Тестирование веб-сервисов *

Группа исследователей из Грацского технического университета разработала метод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.

Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.

SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.

Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.

Источник: OpenNET.

Команда развиваемого с нуля свободного веб-браузера Ladybird объявила о получении пожертвования размером в $1 млн от Криса Ванстрата (Chris Wanstrath), сооснователя GitHub.

Ранее браузер Ladybird являлся компонентом SerenityOS, любительского проекта по разработке с нуля Unix-подобной операционной системы, который был основан Андреасом Клингом (Andreas Kling), ранее работавшим в Nokia и занимавшимся разработкой Safari. В июне 2024 года Клинг решил отделить проект браузера от проекта ОС, и полностью посвятить своё время его разработке.

Согласно сообщению на сайте проекта, Ванстрат и его семья решили пожертвовать $1 млн проекту для дальнейшего финансирования разработки, поскольку они верят в необходимость присутствия на рынке браузеров альтернативного проекта, который так или иначе не финансируется Google и не полагается на технологический стек Google Chrome или любого другого браузера.

Для управления разработкой Ванстрат и Клинг основывают некоммерческий фонд Ladybird Browser Initiative. Браузер создаётся на частные пожертвования, которые, однако, не позволят жертвователям контролировать процесс разработки и управления проектом (unrestricted donations). Отдельно оговаривается, что ни при каких обстоятельствах проект не будет участвовать в спонсорских сделках, условиями которых будет, к примеру, установка поисковой системы по умолчанию.

Проект ориентирован на поддержку операционных систем Linux и macOS, релиз для Windows не планируется.

Источник: OpenNET.

Приглашаю на вебинар компании Вебмониторэкс 28 июня в 12:00, посвященный предотвращению утечек API и новым функциям в продукте «ПроAPI Структура».

Ведущие вебинара - Антон Будник, инженер продаж и Сергей Одинцов, системный аналитик Вебмониторэкс.

На этом вебинаре раскроем темы:

О предотвращении утечек API:

• Основные методы взлома API

• Описание рисков утечки данных через API: ключевой вопрос кибербезопасности

• Изучение последствий взлома API

• Разбор крупных инцидентов утечек данных через API

• Методы защиты API с помощью компонента «Обнаружение утечек AP» продукта «ПроAPI Структура» платформы «Вебмониторэкс»

О новых функциях продукта «ПроAPI Структура»:

• Настройка чувствительности определения роута на трафике

• Очистка построенной структуры API

• Создание правил для параметров роута

Кому полезно:

• Специалистам, участвующим в разработке критичных для бизнеса веб-приложений

• Руководителям подразделений по информационной безопасности- Специалистам Application Security Почему полезно:

• Увидите пример реализации борьбы с утечками секретов и токенов на платформе «Вебмониторэкс»

• Увидите новые функции защиты API на платформе «Вебмониторэкс»

Регистрируйтесь по ссылке

Скорее подписывайся на специальный Telegram-канал, в котором команда Вебмониторэкс рассказывает все об API Security, Web Security, трендовых уязвимостях и публикует анонсы об изменениях в продуктах.

Некоммерческий удостоверяющий центр Let's Encrypt объявил о переходе на использование NTP-сервера ntpd-rs на языке Rust. Проект распространяется под лицензиями Apache 2.0 и MIT, полностью поддерживает протоколы NTP и NTS (Network Time Security) на уровне клиента и сервера, и может использоваться в качестве замены NTP-серверам chrony, ntpd и NTPsec.

Пакет ntpd-rs разработан в рамках проекта Prossimo, развивающегося под эгидой организации ISRG (Internet Security Research Group), которая является учредителем Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Помимо ntpd-rs проект также ведёт разработку TLS-библиотеки Rustls, DNS-сервера Hickory, обратного прокси River, утилиты sudo-rs и компонентов для ядра Linux на языке Rust.

Использование ntpd-rs повысит защищённость инфраструктуры Let’s Encrypt и снизит вероятность появления уязвимостей, вызванных ошибками при работе с памятью. Кроме того, безопасность и надёжность системы синхронизации точного времени важна, так как манипуляции злоумышленников с установкой неверного времени могут использоваться для нарушения безопасности протоколов, учитывающих время, таких как TLS и интерпретации данных о действии TLS-сертификатов.

Let's Encrypt ежедневно генерирует более четырёх миллионов новых сертификатов. Число активных сертификатов составляет 372 млн (сертификат действует три месяца).

