Веб-приложения для многих компаний являются витриной бизнеса, точкой взаимодействия с клиентами и нередко — бизнес-критичным активом. В то же время они представляют собой одну из наиболее уязвимых точек в корпоративной безопасности. Количество как и сложность атак на веб-приложения только растет.

30 ноября в 11.00 приходите на наш вебинар, если хотите узнать, как подходить к безопасности веб-приложений комплексно и выстроить эффективную защиту с помощью open-source и коммерческих инструментов.

На вебинаре мы разберем:
- как оценить потенциальную площадь атаки с помощью OSINT‑инструментов;
- как выстроить процесс контроля уязвимостей;
- что можно предпринять для защиты от DDoS‑атак;
- как грамотно настроить Web Application Firewall (WAF).

Обо всем расскажет Александр Быков, руководитель направления сервисов защиты Nubes. Александр руководил созданием ИБ-сервисов по защите веб-приложений в крупнейшем облачном провайдере и имеет большой опыт по защите высоконагруженных приложений от комплексных атак (WAF, IDM, AntiDDoS, сканеры уязвимостей).

Вебинар будет полезен для ИБ- и ИТ-руководителей, ИБ-инженеров и специалистов, системных администраторов, разработчиков и тестировщиков веб-приложений.

Вебинар бесплатный, но нужна регистрация.

Зарегистрироваться

Мы подвели итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в мае 2022 года. За полтора года количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Размер вознаграждения составляет от девяти тысяч до трех миллионов рублей в зависимости от уровня опасности уязвимости. При этом максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».

Ведущий вебинара Вадим Шепелев — инженер по информационной безопасности Вебмониторэкс раскроет тему проведения тестирования и сравнения WAF. Покажет несколько источников данных для составления тестов. Затронет тему кодирования полезной нагрузки для тестирования на возможность обхода WAF и продемонстрирует работу нескольких инструментов для автоматизации тестирования WAF. Даст рекомендации по подготовке среды тестирования и многое другое.

6 декабря (среда) приглашаем вас принять участие в вебинаре «Про тестирование и сравнение WAF» , где расскажем о различии методик тестирования в зависимости от типа атаки, о кодировании данных и не только. Вас ждет море полезной информации :) Присоединяйтесь!

Вышло мажорное обновление Comentario 3.0.0 — свободного сервера комментариев c открытым исходным кодом. С его помощью можно добавлять возможность комментирования к любым статическим страницам (наподобие того, как это сделано здесь, на Хабре), вставив лишь пару HTML-тегов.

Comentario написан на Go и Angular и использует БД PostgreSQL для хранения комментариев.

Разработчик ОС «Аврора» — компания «Открытая мобильная платформа» в рамках программы бета-тестирования ОС начала создавать веб-приложения сервисов. Об этом сообщает ТАСС со ссылкой на коммерческого директора компании Михаила Писарева.

В этой статье я расскажу вам, как можно с помощью Nim разработать Telegram Web App, используя HappyX и telebot.

Мы как-то писали про SSRF-атаку, которая входит в список наиболее распространенных уязвимостей OWASP Top 10. Однако мир уязвимостей намного разнообразнее и, конечно же, не ограничивается этим списком. Сегодня мы хотим рассказать про уязвимости, связанные с бизнес-логикой. Что в них необычного? Это как доказать, что 2+2=5. Последовательность действий кажется правильной, все операции разрешенными, а результат совсем не тот, который закладывался при разработке. Но мы же знаем, что в доказательстве есть ошибки! Рассмотрим, как подобные задачки решаются при анализе защищенности и какие неожиданные результаты можно получить, используя обычную функциональность приложений.

Чуть более года назад, уже написав небольшое количество простых программ на Python, я начал размышлять об идее создания своего первого более‑менее полноценного проекта. Писать что‑то, что уже было 100 500 раз написано до меня, желания совсем не было, хотелось хоть немного оригинальности, и полезности. Но найти оригинальную идею под свой невысокий уровень знаний оказалось не так‑то просто.

Однако как‑то на всем известном видеохостинге я наткнулся на трансляцию мужика с проекта Moscow Python (прошу прощения, имя я не запомнил, и сейчас уже просто не найду) который вещал что‑то о начале пути питониста, а заодно рассказал о программе для изучения английского языка Anki. А далее, прямо на трансляции, он сам решил написать аналогичную программу, но совсем в примитивном виде. И тут, очевидно вдохновившись, меня посетила идея, что вполне полезной могла бы оказаться программа для изучения технического английского языка. Ну зачем мне сразу весь язык, если в конкретный период времени он мне необходим только для уверенного чтения и понимания документации. И я написал...

