Прошло почти полгода с момента предыдущего релиза Dependency‑Track v4.11 (о котором мы также писали в этой статье). 1 октября вышел новый релиз Dependency‑Track v4.12.0, а на днях — релиз v4.12.1. Мы опробовали новый функционал и готовы рассказать о тех изменениях, которые показались нам наиболее интересными.
Этот релиз в основном был посвящен работе с тегами. Также был добавлен новый интерфейс для работы с нарушениями политик и, изменены правила работы с API. Но обо всем по порядку.
Привет, Хабр! Сегодня я расскажу, как безопасность мобильных приложений видит атакующий. Мне кажется, у многих в комьюнити сложилось мнение о мобильной безопасности как о чем-то сложном и неважном для бизнеса. Я разберу несколько реальных кейсов, когда баги в мобильных приложениях вели к серьезным проблемам, и попробую доказать, что уязвимости могут быть нетривиальны и интересны людям, занимающимся безопасностью.
Как часто анализировать проект? Сколько анализаторов использовать? Как размечать полученные предупреждения? Отвечаем на эти и другие вопросы, разбираясь в подробностях свежего ГОСТ Р 71207–2024, посвящённого статическому анализу.
Вернемся к июлю 2023 года: вместе с Мохаммадом Никуи мы решили посвятить 100 часов работе над публичной программой Bug Bounty на платформе BugCrowd. Мы занимались ею неполный рабочий день, уделяя по 4–6 часов ежедневно. Выбрали программу от известной и крупной компании. Поскольку она была общедоступной, в программе уже успели поработать многие именитые охотники на уязвимости, что сразу отпугнуло бы многих новичков. Мы не заявляем, что относим себя к профессионалам, однако наш подход и мышление дали нам шанс работать с этой программой. Для нас это был серьезный вызов: результатом мы считали не размер вознаграждения, а сам процесс обучения и работы. Поэтому мы определили срок в 200 часов, вместо того чтобы ориентироваться на сумму выплат.
Причиной написания этого поста стали разнообразные техники, которые мы использовали в процессе охоты. Мы хотим поделиться своим подходом и техническими деталями как для начинающих, так и для специалистов среднего уровня.
На прошлой неделе в Индонезии прошла очередная конференция по кибербезопасности Security Analyst Summit, организованная «Лабораторией Касперского». Один из ключевых докладов конференции был посвящен истории обнаружения уязвимости нулевого дня в браузере Google Chrome еще в мае этого года. С помощью уязвимости атаковались посетители веб-сайта онлайн-игры, использующей инструменты децентрализованного финансирования. Подробный анализ двух уязвимостей, приводящих к выполнению произвольного кода на компьютере жертвы, также был опубликован на сайте Securelist.
Анализ эволюции и перспектив развития интерфейсов для гармоничного сотрудничества человека и искусственного интеллекта.
В статье рассмотрим нестандартное решение задания с Кубка CTF 2024 на бинарную эксплуатацию – “R4v5h4n N Dj4m5hu7” и обойдем проверку реального пути к файлу c помощью filesystem race condition
Что такое аналоги электронных подписей ?
Как происходит аутентификация и авторизация в веб-сервис и в чем их разница ?
Альтернативы Adobe Acrobat позволяют создавать, редактировать и обмениваться PDF-файлами. Какое отечественное решение для этого подойдет?
Указ Президента России № 166 от 30.03.2022 о переходе на российское программное обеспечение устанавливает требование государственным органам и госзаказчикам с 1 января 2025 года использовать отечественное ПО на объектах критической информационной инфраструктуры.
Решение принято с целью импортозамещения программного обеспечения и повышения безопасности и независимости от зарубежных технологий.
Несколько дней назад Anthropic выпустила Claude Computer Use, который представляет собой модель + код, позволяющий ИИ управлять компьютером. Он делает скриншоты для принятия решений, может выполнять команды bash и так далее.
Это круто, но, очевидно, несёт и массу рисков, ведь Claude Computer Use позволяет искусственному интеллекту автономно выполнять команды на машинах. А значит, можно использовать промпт-инъекции (prompt injection).
Консорциум по качеству информации и программного обеспечения (CISQ) запустил опрос «Состояние отрасли» - первое комплексное исследование анализа качества программного обеспечения. В этой статье перевод части результатов опроса - раздела "Инженерия". Во второй части будет перевод оставшихся двух разделов - "Системные интеграторы", "Управление поставщиками".
Сегодня был выпущен мажорный релиз v2rayN v7.0, а вместе с ним и моя серия коммитов, которые добавляют поддержку пресета "Россия".
Для его работы так же был создан российский источник geo файлов для v2ray/sing-box/etc.
Мы начали с текстовой CAPTCHA и пришли к простой галочке, которую нужно поставить, совершенствуя систему после каждого сбоя.
Вы заходите на сайт, чтобы купить билеты на самолет. Перед тем как нажать кнопку «Отправить», вам нужно поставить галочку в поле с вопросом: «Вы не робот?»
На первый взгляд это выглядит как ирония. Почему мне нужно подтверждать, что я человек, да еще и перед компьютером?