Источник: OpenNET.

Состоялся релиз Tor Browser 13.5 с улучшенной защитой от Fingerprinting и обновлёнными настройками мостов (Bridge Settings).

Согласно пояснению разработчиков, в новой версии проекта переработаны карты мостов с улучшенными функциями общего доступа, метками источников и новым разделом для поиска дополнительных мостов. Функция «Запросить мост» стала более доступной.

Также проведёт редизайн ошибок на сайте Tor, чтобы они соответствовали другим сетевым ошибкам. Эта опция снижает путаницу среди пользователей.

Tor Browser 13.5 станет последней стабильной версией проекта, поддерживающей ОС Windows 8.1 и старше, а также macOS 10.14 и старше. Пользователям рекомендуется обновить свои системы, чтобы обеспечить постоянную конфиденциальность и безопасность.

Что изучить, чтобы погрузиться в A/B-тесты?

Хороший вопрос! На самом деле, материалов много, но найти «те самые» не так уж просто. В основном в тему погружает либо что-то «издалека», например, базовая статистика, либо уже материалы «продвинутого» уровня с массой формул. А вот так, чтобы прочитать что-то одно усредненное и сразу разобраться, увы, не выйдет.

Именно поэтому мы обратились за рекомендациями к Даше, нашему Senior product analyst. Лови ее рекомендации:

Курс «Основы статистики» от Анатолия Карпова
Это база! Курс знакомит с основными понятиями и методами математической статистики, а полученных знаний хватит для того, чтобы начать пробовать себя в тестированиях. 

Вебинары karpov.courses
Мне очень нравится, что у них много бесплатных полезных материалов,
где доступно, внятно и с примерами в коде рассказывают об аналитике в целом и про A/B-тесты в частности. 

Книга «Доверительное а/b-тестирование», Рон Кохави
Книга полезная, но прочесть ее целиком получится не у всех, поэтому ориенти-руйся по оглавлению и своему уровню. Главное, не повторяй моих ошибок и не читай ее в русском переводе. 

Блог Рона Кохави
90% цитат и новостей из мира A/B-тестирований в русскоязычном сегменте — это пересказ его блога ;-)

Telegram-канал EXPF
Почему-то довольно мало людей знает про этих ребят, а они очень крутые.
Но имей в виду, в канале публикуются статьи продвинутого уровня. 

Кстати, именно эту подборку Даша советует для изучения потенциальным кандидатам в свою команду ;-)

«Сбер» обновил стартовую страницу для входа в веб‑версию приложения «СберБанк Онлайн» и добавил ещё один способ входа — по номеру карты. Это упрощает процедуру работы с сервисами «Сбера» для тех пользователей, кто периодически забывает свой логин и пароль.

Таким образом, сейчас клиент «Сбера» может выбрать любой из трёх способов входа: по логину и паролю, по телефону или по номеру карты.

Кроме того, сам вид стартовой страницы веб‑версии стал более лаконичным, простым и удобным. Вместо кнопок «Изменить пароль» и «Восстановить доступ» появилась одна кнопка «Забыли логин или пароль?», которая ведёт на восстановление доступа по номеру карты или логину.

Ксения Баринова, директор дивизиона «СберБанк Онлайн» Сбербанка:

«Мы развиваем не только мобильное приложение, но и веб-версию "СберБанк Онлайн". Сегодня веб-версией ежемесячно пользуются 5,5 млн человек, поэтому мы продолжим улучшать её, чтобы всем нашим клиентам было удобнее и проще получать доступ к привычным сервисам с телефона, компьютера или планшета».

Самый сытный сбой в мобильном приложении: пользователь заказал два комбо в Burger King, а ему привезли... двести пакетов с заказами. Всё из-за бага в мобильном приложении. В компании клиенту принесли извинения и разрешили оставить всю еду себе. Другие пользователи сообщили, что это не единственный случай такой ошибки в доставке Burger King.

Сервис мониторинга производительности web-сайтов DebugBear опубликовал результаты анализа влияния браузерных дополнений на производительность и комфорт работы пользователей.

В ходе исследования протестировано 5000 наиболее популярных дополнений к Chrome. При тестировании оценивалась нагрузка на ЦП, объём загружаемых данных, скорость загрузки страниц, задержки при взаимодействии пользователя с веб-страницами и расходование дискового пространства.

