Разработчики, использующие Ember.js в своих проектах, подвергают их серьёзной угрозе
А всё благодаря обнаруженной случайно уязвимости загрязнения прототипа. На неё наткнулся ИБ-специалист Масато Кинугавой. Он обнаружил её в одном из доменов, принадлежащих Google, а копнув глубже понял, что первопричина кроется в фреймворке Ember.js.
Подробнее о проблеме:
https://www.securitylab.ru/news/534714.php
#javascript #emberjs #безопасность
А всё благодаря обнаруженной случайно уязвимости загрязнения прототипа. На неё наткнулся ИБ-специалист Масато Кинугавой. Он обнаружил её в одном из доменов, принадлежащих Google, а копнув глубже понял, что первопричина кроется в фреймворке Ember.js.
Подробнее о проблеме:
https://www.securitylab.ru/news/534714.php
#javascript #emberjs #безопасность
Подробное руководство по HTML-инъекциям
Благодаря им злоумышленник может внедрять вредоносный код в приложение через уязвимые поля, чтобы он мог изменять содержимое веб-страницы и даже собирать некоторые конфиденциальные данные.
Подробнее о том, как избежать этого читайте по ссылке:
https://habr.com/ru/companies/alexhost/articles/530862/
#html #безопасность
Благодаря им злоумышленник может внедрять вредоносный код в приложение через уязвимые поля, чтобы он мог изменять содержимое веб-страницы и даже собирать некоторые конфиденциальные данные.
Подробнее о том, как избежать этого читайте по ссылке:
https://habr.com/ru/companies/alexhost/articles/530862/
#html #безопасность
Утечки памяти в JavaScript
Авторы рассмотрели распространённые типы данной проблемы, а также рассказали, как использовать инструменты разработки Chrome, чтобы найти их.
#javascript #безопасность
Авторы рассмотрели распространённые типы данной проблемы, а также рассказали, как использовать инструменты разработки Chrome, чтобы найти их.
#javascript #безопасность
Подробная настройка Content Security Policy (CSP)
Если вы сталкивались с такими типами атак, как внедрение скриптов (XSS) или выполнение нежелательного кода (инъекция), то CSP может вам пригодиться.
С его помощью можно определить набор допустимых источников для каждого типа ресурса, а браузеры будут блокировать попытки загрузки ресурсов из недопустимых источников.
Ловите подробный туториал о том, как его настроить:
https://habr.com/ru/articles/757332/
#безопасность
Если вы сталкивались с такими типами атак, как внедрение скриптов (XSS) или выполнение нежелательного кода (инъекция), то CSP может вам пригодиться.
С его помощью можно определить набор допустимых источников для каждого типа ресурса, а браузеры будут блокировать попытки загрузки ресурсов из недопустимых источников.
Ловите подробный туториал о том, как его настроить:
https://habr.com/ru/articles/757332/
#безопасность
Ликбез по распространённым Client-Side уязвимостям
Client Side-уязвимости — это слабые места или ошибки в ПО, работающем на стороне пользователя (обычно в контексте веб-браузера или мобильного приложения), которые можно использовать для хакерских атак или несанкционированного доступа к системе.
Для того чтобы этого не допустить, предлагаем вам изучить самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты:
https://habr.com/ru/companies/bastion/articles/757590/
#безопасность
Client Side-уязвимости — это слабые места или ошибки в ПО, работающем на стороне пользователя (обычно в контексте веб-браузера или мобильного приложения), которые можно использовать для хакерских атак или несанкционированного доступа к системе.
Для того чтобы этого не допустить, предлагаем вам изучить самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты:
https://habr.com/ru/companies/bastion/articles/757590/
#безопасность
5 лучших VPN в 2023 году: самые безопасные и технологичные
Найти лучший VPN — большая проблема. Их так много на рынке, что глаза разбегаются. Кроме того, непонятно, какие платные VPN действительно стоят своих денег, а какие бесплатные VPN безопасны, ведь принято считать, что они непременно продают личные данные пользователей.
