Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.

Эта статья поможет вам погрузиться в тему prototype pollution. В разделах Особенности JavaScript и Что такое prototype pollution? вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах Prototype pollution на сервере и Prototype pollution на клиенте вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.

Прежде чем перейти к следующим разделам, предлагаю вам открыть инструменты разработчика и по ходу статьи попробовать приведенные примеры своими руками, с тем чтобы в результате получить некоторый практический опыт и глубже понять материал.

Уже сейчас один из подходов технологии машинного обучения – генеративное моделирование, основанное на сетях глубокого обучения – может помочь физикам определить наиболее вероятную теорию среди соревнующихся моделей наблюдаемых данных. Без специальных знаний о том, какие физические процессы могут происходить в исследуемой системе.

Привет, Хабр! Работа со встроенной рекламой в приложениях на платформе Huawei Mobile Services ведётся с помощью сервиса Ads Kit. Сервис предоставляет пользователям персонализированную рекламу, позволяет разработчикам анализировать результаты промокампаний и работать с основными рекламными форматами. В статье я расскажу, что включает в себя этот сервис, какие рекламные форматы поддерживает и какие даёт возможности для аналитики.

Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие технологии привели к многообразию подходов в реализации архитектуры безопасности современных решений, и единого подхода к ее построению пока еще не видно. Зато есть технологические лидеры в области микросервисной разработки, есть известные недостатки конфигурации и уязвимости в реализации разных архитектурных подходов, и есть огромное количество «лучших практик» для построения надежной архитектуры. В данном материале, подготовленном на основе исследовательской статьи, опубликованной совместно с Денисом Макрушиным (makrushin) из команды Advanced Security Research исследовательской лаборатории Huawei Advanced Software Technology Lab, мы разберем типовые архитектурные подходы к реализации аутентификации и авторизации в микросервисных системах, их преимущества и недостатки. И сделаем это для того, чтобы у архитекторов безопасности была возможность сфокусироваться на реализации требуемой модели, а не на многочасовых поисках нужной информации.

Привет, Хабр! В мобильной экосистеме Huawei есть несколько инструментов для отладки и проверки приложений: можно запускать автоматические тесты в облаке или дистанционно на устройствах Huawei, а также работать с группами пользователей. На облачной платформе DigiX Lab разработчики могут проверять стабильность работы, производительность, уровень энергопотребления и совместимость своих приложений с устройствами нашего бренда в режиме эмулятора. Сервисы A/B- и открытых тестов помогают понять реакцию аудитории и получить обратную связь. Под катом я расскажу о возможностях этих сервисов и о том, как начать в них работать.