Главная » Архив меток: security

Архив меток: security

Зоопарк AFL фазеров

Но в данной статье речь пойдет не о классическом AFL, а о вспомогательных утилитах для него и его модификациях, которые, на наш взгляд, могут значительно улучшить качество фаззинга. На Хабре уже пару раз появлялись статьи, поднимающие тему American Fuzzy Lop (AFL) (1,2). Если вам интересно узнать, как можно прокачать AFL и искать быстрее и больше уязвимостей, то добро пожаловать под ...

Читать далее »

Безопасность алгоритмов машинного обучения. Атаки с использованием Python

Алгоритмы помогают распознавать знаки дорожного движения, фильтровать спам, распознавать лица наших друзей на facebook, даже помогают торговать на фондовых биржах. Машинное обучение активно применяется во многих областях нашей жизни. Алгоритм принимает важные решения, поэтому необходимо быть уверенным, что его нельзя обмануть. Это не требует от читателя высокого уровня знаний машинного обучения, достаточно иметь общее представление о данной области. В этой ...

Читать далее »

[Из песочницы] 12 странных вещей, которые могут произойти после установки npm пакета

Он следит за обновлениями в npm репозитории, скачивает все новые модули, а затем проверяет их на вшивость — ищет сетевую активность, подозрительные операции с файловой системой и т.д. Пару месяцев назад я начал заниматься проектом под названием malicious-packages (ака "вредоносные пакеты"). Это даёт злоумышленникам огромный простор для манёвра, и возникает вопрос — сколько же всякой гадости прячется по тёмным углам ...

Читать далее »

Доверие к мобильным SDK

Недавняя история о бэкдоре в популярнейшей NPM-библиотеке заставила многих задуматься о том, насколько мы доверяем стороннему коду и как смело используем его в своих проектах (потенциально подставляя тем самым пользователей наших продуктов). Если мы скачиваем популярный SDK от известной компании, то вот там-то всё хорошо, или тоже что-то может пойти не так? Но ещё за месяцы до того, как «гром ...

Читать далее »

ld -z separate-code

30 в декабре 2018 года. Речь в этой статье пойдёт о небольшой security-фиче, добавленной в GNU ld к релизу 2. На русском языке это улучшение упоминалось на opennet с такой аннотацией: режим "-z separate-code", повышающий защищённость исполняемых файлов ценой небольшого увеличения размера и потребления памяти Чтобы объяснить, о какой проблеме безопасности идёт речь и в чём состоит решение, начнём с ...

Читать далее »

Стреляем в ногу, обрабатывая входные данные

Связующее звено сегодняшней статьи отличается от обычного. Это не один проект, для которого был проведён анализ исходного кода, а ряд срабатываний одного и того же диагностического правила в нескольких разных проектах. В чём здесь интерес? В том, что некоторые из рассмотренных фрагментов кода содержат ошибки, воспроизводимые при работе с приложением, а другие – и вовсе уязвимости (CVE). Кроме того, в ...

Читать далее »

Уязвимости EOS Blockchain на ZeroNights 2018

Если вам интересно познакомиться с тем, как обстоят дела с безопасностью в этой сети blockchain, то welcome под кат. В рамках данной статьи будут рассмотрены несколько реальных уязвимостей в EOS blockchain (одном из конкурентов Ethereum) и то, как они были встроены в конкурс New-Generation Secure Slot Machine на ZeroNights 2018. Вступление Все началось с того, что недавно, во время аудита ...

Читать далее »

[Перевод] Web Security: введение в HTTP

HTTP — вещь прекрасная: протокол, который просуществовал более 20 лет без особых изменений. Это вторая часть серии по веб-безопасности: первая часть была «Как работают браузеры». Если пользователи введут данные своей кредитной карты на веб-сайте, а злоумышленник сможет перехватить данные до того, как они попадут на сервер, у нас наверняка будут проблемы. Как мы видели в предыдущей статье, браузеры взаимодействуют с ...

Читать далее »

[Перевод] Как работают браузеры — введение в безопасность веб-приложений

Давайте начнем серию статей по безопасности веб-приложений с объяснением того, что делают браузеры и как именно они это делают. Поскольку большинство ваших клиентов будут взаимодействовать с вашим веб-приложением через браузеры, необходимо понимать основы функционирования этих замечательных программ. Chrome и lynx Его работа заключается в том, чтобы загрузить веб-страницу и представить её в понятном для человека виде. Браузер — это движок ...

Читать далее »