В статье составили подборку лучших платных и бесплатных VPN, рассказали, почему им стоит доверять и какие протоколы и алгоритмы шифрования они используют: https://tproger.ru/articles/10-luchwih-vpn-v-2023-godu
#безопасность #инструменты
Найти лучший VPN — большая проблема. Их так много на рынке, что глаза разбегаются. Кроме того, непонятно, какие платные VPN действительно стоят своих денег, а какие бесплатные VPN безопасны, ведь принято считать, что они непременно продают личные данные пользователей.
В статье составили подборку лучших платных и бесплатных VPN, рассказали, почему им стоит доверять и какие протоколы и алгоритмы шифрования они используют: https://tproger.ru/articles/10-luchwih-vpn-v-2023-godu
#безопасность #инструменты
Для тех, кто пропустил: на днях пакет Everything, охватывающий зависимостями все пакеты в репозитории NPM, чуть не сломал сам NPM.
На праздниках NPM-пакет Everything от разработчика PatrickJS, охватывающий зависимостями все пакеты в репозитории NPM, случайно чуть не сломал NPM под девизом «мы оживили демона».
Ситуацию постарались быстро исправить, но она все равно оказалась очень интересной. Для этого случая даже сделали специальный сайт: https://everything-registry-website.pages.dev/
Как такое стало возможно и к чему привело:
— Один из разработчиков JavaScript-пакетов провёл эксперимент с созданием и размещением в репозитории NPM пакета everything, который охватывает зависимостями все существующие пакеты в репозитории.
— Для реализации подобной возможности пакет everything связан прямыми зависимостями с пятью пакетами @everything-registry/chunk-N, которые в свою очередь привязываются зависимостями к более 3000 пакетов sub-chunk-N, в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории;
— Размещение пакета everything в NPM привело к тому, что пакет everything стал инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. NPM пакет был загружен 250 раз, но никто не мешает добавить его в зависимости к другому пакету после взлома учётной записи разработчика для совершения диверсии. Кроме того, невольно атаке оказались подвержены некоторые службы и инструменты осуществляющие мониторинг и проверку новых пакетов, размещаемых в NPM.
— Публикация пакета everything фактически заблокировала возможность удаления любых пакетов в NPM, которые оказались в списке его зависимостей. Пакет из NPM может быть удалён автором только если он ещё не используется в зависимостях других пакетов, но после публикации everything зависимостями оказались охвачены все пакеты в репозитории.
— Примечательно, что удаление самого пакета everything также оказалось заблокированным, так как 9 лет назад в репозитории был размещён тестовый пакет everything-else, в котором была указана строка everything в списке зависимостей. Таким образом, пакет everything после публикации оказался в зависимостях у другого пакета.
Дьявол ещё никогда не заходил так далеко.
#javascript #безопасность #nodejs
На праздниках NPM-пакет Everything от разработчика PatrickJS, охватывающий зависимостями все пакеты в репозитории NPM, случайно чуть не сломал NPM под девизом «мы оживили демона».
Ситуацию постарались быстро исправить, но она все равно оказалась очень интересной. Для этого случая даже сделали специальный сайт: https://everything-registry-website.pages.dev/
Как такое стало возможно и к чему привело:
— Один из разработчиков JavaScript-пакетов провёл эксперимент с созданием и размещением в репозитории NPM пакета everything, который охватывает зависимостями все существующие пакеты в репозитории.
— Для реализации подобной возможности пакет everything связан прямыми зависимостями с пятью пакетами @everything-registry/chunk-N, которые в свою очередь привязываются зависимостями к более 3000 пакетов sub-chunk-N, в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории;
— Размещение пакета everything в NPM привело к тому, что пакет everything стал инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. NPM пакет был загружен 250 раз, но никто не мешает добавить его в зависимости к другому пакету после взлома учётной записи разработчика для совершения диверсии. Кроме того, невольно атаке оказались подвержены некоторые службы и инструменты осуществляющие мониторинг и проверку новых пакетов, размещаемых в NPM.