Выводы по тестам:

• использование дополнений с блокировщиками рекламы снижает нагрузку на ЦП, уменьшает объём загружаемых данных и уменьшает потребление памяти;

• при оценке экономии трафика при включении блокировщиков, наилучшие показатели продемонстрировал uBlock Origin, который позволил снизить размер загружаемых данных на протестированных сайтах в среднем с 41 МБ до 3 МБ;

• в тестах влияния дополнений на потребление памяти наилучшие результаты оказались у дополнения DuckDuckGo Privacy Essentials. При использовании AdBlock Plus расход памяти увеличился;

• из 336 дополнений, имеющих более 1 млн пользователей, 11 приводили к увеличению нагрузки при обработке каждой страницы более чем на 0.5 с времени ЦП. Худшие показатели отмечены у дополнения Monica;

• 86% из протестированных дополнений создавали минимальную (менее 50 мс) нагрузку на ЦП, 5.2% дополнений создавали нагрузку от 50 до 100 мс процессорного времени, 4.4% - от 100 до 250 мс, 2.4% - от 250 до 500 мс, 1.7% - более 500 мс.

Источник: OpenNET.

17 мая 2024 года журнал «Хакер» в качес­тве экспе­римен­та и в рамках празднования 25-летия своей продуктивной деятельности запус­тил на своём сайте хакер­ский квест, который по задум­ке дол­жен занять энтузиастов и профильных IT-специалистов на этих выход­ных.

Это наш пер­вый опыт в орга­низа­ции таких квес­тов, поэто­му слож­ность и требуемое на решение вре­мя мы можем оце­нить толь­ко при­мер­но. Начинать мож­но имея лишь базовые навыки, а до кон­ца дол­жны дой­ти лишь самые стойкие.

Пер­вого про­шед­шего квест ждёт глав­ный приз (какой — пока сек­рет), пер­вую десят­ку — при­зы помень­ше.

Сра­зу пре­дуп­режда­ем, что в пла­не нас­тупатель­ной безопас­ности квест пред­полага­ет толь­ко раз­ведку. Если у тебя вдруг получит­ся что‑то взло­мать, то про­сим ничего не тро­гать и зарепор­тить своё дос­тижение, написав в Telegram ответс­твен­ному (@electric_panda).

Твое пер­вое задание — най­ти начало квес­та. Уда­чи в про­хож­дении!

10 мая 2024 года Cloudflare представила второй публичный релиз открытого проекта Pingora v0.2.0. Это асинхронный многопоточный фреймворк на Rust, который помогает создавать прокси-сервисы HTTP. Проект используется для создания сервисов, обеспечивающих значительную часть трафика в Cloudflare (вместо применения Nginx). Исходный код Pingora опубликован на GitHub под лицензией Apache 2.0.

Pingora предоставляет библиотеки и API для создания сервисов поверх HTTP/1 и HTTP/2, TLS или просто TCP/UDP. В качестве прокси-сервера он поддерживает сквозное проксирование HTTP/1 и HTTP/2, gRPC и WebSocket. (Поддержка HTTP/3 — в планах). Pingora также включает в себя настраиваемые стратегии балансировки нагрузки и аварийного переключения. Чтобы соответствовать требованиям и безопасности он поддерживает как широко используемые библиотеки OpenSSL, так и BoringSSL, которые соответствуют требованиям FIPS (федеральных стандартов обработки информации США) и пост-квантового шифрования.

Изменения в новой версии:

• добавлена поддержка установки фильтров для дополнительных заголовков HTTP/2;

• добавлена возможность изменения размера буфера входящих пакетов для TCP;

• добавлена функция body_bytes_read();

• добавлен фильтр cache_not_modified_filter;

• добавлена возможность ведения лога TLS-ключей;

• добавлена callback-функция purge_response.

В рабочем режиме Pingora обеспечивает плавный перезапуск без простоев для самостоятельного обновления, не теряя ни одного входящего запроса.

«Тинькофф» приглашает в апреле на Tinkoff CTF (Capture the Flag) — ежегодные международные соревнования по спортивному хакингу для IT-специалистов.

Принять участие в онлайн- и офлайн-формате (в центрах разработки «Тинькофф») могут как эксперты в теме ИБ, так и разработчики, SRE, QA-инженеры, аналитики и другие специалисты.

Мероприятие в этом году пройдёт 20 и 21 апреля в 16 городах России, Беларуси и Казахстана.

В основе Tinkoff CTF лежит механика соревнований по спортивному хакингу с заданиями, построенными на современных мемах и отсылках к массовой культуре. В прошлом году Tinkoff CTF собрал более 6800 участников в разных городах России и Беларуси.