И даже если я поставлю эту галочку, как это доказывает, что я человек? Ведь робот тоже может поставить галочку, не так ли?
Несколько месяцев назад я получил приглашение участвовать в частной программе bug bounty на платформе HackerOne. Сначала я провел свои обычные тесты и обнаружил различные уязвимости, такие как недостаток управления доступом (BAC), утечка авторизационных токенов других пользователей и т.д.
После того как я сообщил об этих уязвимостях программе, я заметил, что XSS считается вне области покрытия согласно их политике. Бизнес программы заключался в том, чтобы предоставлять услуги по созданию систем управления контентом и конструкторов веб-сайтов. При создании аккаунта, пользователи получают уникальный поддомен вида <YOUR-SUB>.target.com, который они могут настраивать.
Учитывая структуру приложения, XSS был ограничен возможностью воздействия только на собственный поддомен, и программа исключила XSS на <YOUR-SUB>.target.com из области покрытия. Это подтолкнуло меня к поиску уязвимости self-XSS и попытке связать ее с другой уязвимостью, чтобы показать более серьезные последствия.
Мне удалось найти несколько цепочек XSS, которые увеличивали ее воздействие. Поскольку на данный момент только одна цепочка была подтверждена, я напишу отчет только о ней. Когда остальные отчеты будут решены, я планирую опубликовать отдельные материалы для каждой из них. Теперь давайте перейдем к самой истории.
Найти self-XSS не заняло много времени.
Статья посвящена межсетевым экранам (МЭ) в 2024 году, их функционалу, архитектуре, и ключевым параметрам. Автор рассматривает функциональные возможности присущие межсетевым экранам на момент 2024 года без привязки к конкретным производителям. В статье рассмотрена архитектура и аппаратные компоненты, такие как процессоры, сетевые карты, оперативная память, и аппаратные ускорители, которые влияют на производительность. Особое внимание уделено реализации в МЭ задач позволяющих обеспечить надежность и управляемость решений.
Привет, уважаемый читатель!
В рамках данной статьи мы узнаем:
* Какие API уязвимости есть в VAmPI?
* Из-за чего эти уязвимости существуют и эксплуатируются?
* Какие есть способы защитить веб-приложение?
* Какой есть дополнительный материал для самостоятельного изучения?
Ссылка на GitHub VAmPI: https://github.com/erev0s/VAmPI
«Безопасный код» — понятие широкое. Так что по названию онлайн-конференции SafeCode 2024 может быть непонятно: о чём пойдёт речь в докладах? Для кого это будет?
Для начала стоит подчеркнуть, что конференция не просто «о безопасности», а конкретно «о безопасности приложений». То есть из множества вещей, связанных с security, здесь речь о тематике application security. Какие принципы обеспечения безопасности должны применяться на каждом этапе разработки ПО?
И это конференция не «для безопасников», а «для всех, кто связан с циклом разработки ПО»: ответственных разработчиков, тестировщиков, системных и бизнес-аналитиков, security-чемпионов, DevOps и SRE.
А поскольку конференция уже на следующей неделе, её программа полностью готова. Так что мы публикуем её, и можете просто прочитать описания докладов в этом хабрапосте — вот тогда станет совсем ясно, о чём это и интересно ли вам лично.
В МойОфис мы разрабатываем iOS- и Android-приложения цифрового рабочего пространства Squadus с помощью кроссплатформенного фреймворка React Native. В функциональность нашего приложения входит загрузка и отправка различных вложений другим пользователям.
В какой-то момент мы получили фидбек, что пользователи с Android не могут отправить медиафайлы и посмотреть превью. Наши доблестные QA-инженеры выяснили, что проблема напрямую связана с тем, какая именно версия Android стоит у пользователей. Сложности начинались с версии 13 — оказалось, что Android добавил новые Permissions для повышения безопасности приложений.
Под катом рассказываю, как работают новые Permissions, как Android рекомендует реализовывать запрос к пользователю, и каким образом наша команда решила проблемы при реализации новых разрешений. Думаю, наш опыт будет интересен специалистам, погруженным в тему Permissions на Android, да и вообще всем React Native и Android разработчикам, так как особенности версионирования разрешений будут жить с нами ещё долго.
Всем привет! В блоге центра исследования киберугроз Solar 4RAYS мы продолжаем делиться результатами расследований инцидентов, полезными инструментами для ИБ-специалистов и другими практическими материалами, часть которых мы размещаем и здесь.
Сегодняшняя статья от специалистов нашего отдела анализа защищенности «Солара» посвящена разработанному ими ПО для поиска и верификации уязвимостей.
Нам в отделе анализа защищенности довольно часто приходится искать и эксплуатировать уязвимости, которые, на первый взгляд, сложно выявить. Например, практически ни один проект не обходится без Blind-SSRF или Out-Of-Bound XXE, встречаются даже Blind-RCE. В этом материале мы расскажем о инструменте, который поможет пентестерам значительно упростить обнаружение разного типа уязвимостей. Но обо всем по порядку.
