Друзья, добрый день.

Мы недавно столкнулись с одним любопытным исследованием, проведенным Yandex на предмет распределения долей на рынке Платежных агрегаторов и платежных систем. Если честно, пребываем в легком недоумении, т.к. данные в этом исследовании, мягко говоря, от наших отличаются. Мы, конечно, несравнимо меньше, чем Яндекс, и оперируем несоизмеримо меньшими статистическими данными. Но привыкли думать, что некой репрезентативностью наши цифры все же обладают. А если верить Yandex, то наши цифры вообще не отражают действительность.

Мы рады представить Вам очередную статью из нашей серии о безопасности Web-приложений для непрограммистов и начинающих разработчиков, плохо понимающих проблематику. В этой статье мы поговорим о важности фильтрации данных и таком распространенном и очень опасном типе уязвимостей, как инъекции.

Все системы (сложные и не очень) хранят большое количество данных и различных объектов. Например объектов бизнес-логики, таких как учетные записи пользователей, счета в системе, транзакции, записи журналов операций, и т.д.

Для того, чтобы к этим объектам можно было обращаться, каждый из них, в том или ином виде, имеет свой уникальный идентификатор. Кроме того, объекты могут содержать произвольные наборы полей. Все поля также имеют свои уникальные имена или идентификаторы.

Все эти объекты, и не только эти, хранятся в таблицах, где каждая строка – 1 объект.

Например, объект «Клиент» может иметь следующий набор полей: id, имя, фамилия, e-mail, мобильный телефон, и храниться в таблице вида:

Дорогие читатели! Сегодня за утренним кофе мы столкнулись с новым, довольно оригинальным способом мошенничества в интернете. При очередной проверке почты обнаружилось интересное письмо:



Из него следует, что срок регистрации принадлежащего мне домена истек вчера и мне надо его оплатить. Письмо выглядит правдоподобно, есть мои данные (которые, впрочем, общедоступны во WHOIS), не считая того факта, что я знаю своего регистратора, и знаю что 75$ в год домен в зоне .com точно не стоит.

Хабр, привет! Мы — Иван Притула и Дмитрий Агапитов, занимаемся разработкой решений, которые делают жизнь людей проще и комфортнее. Сегодня мы хотим представить один из наших новых сервисов – это платежный агрегатор SimplePay. Все что мы делаем продиктовано мучительной невозможностью мириться с несовершенством в целом, и несовершенством конкретных программных решений в частности. Именно в погоне за совершенством и рождаются наши продукты. Стараемся мы изо всех сил, а уж насколько мы близки, судить не нам.

Чтобы Всем было интереснее, мы не будем рекламировать свой сервис (ну если только чуть-чуть). Вместо этого, мы подготовили первую серию публикаций, которая будет посвящена такой увлекательной и крайне актуальной теме, как безопасность Web-приложений. Мы постараемся раскрыть опасности, сопутствующие любому действующему интернет-проекту и простым языком донести всю важность ответственного подхода к рутинным, казалось бы, мелочам в вопросах безопасности данных. Надеемся наши статьи будут не бесполезны для Вас. Уверены, так Вы узнаете нас гораздо лучше.