Маскот текущих соревнований — капибара (одно из самых популярных животных в массовой культуре за последние годы). Также в этом году новым символом соревнований стал Гиперкуб, тайну которого предстоит разгадать участникам. На каждой его грани — загадки из других миров, которые необходимо разгадать командам.

Например, командам предстоит:

— найти вирус на сайте любителей окрошки и восстановить исходную рецептуру;

— усмирить сверхразумного Кота Да Винчи;

— помочь Шерлоку восстановить взломанную базу и найти всех преступников и многое другое.

В основе всех сценариев — задания на веб-безопасность, безопасность мобильных приложений, инфраструктуры, криптографию и общие задания на хакерский кругозор и смекалку. За правильные решения участники будут получать достижения и очки. Победят команды, которые наберут максимум очков.

Фразу «Сомнительно, но окэй» от Олега Тинькова (признан в РФ иностранным агентом) в английском варианте предложили увековечить в HTTP-статусе: HTTP 267 Doubtful But Okay.

Эта идея пришла разработчику MaximAL. Публикация на GitHub.

Такой статус ответа веб-сервера или приложения означает, что параметры (URL или данные) запроса имеют сомнительную семантику (возможно, клиентом переданы противоречивые данные), но, тем не менее, запрос принят и обработан.

Состоялся релиз системы для создания отказоустойчивых рабочих процессов Restate 0.8. Код проекта опубликован на GitHub под лицензией Put Restate under Business Source License от Restate Software.

Согласно пояснению разработчиков проекта, Restate отлично подходит для создания:

• рабочих процессов типа Lambda как код (Lambda Workflows as Code);

• транзакционных обработчиков RPC;

• обработки событий с помощью Kafka.

В версии Restate 0.8 разработчики уделили большое внимание доработке API, учтя отзывы пользователей, чтобы уменьшить трудности при создании сервисов Restate. Также там добавлены комбинаторы промисов (Promise combinators), которые позволяют детерминированно комбинировать промисы. Например, если вы хотите дождаться вызова службы A или вызова службы B, то Restate позаботится о записи того, какой из промисов был выполнен первым, и в конечном итоге воспроизведёт этот выбор, когда это необходимо. В новой версии проекта доступны все комбинаторы стандартной библиотеки JavaScript.

Как передать 'enableVNC': True для selenoid при вызове webdriver.Remote на Python Selenium 4 и выше

На Selenium до 4 версии у webdriver.Remote был параметр desired_capabilities, который принимал словарь с настройками браузера для удалённого вызова.

Но начиная с версии 4 этот параметр устарел и перестал поддерживаться, вместо него теперь - options. И в них можно встроенными методами класса передать название браузера или его версию, но вот 'enableVNC': True потерялся.

Selenoid стал хитро поддерживать его на своей стороне через передачу разных параметров в словарике с ключом 'selenoid:options'. В нём можно передать и разрешение браузера по необходимости.

А теперь, собственно, сабж

from selenium import webdriver

webdriver.DesiredCapabilities.CHROME['selenoid:options'] = {'enableVNC': True}
options = webdriver.ChromeOptions()
driver = webdriver.Remote(command_executor=remote_server, options=options)

Разработчики анонимной сети Tor опубликовали результаты второго аудита со стороны Radically Open Security с апреля по август 2023 года (до этого с ноября 2022 года по апрель 2023 года компанией Cure53 проводился первый аудит). Проверка затронула код для обеспечения работы выходных узлов, браузер Tor Browser, компоненты инфраструктуры (сбор метрик, SWBS, API Onionoo) и утилиты для тестирования.

Основной задачей повторной проверки была оценка изменений, внесённых для повышения скорости и надёжности сети Tor, таких как добавленный в выпуске Tor 0.4.8 протокол разделения трафика Conflux и методы защиты Onion‑сервисов от DoS‑атак на основе доказательства выполнения работы.

В ходе аудита были выявлены 17 уязвимостей. Одна из них отнесена к категории опасных. Четырём уязвимостям присвоен средний уровень опасности, а 12 отнесены к проблемам с незначительным уровнем опасности. Наиболее опасная уязвимость выявлена в приложении onbasca (Onion Bandwidth Scanner), применяемом для сканирования пропускной способности узлов сети.