— Публикация пакета everything фактически заблокировала возможность удаления любых пакетов в NPM, которые оказались в списке его зависимостей. Пакет из NPM может быть удалён автором только если он ещё не используется в зависимостях других пакетов, но после публикации everything зависимостями оказались охвачены все пакеты в репозитории.
— Примечательно, что удаление самого пакета everything также оказалось заблокированным, так как 9 лет назад в репозитории был размещён тестовый пакет everything-else, в котором была указана строка everything в списке зависимостей. Таким образом, пакет everything после публикации оказался в зависимостях у другого пакета.
Дьявол ещё никогда не заходил так далеко.
#javascript #безопасность #nodejs
Google Chrome начнет защищать от фишинга в реальном времени
Google объявила войну злодеям в интернете, внедрив новые возможности в свой браузер Chrome: https://tproger.ru/articles/google-chrome-nachnet-zashhishhat-ot-fiwinga-i-virusov-v-realnom-vremeni
Раньше Chrome сравнивал адрес сайта со списком опасных, который обновлялся раз в полчаса. А мошенники наловчились создавать левые сайты на пару минут, успевая делать гадости.
Google решили это исправить и тепер защита от вирусов и фишинга работает в реальном времени. Chrome мгновенно сверяется с базой Google, где хранится инфа о «плохих» сайтах. Результат: на 25% больше заблокированных мошеннических страниц.
Google обещает, что вся проверка происходит анонимно и безопасно. Обновление вот-вот появится в Chrome для компьютеров и iOS. А в течение месяца еще и на Android.
@tproger_web #безопасность #chrome #google
Google объявила войну злодеям в интернете, внедрив новые возможности в свой браузер Chrome: https://tproger.ru/articles/google-chrome-nachnet-zashhishhat-ot-fiwinga-i-virusov-v-realnom-vremeni
Раньше Chrome сравнивал адрес сайта со списком опасных, который обновлялся раз в полчаса. А мошенники наловчились создавать левые сайты на пару минут, успевая делать гадости.
Google решили это исправить и тепер защита от вирусов и фишинга работает в реальном времени. Chrome мгновенно сверяется с базой Google, где хранится инфа о «плохих» сайтах. Результат: на 25% больше заблокированных мошеннических страниц.
Google обещает, что вся проверка происходит анонимно и безопасно. Обновление вот-вот появится в Chrome для компьютеров и iOS. А в течение месяца еще и на Android.
@tproger_web #безопасность #chrome #google
«Как я случайно превратила свой сокращатель ссылок в приманку для мошенников?»
Автор статьи запустила собственный навороченный сокращатель для ссылок. Она разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. И сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность — лучшая маркетинговая стратегия».
Но с первого же дня ресурс облюбовали мошенники. Как так получилось и что делать, чтобы не допустить такого у себя на проекте — читайте в статье: https://habr.com/ru/companies/ruvds/articles/798649/
@tproger_web #безопасность
Автор статьи запустила собственный навороченный сокращатель для ссылок. Она разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. И сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность — лучшая маркетинговая стратегия».
Но с первого же дня ресурс облюбовали мошенники. Как так получилось и что делать, чтобы не допустить такого у себя на проекте — читайте в статье: https://habr.com/ru/companies/ruvds/articles/798649/
@tproger_web #безопасность
Если вы разработчик какого-то сайта и у вас есть капча — замените вашу капчу вот на эту
Конечно, капча шуточная, в реальности такую любой ИИ пройдет еще быстрее чем человек. Но зато как выглядит!
Демо и код проекта: https://vivirenremoto.github.io/doomcaptcha/
#безопасность
Конечно, капча шуточная, в реальности такую любой ИИ пройдет еще быстрее чем человек. Но зато как выглядит!
Демо и код проекта: https://vivirenremoto.github.io/doomcaptcha/
#безопасность
Нужна ди двухфакторная аутентификация и насколько она эффективна как норма безопасности?
Кража данных компании в сети — один из самых популярных видов мошенничества. Урон от таких инцидентов может измеряться не только в миллиардах рублей, но и в репутации, честном имени фирмы и ее ответственности перед клиентами и партнерами.
