Deteact — Тестирование на проникновение. Информационная безопасность
Deteact — Тестирование на проникновение. Информационная безопасность
В критичных базах PostgreSQL во внутренней инфраструктуре часто применяют внешнюю аутентификацию через PAM-модуль. Это позволяет реализовать ротацию паролей и ролевую модель на основе LDAP (AD), что при корректной настройке значительно повышает уровень защищённости. В одном
Иногда небольшие баги, которые часто встречаются в проектах, при совместной эксплуатации могут привести к критичным последствиям. Например, уязвимости IDOR и XSS, в совокупности с неправильной настройкой CSP, могут быть использованы для обхода защиты и захвата
Последние достижения в области искусственного интеллекта привели к появлению больших языковых моделей (Large Language Models, LLM), которые напрямую взаимодействуют с пользователями, поднимая новые проблемы безопасности. При этом атаки на языковые модели имеют много пересечений с
Статья создана в ознакомительных целях и предназначена только для специалистов по анализу защищённости, которые проводят анализ защищённости ресурсов компании-заказчика строго на законных основаниях и на основании договора, заключенного с компанией-заказчиком. ? Содержание ? Предыстория Порой
Программы для квантового компьютера тоже могут содержать уязвимости. Эти уязвимости могут позволять удалённо выполнять какие-то вычисления. Как же написать шеллкод для программы, уязвимой к исполнению квантового кода? В ходе работы нам приходится следить за передовыми
Insecure Direct Object Reference (IDOR) — очень распространённый вид недостатков авторизационной логики приложения. Потенциальный ущерб от эксплуатации IDOR может быть как минимальным, так и критическим. Рассмотрим некоторые случаи, когда наличие IDOR позволило реализовать угрозу с
In English: https://blog.deteact.com/csp-bypass/ Content Security Policy (CSP) — это дополнительный механизм безопасности, встроенный в браузеры, позволяющий предотвращать Cross Site Scripting (XSS). CSP позволяет определять белые списки источников для подключения JavaScript, стилей, изображений, фреймов, создания соединений.
In English: https://blog.deteact.com/bitrix-waf-bypass/ UPD: Присвоен идентификатор CVE-2020-13758 Бывает, что при проведении XSS отражённого типа параметры попадают прямо в тело тега script. Обычно это означает, что эксплуатация тривиальна: не помешает кодирование скобок, не помешают многие фаерволы,
В рамках профессиональной деятельности пентестерам, разработчикам, безопасникам приходится заниматься такими процессами, как Vulnerability Management (VM), (Secure) Software Development LifeCycle (S-SDLC).Под этими словосочетаниями скрываются различные наборы практик и используемых инструментов, которые переплетены между собой, хотя их
In English: https://blog.deteact.com/common-flaws-of-sms-auth/ Многие онлайн-сервисы используют SMS в качестве механизма аутентификации пользователей. Но допускаются маленькие ошибки, которые введут к крупным проблемам. Именно об этом пойдет речь в данной статье. Введение Данный метод аутентификации популярен в