Обо мне: www.flenov.ru Мой ИТ блог www.flenov.info Телеграм: t.me/mflenov Twitter: twitter.com/flenov

У нас в лохматых 2005-2010 в ВГУ учили, что такое SQL-инъекция. Вспомнилась история: один парень (не помню по какой причине) пропустил зачет по базам данных, он взломал факультетский Moodle и поставил себе пятерку. Его спалили, пятерку отобрали. А как по мне, он заслужил 5+ :) Знания же профильные показал!

"Я получил ремня, и вы получите ремня" ))

Работаю пентестером и крайне негодую, что мужик рассказывает реально полезные вещи, которые отбирают у меня хлеб

Смотрю вас с момента как начал изучать программирование и благодаря вам появилось желание в дальнейшем изучать безопасность)

Здравствуйте! Вы очень правильно думаете. Тоже замечаю, что проблемы с безопасностью у многих компаний. Как у программистов, так и в других сферах. В документации, тоже. И надо соблюдать правила безопасности. Спасибо за видео, интересная идея с обучением и поясами. Надо будет тоже внедрять такие методики.

Замучался с этими "ремнями"😂 Об инъекциях, узнал из "глазами хакера", за что очень благодарен!

Инетересный вот подход. Заставляет что-то удерживаться у вас на канале

Закончил в том году ВУЗ по направлению "Программная инженерия". За 4 года обучения рассказали только о SQL-инъекции на предмете "Базы данных". О том, как это решать - не рассказали )

33 вопроса о веб-уязвимостях для подготовки к собеседованию. Сложность - средняя, некоторые вопросы с подвохом. Если смогли ответить на большую часть без подсказок, - можете смело идти и получать свой оффер. 1. В чем разница между Web Cache Deception и Web Cache Poisoning? 2. Какие два критерия должны быть соблюдены для эксплуатации Session Fixation? 3. В чем разница между Base64- и Base64URL-кодированием? 4. Назовите 5 (или более типов) XSS. 5. Как работает булевое "Error" при эксплуатации Blind SQL Injection? 6. Что такое Same-Origin Policy (SOP) и как это работает? 7. Как работает TE.TE вариант HTTP Request Smuggling? 8. Что такое DOM Clobbering и как его можно использовать для обхода некоторых санитайзеров при эксплуатации XSS? 9. Опишите, как можно использовать HTTP Parameter Pollution для обхода WAF. 10. Опишите, что такое IDOR и объясните, чем его устранение отличается от устранения других уязвимостей контроля доступа. 11. Что такое JWK и JKU, и чем они отличаются? 12. Что такое бизнес-логика в контексте веб-приложений и чем тестирование уязвимостей бизнес-логики отличается от поиска XSS, SQLi и т. д.? 13. Приведите пример 3 пэйлоадов, которые можно использовать для идентификации используемого Template Processor при эксплуатации SSTI. 14. Зачем нужен заголовок Sec-WebSocket-Key? 15. Что позволяет сделать значение unsafe-inline, если оно используется в директиве script-src? 16. Приведите пример аутентификации без сохранения состояния и опишите уязвимость этого механизма аутентификации. 17. Опишите три способа предотвращения CSRF. 18. Что такое XML parameter entities и какие ограничения они имеют при эксплуатации XXE? 19. Какие рекомендации вы бы дали клиенту по исправлению DOM Based XSS? 20. Какие условия должны быть выполнены, чтобы "предотвратить" отправку Preflight-запроса браузером? 21. Опишите три способа эксплуатации Insecure Deserialization. 22. Перечислите проверки, которые может выполнять приложение, чтобы убедиться, что файлы не содержат вредоносного содержимого и могут быть загружены только в разрешенные каталоги. 23. Как работает Mass Assignment и каковы возможные последствия использования такой уязвимости? 24. Что такое GraphQL batching и как его использование может помочь обойти Rate Limit? 25. Что такое type juggling и как JSON помогает эксплуатировать уязвимости этого типа? 26. Опишите три метода, которые можно использовать для обнаружения конфиденциальных данных, предоставляемых приложением. 27. Опишите атрибуты запроса, которые делают его фактически невосприимчивым к CSRF. 28. Назовите 5 уязвимостей, которые потенциально могут привести к OS command execution в веб-приложении. 29. Что такое Prototype Pollution и к каким последствиям может привести эксплуатации в клиентском и в серверном вариантах? 30. Опишите, как вы будете тестировать уязвимости вертикального контроля доступа в приложении с 20 ролями и более чем 300 различными «функциональными» запросами. 31. При каких обстоятельствах сохраняется инстанс Session Storage у вкладки? 32. Как еще можно найти и эксплуатировать XXE, кроме загрузки XML через форму? 33. Назовите распространенные уязвимости, которые можно обнаружить при сбросе пароля.