Всем привет! Я Сергей, фронтенд-разработчик из команды привлечения Центрального университета. Занимаюсь проектами, связанными с регистрацией абитуриентов на мероприятия, и внутренними проектами по управлению мероприятиями. 

Осенью мы ждем поступление бакалавров. Чтобы начать набор, нужно встроить форму регистрации в лендинг на CMS. Форма довольно простая: пара полей для ввода данных, диалоговое окно с текстом соглашения об обработке персональных данных и кнопка отправки данных на сервер. Для скорости работы и проверки работоспособности идеи решили встроить приложение через iframe. Но форма стала обрастать различными бизнес-требованиями, которые приносили проблемы. В статье расскажу, с какими трудностями мы столкнулись и как их решали.

LotItBit или как я создал криптолотерею и потерял все.

Эта история будет интересна и как любопытный технический проект, и как пример того, насколько внутренние убеждения участников важны и могут влиять на результаты работы и жизнеспособность продуктов. Идея выразить в тексте этот опыт просилась на свет уже давно и в свете наступления очередной волны интереса к криптопроектам, я решил сделать из этого своеобразный творческий эксперимент. Так что не судите строго и приятного чтения.

Техники оптимизации функции авторизации в современных веб-приложениях.

В статье рассматриваются эффективные подходы к управлению точной авторизацией с использованием Amazon Verified Permissions (читай Cedar Engine). Вы узнаете о техниках пакетной авторизации и кэширования ответов, которые помогут значительно повысить производительность и отзывчивость приложений.

Современное оборудование невероятно быстрое. M1 Max, на котором я пишу эту статью, работает с частотой 3,2 ГГц. То есть 3,2 МИЛЛИАРДА тактов в секунду. Однако Microsoft Teams требуется 3 секунды, чтобы открыть ссылку, и я отказываюсь верить, что для открытия ссылки требуется 9,6 МИЛЛИАРДА тактов. Очевидно, я упрощаю, но смысл остаётся прежним: как так получается, что оборудование становится быстрее, а приложения — только медленнее?

«Потому, что мы выполняем гораздо больше задач». Так считает любитель позднего капитализма. Позвольте объяснить.

Превосходный пример мощи современного «железа» — это видеоигры. Я могу симулировать огромные 3D-среды с физикой и освещением, полученным трассировкой лучей, при этом играть в реальном времени с друзьями из других штатов и даже стран; вполне доступный компьютер потребительского уровня выдаёт 124 миллионов пикселей в секунду¹.

^{[1. 1080p при 60 FPS = 1920 × 1080 × 60 = 124416000]}

Можно посмотреть и в обратном направлении: людям удаётся запускать DOOM на почти любом устройстве с процессором: на калькуляторах, iPod, фотокамерах. Невероятно маломощные, зачастую одноразовые устройства обладают достаточными вычислительными ресурсами, чтобы выполнять сверхсовременную на 1993 год игру. Это не особо удивляет, ведь прошло три десятка лет, но показывает, какой путь мы проделали.

В продолжение рассказа об уязвимостях, которые были обнаружены пентестерами УЦСБ  и легли в основу кейсов на премии Pentest Award, публикуем разбор следующего реального примера.

Расскажем, как в веб-приложении одной компании была обнаружена связка уязвимостей, позволявшая удалить любого зарегистрированного пользователя из системы.

Добрый день, Хабр! Меня зовут Иван Колотилов и я фронтенд-разработчик. Я разрабатываю современные веб-приложения, специализируюсь на финансовых продуктах, работал в финтех-стартапах. Сегодня я хочу рассказать о том, как писать надёжный и расширяемый код с помощью TypeScript на примере разработки прикладного сервиса.

Некоторое время назад у меня была дискуссия на тему необходимости оповещать пользователей о сборе пользовательских данных в Web-играх.

Многие крупные проекты в Google Play при первом запуске требуют прочитать и принять пользовательские соглашения: обычно это Privacy Policy и Terms of Use.

Однако в Web-проектах, например на Яндекс.Игры или VK Игры, такого не встретишь. И не понятно, нужно ли это там. Я провёл небольшое «расследование» на площадках, и, кажется, понял, как это устроено.