XSS
-
Хабрахабр
![Фото [Перевод] Ладья на XSS: как я хакнул chess.com детским эксплойтом](http://orion-int.ru/wp-content/uploads/2024/02/perevod-ladya-na-xss-kak-ya-xaknul-chess-com-detskim-eksplojtom-780x470.jpg)
[Перевод] Ладья на XSS: как я хакнул chess.com детским эксплойтом
Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему! В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости…
Читать далее » -
Хабрахабр
История одной XSS в Telegram
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор не несет ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону Введение Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы…
Читать далее » -
Хабрахабр
Обеспечение безопасности Frontend приложений
Безопасность является важным фактором при создании frontend приложений, поскольку они часто являются отправной точкой для атак. Я решил собрать в одну статью основные меры, которых стоит придерживаться или о которых хотя бы нужно задуматься. Следуя этим основным мерам безопасности, frontend приложения можно сделать более безопасными и менее уязвимыми для атак. Однако важно помнить, что безопасность - это непрерывный процесс, который…
Читать далее » -
Хабрахабр
Как вычислить по IP? Реальный пример деанонимизации «хакера»
Привет 👋 Хабр. Наша организация занимается сбором больших данных из телеграм, а также множеством других услуг связанных с телегой. Мы даем пользователям возможность поиска по нашим базам данных и постоянно сталкиваемся с тем, что кто-нибудь пытается искать в наших скриптах уязвимости, в том числе xss, sqlinj, phpinc и т.д. Мы учитываем возможные риски и стараемся очень тщательно фильтровать пользовательский input.…
Читать далее » -
Хабрахабр
XSS атакует! Не краткий обзор где и как искать уязвимости
Казалось бы, XSS уязвимостям уже 100 лет в обед: написано огромное количество материала на эту тему, браузеры и инструменты которые мы используем тоже развиваются и добавляются новые уровни защиты. Но тема не перестает быть актуальной, ведь в новой версии Top 10 Web Application Security Risks (правда двухлетней давности) XSS уязвимости по‑прежнему входят в ТОП 10 самых опасных и распространенных уязвимостей (хоть и включены теперь в группу injection), и 21% всех уязвимостей, найденных…
Читать далее » -
Хабрахабр
О проблемах информационной безопасности и IT образования на примере HTML Academy
Меня всегда очень интересовала довольно грустная ситуация с языком РНР. Из неказистого шаблонного движка для веб-страничек, к середине 2010-х он вырос в мощный, современный и аккуратный язык программирования… в то время как практически все обучающие материалы в сети выставляют его всё тем же неуклюжим уродцем, который с огромным трудом, не соблюдая никаких стандартов, позволяет разве что сделать примитивную веб-страничку с…
Читать далее » -
Хабрахабр
Обход сигнатур WAF: Расшифровка доклада на PHDays 11
19 мая наш коллега Романов Роман выступил на PHDays 11 с докладом, где вкратце рассказал о том, как в 2022 году с помощью WAF противостоять атакам на веб-приложения и почему сигнатурный метод - не лучший для этого выбор. Positive Hack Days — международный форум по практической безопасности, который проходит в Москве ежегодно начиная с 2011 года. Организатор — компания Positive Technologies. Начнем с начала…
Читать далее » -
Хабрахабр
Изгнание гугляндекса из госвеба
Сайты госорганов начали избавляться от россыпи счетчиков и прочего кода, собирающего «аналитику» об их посетителях для третьих лиц. Почему государство выпинывает на мороз интернет-шпионов и причем тут кадровые перестановки в Генпрокуратуре?Тизер: это дополнительный материал к докладу «Информационная безопасность сайтов государственных органов Российской Федерации: понуждение и принуждение». Для понимания авторской позиции Автор полагает единственной причиной, по которой интернет-гиганты тратят миллионы на…
Читать далее » -
Хабрахабр
Чем хороший программист отличается от плохого, или почему нужно выходить за рамки
Это будет моя самая короткая статья. Когда-то я был молод и зелен и решал проблемы именно так, как их решают джуны. Алгоритм такой: Узнать о проблеме Локализовать проблему Загуглить проблему и решение Пофиксить проблему Например: эксель-файл содержит ошибку, и поэтому не может быть обработан. Я открывал файл, редактировал проблемную строчку, закрывал файл. Проблема решена. Или другой пример: не отработал скрипт…
Читать далее » -
Хабрахабр
Как я опять Хабр сломал
Всегда хотел взломать Хабр. Мечта такая, но как-то руки не доходили. И вот, вдохновившись статьей о праведном взломе через iframe src , я, как и автор поста @Maxchagin, решил исследовать функционал Хабра на предмет уязвимостей. Начать решил с нового редактора, рассуждая следующим образом: раз он новый, то и уязвимости там точно должны быть. Формулы Когда вы хотите добавить формулу на…
Читать далее »