Ох, ну инъекции это же базовый уровень. А какой пласт проблем есть в бизнес логике

вопрос не в том, откуда растут ноги, а в том, откуда растут руки

Михаил, спасибо за полезный материал. Что еще можешь посоветовать посмотреть/почитать по теме безопасности? Интересует в плане расширения кругозора - основные проблемы, основные подходы к решению.

Спасибо, я с вебом не так часто сталкиваюсь в разработке, но про эти банальные уязвимости, которые легко фиксятся - возьму на заметку.

Спасибо за видео, круто, зажёг))

На счет безопасности: очень странно было слышать что люди настолько не знают об этом. Кажется на рф рынке все бекендеры знают об этом. Сам чуть ли не со школы знаю, кстати, может быть благодаря одной из ваших книг, или подобным увлечениям )

Спасибо за Ваши мысли. К сожалению практически все компании не развивают специалистов. Ты приходишь, тебе дают гору тасок и на этом всё. Было время, что я верил, что можно найти такое место. Но теперь я просто общаюсь с несколькими энтузиастами и на этом всё.

Здравствуйте, хотел у вас как у профи поинтересоваться , как и где сейчас лучше учить веб для С# ? Сухую документацию мне кажется мало толку будет читать, по крайней мере у меня так на долго не задерживается информация

Я с кибер безопасностью познакомился на первой работе)

Ладно пояса, а ремни получать на работе - это точно нововведение и бояться будут, когда задница будет переливаться цветами радуги.

Как думаете? Может многие пренебрегают безопасностью в вебе в связи с большей популярностью front-end по отношению к backend? Где больше важна картинка?

Здравствуйте, сейчас такое время, что интересно изучать различные сферы программирования. Могли бы вы сказать как вы выбрали свою сферу?

Спасибо за видео. Можете дать ссылку, где можно получить эти пояса по безопасности?

Спасибо. Хочу подписаться на ваш бусти.

Сейчас в основном для веб разработки используют ORM. Там вроде уже проводится sanitazation?

Михаил, написал кучу писем с Вашего сайта - без ответа. Возможно стоит проверить, доходят ли они с Вашего сайта ?

Ну я ещё в 14 году наверное на "тестовых" Сайтах базы ради интереса сливал инъекциями 😅

Работал в банке, который входит в топ 20 в России. В CRM системе передавались данные карт клиентов в JSON, который можно было просто в консоли браузера посмотреть. Ну это то, что мне больше всего запомнилось, а так все дырявое насквозь. Меня это всегда удивляло, т.к. в банке часто программисты сидели без задач и занимались ерундой, хотя прям кладезь была всего, что можно улучшить. Я так и не понял за 2 года работы, почему никто этим не занимался, имея в штате специалистов и свободные ресурсы.

Спасибо

В вашей компании есть application security департамент или хотя бы кто-то кто этим занимается фул тайм?

какие курсы порекомендуете по безопасности?

Как хорошо что я не поехал учиться в колледж Канадский...

лайк с первой секунды!

Не обучают безопасному программированию, потому что тема очень обширная и требует отдельного курса, а когда новичка учат программировать, он уже перегружен информацией. Если преподаватель грамотный, то он покажет, что "вот так делать не нужно, потому что небезопасно", но это из головы вылетит. Кроме того во фронтенд веб-разработки большая часть безопасного кода достигается тем, что просто изначально надо писать "правильно".