Двухфакторная аутентификация (2FA) является технологией контроля доступа в два этапа, обеспечивая защиту информации от внутренних и внешних угроз.
В статье рассказали, какие виды 2FA есть, плюсы минусы и рекомендации по использованию каждой: https://tproger.ru/articles/odin-raz-nedostatochno--dvuhfaktornaya-autentifikaciya-kak-norma-bezopasnosti
#безопасность
Кража данных компании в сети — один из самых популярных видов мошенничества. Урон от таких инцидентов может измеряться не только в миллиардах рублей, но и в репутации, честном имени фирмы и ее ответственности перед клиентами и партнерами.
Двухфакторная аутентификация (2FA) является технологией контроля доступа в два этапа, обеспечивая защиту информации от внутренних и внешних угроз.
В статье рассказали, какие виды 2FA есть, плюсы минусы и рекомендации по использованию каждой: https://tproger.ru/articles/odin-raz-nedostatochno--dvuhfaktornaya-autentifikaciya-kak-norma-bezopasnosti
#безопасность
В VSCode нашли расширения с вирусами и миллионами установок
Эксперты из Израиля обнаружили вредоносные расширения для Visual Studio Code (VSCode), установленные миллионами пользователей. Они позволяют злоумышленникам красть учетные данные, информацию о системе и устанавливать удаленные оболочки на компьютеры жертв.
В ходе анализа исследователи обнаружили следующие проблемы:
— Было выявлено 1283 расширения с известным вредоносным кодом, установленных 229 млн раз.
— 8161 расширение общается с жестко закодированными IP-адресами.
— 1452 расширения запускают неизвестные исполняемые файлы.
— 2304 расширения используют GitHub-репозитории неоригинальных издателей, что указывает на их подделку.
Подробнее: https://tproger.ru/news/v-vscode-nawli-raswireniya-s-virusami-i-millionami-ustanovok
#vscode #безопасность
Эксперты из Израиля обнаружили вредоносные расширения для Visual Studio Code (VSCode), установленные миллионами пользователей. Они позволяют злоумышленникам красть учетные данные, информацию о системе и устанавливать удаленные оболочки на компьютеры жертв.
В ходе анализа исследователи обнаружили следующие проблемы:
— Было выявлено 1283 расширения с известным вредоносным кодом, установленных 229 млн раз.
— 8161 расширение общается с жестко закодированными IP-адресами.
— 1452 расширения запускают неизвестные исполняемые файлы.
— 2304 расширения используют GitHub-репозитории неоригинальных издателей, что указывает на их подделку.
Подробнее: https://tproger.ru/news/v-vscode-nawli-raswireniya-s-virusami-i-millionami-ustanovok
#vscode #безопасность
Новый китайский владелец популярного проекта Polyfill JS внедрил вредоносное ПО более чем на 100 тысяч сайтов
Polyfill.js - популярная библиотека с открытым исходным кодом для поддержки старых браузеров. Более 100 тыс. сайтов встраивают ее через домен cdn.polyfill.io.
В феврале этого года китайская компания Funnull купила домен и аккаунт на Github. С тех пор этот домен был замечен в внедрении вредоносного ПО на мобильные устройства через вебсайты, использующие cdn.polyfill.io. Любые жалобы быстро удалялись из репозитория Github.
Самое интересное, что код имеет защиту от реверс-инжиниринга и активируется только на определенных мобильных устройствах в определенные часы, не активируется при обнаружении пользователя-администратора, а также приостанавливает выполнение при обнаружении службы веб-аналитики, предположительно, чтобы не попасть в отчёты.
Автор оригинального проекта рекомендует не использовать Polyfill, так как он больше не нужен современным браузерам. Тем временем, Fastly и Cloudflare предложили собственные альтернативы пользователям.
Google начал блокировать рекламу для сайтов eCommerce, использующих polyfill.io. Cloudflare реализовала перенаправление в реальном времени с cdn.polyfill.io на свою версию. Позже регистратор Namecheap приостановил действие домена, устранив риск на данный момент.
