Как стать автором
Обновить
121
0
Сергей Васильев @SergVasiliev

Software developer

Уязвимость XXE в .NET 6 SDK: с чем боролись…

Уровень сложности Средний
Время на прочтение 10 мин
Количество просмотров 6.1K


Современный .NET даёт разработчикам защиту от XXE из коробки: парсишь себе XML и не забиваешь голову всякими DTD, сущностями и связанной с ними безопасностью. Разве не прекрасно? Однако жизнь — штука с иронией...


Под катом — разбор по кусочкам XXE из .NET 6 SDK: код, причины дефекта безопасности, фикс.

Читать дальше →
Всего голосов 20: ↑20 и ↓0 +20
Комментарии 10

Изучаем подозрительные места в коде AWS SDK для .NET

Уровень сложности Простой
Время на прочтение 13 мин
Количество просмотров 2K

1057_AWS_SDK_NET_ru/image1.png


Сегодня под нашим скальпелем оказался проект AWS SDK для .NET. Мы посмотрим на подозрительные места из исходного кода, разберёмся, что в них происходит, и попробуем воспроизвести некоторые проблемы. Заваривайте кофе и устраивайтесь поудобнее.

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

Уязвимость XSS в приложении ASP.NET: разбираем CVE-2023-24322 в CMS mojoPortal

Время на прочтение 9 мин
Количество просмотров 2.2K

1054_XSS_mojoPortal_ru/image1.png
В этой статье изучим с разных сторон уязвимость XSS в CMS, написанной на C#. Вспомним теорию, разберёмся, как дефект безопасности выглядит со стороны пользователя и кода, а также поупражняемся в составлении эксплойтов.

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 2

Снятся ли разработчикам безопасные приложения?

Уровень сложности Простой
Время на прочтение 2 мин
Количество просмотров 1.1K

1047_DoDevelopersDreamOfSecurity_ru/image1.png


Волнует ли разработчиков безопасность кода? Для меня вопрос открыт. Эта статья — своего рода опрос: хочу собрать мнения как разработчиков, так и специалистов по безопасности.


Поможете?

Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 9

Парсинг string в enum ценой в 50 Гб: разбираем уязвимость CVE-2020-36620

Уровень сложности Средний
Время на прочтение 6 мин
Количество просмотров 4.4K

1038_CVE_EnumStringValues_ru/image1.png


В этой заметке разберём уязвимость CVE-2020-36620 и посмотрим, как NuGet-пакет для конвертации string в enum может сделать C# приложение уязвимым к DoS-атакам.

Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Комментарии 11

Изменения в PVS-Studio, о которых полезно знать

Время на прочтение 8 мин
Количество просмотров 1.2K

1029_ChangesPer3Years_ru/image1.png


В этой статье расскажу о том, что появилось в PVS-Studio за последние три года, и чем это полезно пользователям анализатора. Статья модульная: можно не читать от начала до конца, а посмотреть только те части, которые интересны.

Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Комментарии 3

Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности

Время на прочтение 12 мин
Количество просмотров 3.2K

_SAST_Under_The_Hood_ru/image1.png
Сегодня речь о том, как SAST-решения ищут дефекты безопасности. Расскажу, как разные подходы к поиску потенциальных уязвимостей дополняют друг друга, зачем нужен каждый из них и как теория ложится на практику.


Статья написана на основе доклада "Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности" с TechLead Conf 2022. Содержимое адаптировано для читаемости: что-то сокращено, что-то модифицировано.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

PVS-Studio 7.22: Visual Studio Code, Qt Creator, .NET 7

Время на прочтение 3 мин
Количество просмотров 1.8K

1016_Release_7_22_ru/image1.png


Вышел новый релиз PVS-Studio — 7.22. В него вошли плагины для Visual Studio Code и Qt Creator, поддержка анализа проектов на .NET 7, доработки механизма Best Warnings, новые диагностики и не только. Подробности описали в этой заметке.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 9

.NET 7: разбираем ошибки и подозрительные места в исходниках

Время на прочтение 13 мин
Количество просмотров 4.8K

1015_NET7_Errors_ru/image1.png


.NET 7 зарелизился. Это хороший повод покопаться в исходниках, чтобы поискать ошибки и странные места. За комментариями по находкам обратимся к самим разработчикам .NET — кому знать код, как не им? Погнали!

Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Комментарии 11

PVS-Studio: 2 фишки для быстрого старта

Время на прочтение 3 мин
Количество просмотров 640

1013_2Features_ru/image1.png


В этой заметке расскажу, как легко начать использовать PVS-Studio. Рассмотрим два сценария: когда вы пробуете анализатор впервые и когда внедряете его в проект.

Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 0

PVS-Studio 7.21: GitLab Code Quality, Unreal Engine

Время на прочтение 4 мин
Количество просмотров 1.3K

1000_Release_7_21_ru/image1.png


Вышел новый релиз PVS-Studio – 7.21. В этой заметке описали основные улучшения анализатора и собрали материалы от нашей команды, вышедшие в последнее время: статьи, опросы и записи докладов с конференций.

Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Комментарии 5

Сортировки в C#: OrderBy.OrderBy или OrderBy.ThenBy? Разбираемся, что эффективнее и почему

Время на прочтение 15 мин
Количество просмотров 11K

Предположим, есть задача: нужно отсортировать коллекцию по нескольким ключам. В C# это можно сделать с помощью вызовов OrderBy().OrderBy() или OrderBy().ThenBy(). Но в чём разница между этими вызовами? Чтобы ответить на этот вопрос, придётся покопаться в исходниках.


0991_OrderBy_ThenBy_ru/image1.png


Статья состоит из трёх основных разделов:


  • Предыстория. Для тех, кто любит затравки. История о том, откуда вообще возникла идея провести исследование и изучить, в чём разница между OrderBy().OrderBy() и OrderBy().ThenBy().
  • Сравнение эффективности. Изучаем отличия типов сортировок с точки зрения производительности и потребления памяти.
  • Отличия в поведении. Погружаемся в исходники .NET и разбираемся, из-за чего возникают отличия в эффективности работы рассматриваемых способов сортировки.
Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Комментарии 12

PVS-Studio 7.20: Unreal Engine, SAST, SCA

Время на прочтение 3 мин
Количество просмотров 1.4K

0980_Release_7_20_ru/image1.png


В этом пресс-релизе пробуем новый формат: основная информация кратко изложена в одном разделе. Если интересны детали, есть разделы с более подробным описанием. Выбирайте то, что вам ближе.

Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

PVS-Studio 7.19: что новенького?

Время на прочтение 4 мин
Количество просмотров 1.1K

0958_Release_7_19_ru/image1-d83377c0bb97c038f744bf28d7ca8a35.png


Недавно вышла новая версия PVS-Studio – 7.19. В этой заметке расскажем, что нового появилось в анализаторе, какие разделы документации мы улучшили; кроме того — что почитать, посмотреть и… во что поиграть.

Читать дальше →
Всего голосов 5: ↑3 и ↓2 +1
Комментарии 0

Зачем нужен статический анализ? Разбираем на примере ошибки из Akka.NET

Время на прочтение 2 мин
Количество просмотров 4.1K

0940_AkkaNET_Error_ru/image1.png


"Статический анализ нужно использовать регулярно, а не только перед релизами… Чем раньше найдена ошибка, тем дешевле её исправление..." – вы уже слышали это 100 раз. Сегодня ещё раз ответим на вопрос "зачем?". Поможет нам ошибка из проекта Akka.NET.

Читать дальше →
Всего голосов 13: ↑10 и ↓3 +7
Комментарии 0

Место SAST в Secure SDLC: 3 причины внедрения в DevSecOps-пайплайн

Время на прочтение 7 мин
Количество просмотров 1.9K

0937_SAST_In_SSDLC_ru/image1.png


Репутационные и денежные риски, связанные с уязвимостями, огромны. На фоне этого понятен повышенный интерес к безопасности и стремление выстроить цикл безопасной разработки (SSDLC). Сегодня мы поговорим об одном из подходов, используемых в SSDLC, – SAST.

Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 5

PVS-Studio 7.18: обновления и улучшения

Время на прочтение 4 мин
Количество просмотров 1.1K

0934_Release_7_18_ru/image1.png


Мы выпустили новый релиз PVS-Studio – 7.18. В этой заметке расскажем, как развиваем security-направление, зачем нужна новая система типов в C++ анализаторе, как улучшили анализ кода для embedded-систем и не только.

Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Комментарии 6

Подозрительные сортировки в Unity, ASP.NET Core и не только

Время на прочтение 5 мин
Количество просмотров 4.8K

0928_OrderBy_Errors_ru/image1.png
Есть мнение, что опытные разработчики не допускают простых ошибок. Ошибки сравнения? Разыменования нулевых ссылок? Нет, это точно не про нас… ;) Кстати, а что насчёт ошибок сортировки? Как вы уже поняли из заголовка, с этим тоже есть нюансы.

Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Комментарии 9

Почему моё приложение при открытии SVG-файла отправляет сетевые запросы?

Время на прочтение 8 мин
Количество просмотров 15K

0923_SVG_XXE_ru/image1.png


Вы решили сделать приложение, работающее с SVG. Набрали библиотек, запаслись энтузиазмом, и в итоге всё удалось. Но вот незадача! Внезапно вы обнаруживаете, что приложение отправляет странные сетевые запросы. Кроме того, с хост-машины утекают данные. Как же так?

Читать дальше →
Всего голосов 82: ↑82 и ↓0 +82
Комментарии 14

Why does my app send network requests when I open an SVG file?

Время на прочтение 8 мин
Количество просмотров 2.1K

0923_SVG_XXE_ru/image1.png


You decided to make an app that works with SVG. Encouraged by the enthusiasm, you collected libraries and successfully made the application. But suddenly you find that the app is sending strange network requests. And data is leaking from the host-machine. How so?

Read more →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Информация

В рейтинге
Не участвует
Откуда
Россия
Дата рождения
Зарегистрирован
Активность

Специализация

Software Developer
C#
.NET
Editorial and proofreading
Public performance
Information Security
Software development
SAST / DAST