Уязвимость вызвана возможностью отправки запросов через HTTP-метод GET, позволяющих выполнить подстановку межсайтовых запросов от лица другого пользователя (CSRF, Cross-Site Request Forgery), что даёт атакующему возможность добавить свои мостовые узлы в БД через манипуляцией с параметром bridge_lines.

Источник: OpenNET.

Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности данных за 2022-2023 годы и выяснила:

• около 60% проектов по анализу защищенности реализуется в рамках
  двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от
  1 млн до 2 млн рублей (37%);

• по сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%;

• услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и IT-компаний (28,8%).

ИБ-эксперты отметили спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний. Также растет спрос на анализ защищенности в режиме «белого ящика». Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность.

Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.

Опубликованы результаты исследования поддержки кириллических адресов электронной почты наиболее популярными в РФ информационными ресурсами в рамках изучения готовности популярных сайтов к корректной работе с различными видами кириллических e-mail-адресов: содержащих символы кириллицы юникода в локальной части адреса (до знака @) и/или кириллические доменные имена российской национальной доменной зоны (после знака @).

По результатам исследования, уровень принятия ресурсами полностью или частично кириллических e-mail-адресов, демонстрирующий корректность работы форм ввода сайта, составил:

• 44% сайтов успешно принимают e-mail-адреса с латинскими символами в локальной части адреса и кириллическим доменным именем (вида ascii@юникод.юникод);

• 34% сайтов успешно принимают e-mail-адреса с кириллической локальной частью и доменным именем на латинице (вида юникод@ascii.ascii);

• 29% сайтов успешно принимают полностью кириллические e-mail-адреса (вида юникод@юникод.юникод).

Уровень подтверждения полностью или частично кириллических e-mail-адресов, демонстрирующий корректность работы почтовых сервисов, составил:

• 37% сайтов успешно отправляют письма на e-mail-адреса с латинскими символами в локальной части и кириллическим доменным именем;

• 3% сайтов успешно отправляют письма на e-mail-адреса с кириллической локальной частью и доменным именем на латинице;

• 3% сайтов обеспечивают корректную работу со всеми видами кириллических адресов: успешно принимают и отправляют подтверждения на такие адреса.

❓100 Вопросов по Машинному обучению (Machine Learning) - Вопрос_8

?Вопрос_8: Какие алгориммы поиска аномалий в данных существуют и чем они отличаются ?

✔️Ответ:

• DBSCAN (Density-Based Spatial Clustering of Applications with Noise) - алгоритм кластеризации данных, который основывается на плотностной информации о расположении объектов. Он определяет кластеры как плотные области в пространстве признаков, разделенные областями разреженности;

• LOF (Local Outlier Factor): LOF также использует информацию о плотности для обнаружения аномалий. Он вычисляет локальный коэффициент выброса для каждого объекта, основываясь на плотности окрестности данного объекта по сравнению с плотностью окрестности его соседей. Значения LOF выше единицы указывают на аномальные объекты;

• Isolation Forest использует случайные деревья для изоляции аномалий. Он строит ансамбль изолирующих деревьев, разделяя объекты по случайным разделениям до тех пор, пока каждый объект не будет изолирован в отдельном листе. Аномалии обычно требуют меньшего числа разделений для изоляции, и поэтому имеют более короткий путь в дереве;

• One-Class SVM (Support Vector Machines): One-Class SVM - алгоритм, который строит модель только для "нормальных" данных. Он пытается найти гиперплоскость, которая наилучшим образом разделяет нормальные данные от выбросов в пространстве признаков. Объекты, находящиеся далеко от этой гиперплоскости, считаются аномалиями.

  https://t.me/DenoiseLAB

21 сентября Артур Кашбуллин, Исполнительный директор блока качества РСХБ‑Интех, выступит на Testify — новом формате онлайн‑митапов от Test IT об особенностях тестирования ПО в разных сферах бизнеса.

В рамках доклада «Как отчетность нам жить помогает» Артур поделится опытом использования управленческой и оперативной отчетности, расскажет, какие метрики в них используются, затронет вопросы текущих задач подразделения и не только.

Вместе с Артуром в рамках первого Testify выступят:

• Карим Аминов из Test IT с докладом, как «дирижировать оркестром» релизной команды в крупных банках.

• Анастасия Шевченко из «Винвестора» с докладом об основных моментах оптимизации процесса разработки нового модуля для личного кабинета юридических лиц в рамках поддержки действующего проекта.

Для регистрации на бесплатный онлайн‑митап необходимо пройти по ссылке.