Этот инцидент является типичным примером атаки на цепочку поставок. Рекомендуется удалить все ссылки на polyfill.io в вашем коде.
Подробнее: https://sansec.io/research/polyfill-supply-chain-attack
#безопасность
Polyfill.js - популярная библиотека с открытым исходным кодом для поддержки старых браузеров. Более 100 тыс. сайтов встраивают ее через домен cdn.polyfill.io.
В феврале этого года китайская компания Funnull купила домен и аккаунт на Github. С тех пор этот домен был замечен в внедрении вредоносного ПО на мобильные устройства через вебсайты, использующие cdn.polyfill.io. Любые жалобы быстро удалялись из репозитория Github.
Самое интересное, что код имеет защиту от реверс-инжиниринга и активируется только на определенных мобильных устройствах в определенные часы, не активируется при обнаружении пользователя-администратора, а также приостанавливает выполнение при обнаружении службы веб-аналитики, предположительно, чтобы не попасть в отчёты.
Автор оригинального проекта рекомендует не использовать Polyfill, так как он больше не нужен современным браузерам. Тем временем, Fastly и Cloudflare предложили собственные альтернативы пользователям.
Google начал блокировать рекламу для сайтов eCommerce, использующих polyfill.io. Cloudflare реализовала перенаправление в реальном времени с cdn.polyfill.io на свою версию. Позже регистратор Namecheap приостановил действие домена, устранив риск на данный момент.
Этот инцидент является типичным примером атаки на цепочку поставок. Рекомендуется удалить все ссылки на polyfill.io в вашем коде.
Подробнее: https://sansec.io/research/polyfill-supply-chain-attack
#безопасность
Как защитить Django-приложения? CSP стоит того?
На связи читатель «Типичного»: «Учусь работать над повышением безопасности Django-приложения. Сейчас использую OAuth и библиотеки типа django-axes и django-security. Но сможет ли это защитить от CSRF и XSS атак? Не понятно…».
Какие методы и инструменты вы используете для улучшения безопасности? Есть ли у вас конкретные примеры, где внедрение CSP действительно оправдало себя? Что посоветуете?
Поделитесь вашим мнением здесь: https://tproger.ru/articles/kak-zashhitit-django-prilozheniya--csp-stoit-togo-
#безопасность
На связи читатель «Типичного»: «Учусь работать над повышением безопасности Django-приложения. Сейчас использую OAuth и библиотеки типа django-axes и django-security. Но сможет ли это защитить от CSRF и XSS атак? Не понятно…».
Какие методы и инструменты вы используете для улучшения безопасности? Есть ли у вас конкретные примеры, где внедрение CSP действительно оправдало себя? Что посоветуете?
Поделитесь вашим мнением здесь: https://tproger.ru/articles/kak-zashhitit-django-prilozheniya--csp-stoit-togo-
#безопасность
Проверка утечек личных данных от Google: «Dark Web Reports» станет бесплатным
После закрытия VPN-сервиса Google One, функция «Dark Web Reports» станет доступна всем владельцам Google-аккаунтов. Это произойдет в конце июля. Ранее функция была доступна лишь пользователям с подпиской Google One.
«Dark Web Reports» позволяет Google отслеживать дарквеб и уведомлять вас, если ваши личные данные были найдены в утечках и взломах. Вот как этим воспользоваться: https://tproger.ru/news/--proverka-utechek-lichnyh-dannyh-ot-google---dark-web-reports--stanet-besplatnym
#google #безопасность
После закрытия VPN-сервиса Google One, функция «Dark Web Reports» станет доступна всем владельцам Google-аккаунтов. Это произойдет в конце июля. Ранее функция была доступна лишь пользователям с подпиской Google One.
«Dark Web Reports» позволяет Google отслеживать дарквеб и уведомлять вас, если ваши личные данные были найдены в утечках и взломах. Вот как этим воспользоваться: https://tproger.ru/news/--proverka-utechek-lichnyh-dannyh-ot-google---dark-web-reports--stanet-besplatnym
#google #безопасность