Я учусь на последнем курсе мехатроники и робототехники. Понимаю, что это не 100% ИТ, но всё же программирование это одна из основополагающих вещей в этой специализации наравне с электроникой, электротехникой и механикой. Опишу суть проблемы. У нас было три предмета посвященных программированию. Программирование и алгоритмизация, ООП и микропроцессорная электроника. Все длились по одному семестру. На ПиА начали сразу учить Си, что максимально бестолково. Потому что невозможно объяснить человеку который программирует впервые, что такое указатель. Операция ввода-вывода понадобятся на первом занятии, в Си нет передачи параметров по ссылке, и объяснить человеку почему prtinf без & а scanf c & невозможно. И остается это объяснять сакраментальным "просто сделайте и запомните, объясним позже". Или что еще хуже и что было у нас, применять cin и cout, после чего разница между двумя очень разными концептуальными языками Си и Си++ стирается. В Си + - * = это вообще ОПЕРАЦИИ, когда в Си++ это операторы. И соответственно вместе с тем в Си каким-то образом проникли vector и list. И всегда применялся vector. Почему? Потому что он проще))) И мало чего, в процессе изучения Си абсолютно теряется разница между функцией и процедурой (процедур в Си нет), и соответственно теряется понятие побочного эффекта. И код становится еще более ужасен. Дальше пошел ООП, соответственно с Си++ и задачей курсовой было построение программы с графическим интерфейсом. Предмет был бомба конечно. Вообще, чтобы построить графический интерфейс нужно изучать другую парадигму, называемую СОБЫТИЙНО-УПРАВЛЯЕМОЕ ПРОГРАММИРОВАНИЕ, никто не объяснял. Поэтому то и дело, программы зависали в обработчиках))) Да и парадигмы ООП и АТД перемешались в кучу. Инкапсуляция почему-то стала прерогативой ООП) А ООП стало императивной парадигмой. Привет ПРИСВАИВАНИЮ, которое наоборот противоречит ООП. Мы же делаем предположения об объекте)) а в ООП объект это черный ящик. Да и в предмет еще запихнули время жизненного цикла ПО, диаграммы, протоколы и кучу всего. Так что должны были успеть все, а успели ничего. Я единственный с потока кто сделал курсач сам. Спасибо Godot который позволяет написать графику на коленке. Микропроцессорная техника. Тут мы изучали ассемблер и строение микропроцессорной техники на основе МК 51-й серии (например intel8051). Это пожалуй единственный предмет к которому нет претензий. UPD: Благодаря всему тому, что "научили" до этого времени, работать с одногруппниками были бесполезно. Например, к сожалению, им не удалось объяснить, что в ассемблере нету переменных и P1 equ r2 это директива предпроцессора))) В общем, у нас уровень преподавания программирования просто слабый. И стать программистом можно только вопреки, а не благодаря. Конечно, чтобы стать макакой с javascript этого вполне хватит. Но для такой сложной области как мехатроника точно нет.

Интересная позиция: нужно знать xss и sql injection перед тем как писать код) Прежде чем писать код нужно ещё знать архитектуру, ну так чтобы наверняка)

Слышал что при помощи SQL инъекций вводят синтаксический сахар, и база данных может стать вязкой.

Футболка - ТОП :)

Робин брось таблицу!

Пошел на бусти, а то как-то стыдно стало

OOOOOOOOOOOOOOOOOOOOOOoooooooooooooooo

А куда это, пропал КиберДед кстати. ?!!

был курс НТС (надежность технологических систем), вел препод по фамилии Троян, при чем ему уже под 90 подходило

Привет, сейчас все проще, те кто юзают Laravel не закрывают .env а там все данные о сайте 😂😂😂 стало проще ломать 😂😂😂

Говорил бы киберплемяши. Ты ж не кибердед.

Первый

Ты издеваешся?! Вот вы все кто ссылаются на учебные заведения вы издеваетесь?! Я как во сне где все свихнулись. НЕ УЧАТ В УЧЕБНЫХ ЗАВЕДЕНИЯХ ничему, откровенно слабые очень слабые преподы там и студентам это так вяло интересно что только палкой бить. Если так получается что выходят годные студенты то это либо сам студент бриллиант либо это вот прям ВУЗ конкретный в котором есть сильные преподы, но это нужно конкретно знать что за ВУЗ и по фамилиям преподов, чтобы ловить оттуда студентов сразу на собеседование. В остальной массе, да, вот так..

Кибердед показался ватнейшим

🇺🇦