

GitHub анонсировал новый продукт под названием Spark — инструмент на базе искусственного интеллекта, который позволяет любому желающему создавать небольшие веб-приложения (sparks) с использованием естественного языка, даже без знаний основ программирования.

Google анонсировала облачную среду разработки Project IDX, предназначенную для разработки мобильных и веб-приложений. Инструмент построен на базе VS Code с использованием генеративных моделей искусственного интеллекта.

Команда разработчиков Microsoft Edge совместно с сообществом Open Web Docs обновила документацию по созданию прогрессивных веб-приложений (Progressive Web App, PWA) на платформе MDN. Весь раздел переписали с нуля.

Пресс-служба компании «Веб-сервер» рассказала Хабру, что Angie Pro теперь совместим с платформой «Вебмониторэкс». Разработчики могут использовать дополнительные инструменты для обеспечения защиты своих веб-приложений.

В пресс-службе компании «Веб-сервер» рассказали про релиз обновления открытого отечественного веб-сервера Angie 1.3.0. Добавили формат Prometheus для статистики и поддержку нескольких паттернов сопоставления URI-запроса для одного и того же контекста конфигурации.

Разработчики библиотеки UI-компонентов Gluestack UI сообщили о релизе первой стабильной версии. Представленный набор можно использовать для веб-сайтов и мобильных приложений для Android и iOS.

Разработчик ОС «Аврора» — компания «Открытая мобильная платформа» в рамках программы бета-тестирования ОС начала создавать веб-приложения сервисов. Об этом сообщает ТАСС со ссылкой на коммерческого директора компании Михаила Писарева.

Google работает над новой функцией Unrestricted WebUSB, которая позволяет доверенным изолированным веб-приложениям обходить ограничения безопасности в API WebUSB.

Веб-приложения для многих компаний являются витриной бизнеса, точкой взаимодействия с клиентами и нередко — бизнес-критичным активом. В то же время они представляют собой одну из наиболее уязвимых точек в корпоративной безопасности. Количество как и сложность атак на веб-приложения только растет.

30 ноября в 11.00 приходите на наш вебинар, если хотите узнать, как подходить к безопасности веб-приложений комплексно и выстроить эффективную защиту с помощью open-source и коммерческих инструментов.

На вебинаре мы разберем:
- как оценить потенциальную площадь атаки с помощью OSINT‑инструментов;
- как выстроить процесс контроля уязвимостей;
- что можно предпринять для защиты от DDoS‑атак;
- как грамотно настроить Web Application Firewall (WAF).

Обо всем расскажет Александр Быков, руководитель направления сервисов защиты Nubes. Александр руководил созданием ИБ-сервисов по защите веб-приложений в крупнейшем облачном провайдере и имеет большой опыт по защите высоконагруженных приложений от комплексных атак (WAF, IDM, AntiDDoS, сканеры уязвимостей).

Вебинар будет полезен для ИБ- и ИТ-руководителей, ИБ-инженеров и специалистов, системных администраторов, разработчиков и тестировщиков веб-приложений.

Вебинар бесплатный, но нужна регистрация.

Зарегистрироваться

Мы подвели итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в мае 2022 года. За полтора года количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Размер вознаграждения составляет от девяти тысяч до трех миллионов рублей в зависимости от уровня опасности уязвимости. При этом максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».

Ведущий вебинара Вадим Шепелев — инженер по информационной безопасности Вебмониторэкс раскроет тему проведения тестирования и сравнения WAF. Покажет несколько источников данных для составления тестов. Затронет тему кодирования полезной нагрузки для тестирования на возможность обхода WAF и продемонстрирует работу нескольких инструментов для автоматизации тестирования WAF. Даст рекомендации по подготовке среды тестирования и многое другое.

6 декабря (среда) приглашаем вас принять участие в вебинаре «Про тестирование и сравнение WAF» , где расскажем о различии методик тестирования в зависимости от типа атаки, о кодировании данных и не только. Вас ждет море полезной информации :) Присоединяйтесь!

Вышло мажорное обновление Comentario 3.0.0 — свободного сервера комментариев c открытым исходным кодом. С его помощью можно добавлять возможность комментирования к любым статическим страницам (наподобие того, как это сделано здесь, на Хабре), вставив лишь пару HTML-тегов.

Comentario написан на Go и Angular и использует БД PostgreSQL для хранения комментариев.

Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, обнаружил уязвимость в веб-приложении российской платформы для автоматизации бизнеса BPMSoft. Уязвимость позволяла злоумышленникам удаленно повысить свои привилегии в системе.

Эксперты Innostage регулярно производят тестирование веб-приложений бизнеса с целью оценки их защищенности. Продукты, которые проходят через проверку — разноообразны. В их число входят как личные кабинеты пользователей, так и, например, инструменты для обработки телеметрии.

В ходе испытаний веб-приложения BPMSoft специалисты компании выявили уязвимость. Они определили, что нарушитель с минимальными привилегиями в системе мог поставить под угрозу безопасность продукта, повысив свои привилегии до уровня администратора. Это позволяло ему получить полный доступ к веб-приложению. При определенной конфигурации системы он даже мог вызвать удаленное выполнение кода.

Данные об уязвимости опубликованы в Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК). Вендор был своевременно уведомлен. Проблемы, к которым привела уязвимость, разработчиком в настоящее время устранены.

Пользователям рекомендуется обновить программное обеспечение до версии 1.2 или до 1.4, а также установить отдельный патч для версий 1.1 и ниже.

«Веб-приложения стали одной из основных целей злоумышленников. Они широко распространены и обладают обширным функционалом, что приводит к тому, что уязвимости в них встречаются очень часто. Мы наблюдаем значительный рост числа инцидентов, связанных с веб-приложениями, что подчеркивает необходимость усиленных мер безопасности. Защита веб-приложений критически важная задача для всех организаций, кто их использует» — отмечает руководитель центра компетенций тестирования на проникновение Innostage, Борисов Александр.

Сотрудники службы поддержки Netflix подтвердили, что новое «приложение» Netflix теперь доступно для Windows 11. Однако оно больше не поддерживает загрузки и открывается в контейнере Microsoft Edge.

Мы проанализировали состояние защищенности российских компаний^[1]. В ходе пентестов^[2] 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.

Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.

На сайте поддержки Apple появилась информация о том, что компания полностью отключит поддержку PWA для пользователей из Европы. PWA в iOS будут открываться в новой вкладке браузера.