Безопасное место в интернете

Глядя на его пустую белую стену в спальне, я обнаружил, что это идеальное место для так называемого «настенного искусства». Плоская графика с эффектом глубины. Просматривая доступные модели на thingiverse,я нашел много отличных дизайнов. Особенно рекомендую вам ознакомиться с таковыми от пользователя – unpredictablelab. Я был первым, кто выбрал модель астронавта:… Continue reading →

Эта статья была первоначально опубликована Kacper Duda Часто, очень часто бывает так, что у нас дома есть предметы из ПРУССКОГО или старшего возраста, которые не имеют эмблемы, решетки радиатора или других более мелких или крупных элементов, которые портят общее первое впечатление. Сочетая общую индимерацию с этим фактом, мы хотим каким-то… Continue reading →

TL;DR — дата рождения или номер социального страхования не является хорошей идеей для обеспечения доступа к данным. Головоломка — в чем разница между двумя картинками ниже? Но начнем с самого начала. К сожалению, как это часто бывает в мире ИТ, удобство не идет рука об руку с безопасностью. Я думаю,… Continue reading →

Токены JWT в последнее время стали очень популярным методом аутентификации в веб-приложениях. Хотя это один из самых безопасных способов защиты ресурсов, и на рынке нет альтернатив — имейте в виду, что каждая роза имеет шипы, и здесь также скрывается много потенциальных рисков. В основном они связаны с ошибками реализации. Чтобы… Continue reading →

Недавно меня пригласили на 180-градусный канал, чтобы поговорить о том, что я делаю профессионально, и о безопасности нашей цифровой жизни. Ниже приведен видео/подкаст, полученный в результате этой довольно необычной встречи в шине записи. Если вы хотите знать, как усложнить жизнь хакерам и не стать жертвой их атак, и какие угрозы… Continue reading →

Приходите на отрыжку suite tool имеет встроенный сессионный механизм, все чаще я встречаю ситуации, когда я просто не могу справиться с поддержанием его активности. Чаще всего это вызвано одним из следующих факторов: Динамические токены CSRF, скрытые в разных местах запроса; Приложения на основе JavaScript (React, Angular) и API, использующие токены… Continue reading →

CSP (Content Security Policy) — это механизм безопасности, реализованный во всех современных популярных веб-браузерах. Его основное предназначение — защита от фронтенд-атак — особенно от XSS-уязвимостей. Некоторые распространенные ошибки, допущенные при разработке политики CSP, позволяют обойти ее. Чтобы убедиться, что мы этого не сделали, рекомендуется пересмотреть нашу политику с помощью инструмента… Continue reading →

Инструменты перечисления, такие как DIRB, требуют специально подготовленного словаря, который иногда содержит сотни тысяч наиболее распространенных имен папок и файлов. Его технологии постоянно меняются, а вместе с ними и пути к, казалось бы, скрытому контенту. Для того, чтобы успешно проводить атаки перечисления, вам нужно постоянно заполнять словарь. Рафал Яницкий bl4de… Continue reading →

Участвуя в баг-бунтах или тестах на проникновение – крайне важно получить как можно больше информации о цели вашей атаки. Мы называем это фазой разведки. Иногда интересных эффектов можно достичь, ссылаясь на старые, забытые или, казалось бы, скрытые домены, поддомены или IP-адреса. Слепая съемка в случайных именах поддоменов может занять много… Continue reading →