Проблемы Web Безопасности - откуда ноги растут
HTML-код
- Опубликовано: 16 янв 2024
- В этом видео поговорим о проблемах в Web безопасности и откуда растут ноги.
Поддержать меня на Бусти и получить доступ к доп контенту: boosty.to/mflenov
Обо мне: www.flenov.ru
Мой ИТ блог www.flenov.info
Телеграм: t.me/mflenov
Twitter: / flenov
Инстаграм: / mflenov
Мой просто блог blo.moe
Обо мне: www.flenov.ru
Мой ИТ блог www.flenov.info
Телеграм: t.me/mflenov
Twitter: twitter.com/flenov
У нас в лохматых 2005-2010 в ВГУ учили, что такое SQL-инъекция.
Вспомнилась история: один парень (не помню по какой причине) пропустил зачет по базам данных,
он взломал факультетский Moodle и поставил себе пятерку.
Его спалили, пятерку отобрали. А как по мне, он заслужил 5+ :) Знания же профильные показал!
UPD: не написал сразу: он, как раз, через инъекцию и взломал.
А еще урок админам - вовремя надо обновлять софт :)
Воронежский Государственный?
@@digital-october ага, он, родненький
Куда лучше поступать ВИВТ или ВГУ?
"Я получил ремня, и вы получите ремня" ))
Главное, чтобы он был по безопасности
Смотрю вас с момента как начал изучать программирование и благодаря вам появилось желание в дальнейшем изучать безопасность)
Работаю пентестером и крайне негодую, что мужик рассказывает реально полезные вещи, которые отбирают у меня хлеб
У хорошего пентестера работу отобрать невозможно :). В хорошей компании пентестеры как и админы должны ничего не делать, а сидеть. Это как с врачами - нужно платить за то, чтобы не болели, а не за то, чтобы лечили.
Здравствуйте! Вы очень правильно думаете. Тоже замечаю, что проблемы с безопасностью у многих компаний. Как у программистов, так и в других сферах. В документации, тоже. И надо соблюдать правила безопасности. Спасибо за видео, интересная идея с обучением и поясами. Надо будет тоже внедрять такие методики.
Замучался с этими "ремнями"😂 Об инъекциях, узнал из "глазами хакера", за что очень благодарен!
Запутался в ремнях
Инетересный вот подход. Заставляет что-то удерживаться у вас на канале
Спасибо за видео, круто, зажёг))
Спасибо, я с вебом не так часто сталкиваюсь в разработке, но про эти банальные уязвимости, которые легко фиксятся - возьму на заметку.
33 вопроса о веб-уязвимостях для подготовки к собеседованию. Сложность - средняя, некоторые вопросы с подвохом. Если смогли ответить на большую часть без подсказок, - можете смело идти и получать свой оффер.
1. В чем разница между Web Cache Deception и Web Cache Poisoning?
2. Какие два критерия должны быть соблюдены для эксплуатации Session Fixation?
3. В чем разница между Base64- и Base64URL-кодированием?
4. Назовите 5 (или более типов) XSS.
5. Как работает булевое "Error" при эксплуатации Blind SQL Injection?
6. Что такое Same-Origin Policy (SOP) и как это работает?
7. Как работает TE.TE вариант HTTP Request Smuggling?
8. Что такое DOM Clobbering и как его можно использовать для обхода некоторых санитайзеров при эксплуатации XSS?
9. Опишите, как можно использовать HTTP Parameter Pollution для обхода WAF.
10. Опишите, что такое IDOR и объясните, чем его устранение отличается от устранения других уязвимостей контроля доступа.
11. Что такое JWK и JKU, и чем они отличаются?
12. Что такое бизнес-логика в контексте веб-приложений и чем тестирование уязвимостей бизнес-логики отличается от поиска XSS, SQLi и т. д.?
13. Приведите пример 3 пэйлоадов, которые можно использовать для идентификации используемого Template Processor при эксплуатации SSTI.
14. Зачем нужен заголовок Sec-WebSocket-Key?
15. Что позволяет сделать значение unsafe-inline, если оно используется в директиве script-src?
16. Приведите пример аутентификации без сохранения состояния и опишите уязвимость этого механизма аутентификации.
17. Опишите три способа предотвращения CSRF.
18. Что такое XML parameter entities и какие ограничения они имеют при эксплуатации XXE?
19. Какие рекомендации вы бы дали клиенту по исправлению DOM Based XSS?
20. Какие условия должны быть выполнены, чтобы "предотвратить" отправку Preflight-запроса браузером?
21. Опишите три способа эксплуатации Insecure Deserialization.
22. Перечислите проверки, которые может выполнять приложение, чтобы убедиться, что файлы не содержат вредоносного содержимого и могут быть загружены только в разрешенные каталоги.
23. Как работает Mass Assignment и каковы возможные последствия использования такой уязвимости?
24. Что такое GraphQL batching и как его использование может помочь обойти Rate Limit?
25. Что такое type juggling и как JSON помогает эксплуатировать уязвимости этого типа?
26. Опишите три метода, которые можно использовать для обнаружения конфиденциальных данных, предоставляемых приложением.
27. Опишите атрибуты запроса, которые делают его фактически невосприимчивым к CSRF.
28. Назовите 5 уязвимостей, которые потенциально могут привести к OS command execution в веб-приложении.
29. Что такое Prototype Pollution и к каким последствиям может привести эксплуатации в клиентском и в серверном вариантах?
30. Опишите, как вы будете тестировать уязвимости вертикального контроля доступа в приложении с 20 ролями и более чем 300 различными «функциональными» запросами.
31. При каких обстоятельствах сохраняется инстанс Session Storage у вкладки?
32. Как еще можно найти и эксплуатировать XXE, кроме загрузки XML через форму?
33. Назовите распространенные уязвимости, которые можно обнаружить при сбросе пароля.
Ох, ну инъекции это же базовый уровень. А какой пласт проблем есть в бизнес логике
Да, и вот Бизнес логика должна быть на первом месте в OWASP, потому что научить защищаться от SQL или Code инъекции легко, научить безопасной логике и архитектуры приложения на много сложнее.
Михаил, спасибо за полезный материал. Что еще можешь посоветовать посмотреть/почитать по теме безопасности? Интересует в плане расширения кругозора - основные проблемы, основные подходы к решению.
Надо читать разные источники и авторов. Я читаю просто всё, что попадается мне на глаза
вопрос не в том, откуда растут ноги, а в том, откуда растут руки
Закончил в том году ВУЗ по направлению "Программная инженерия". За 4 года обучения рассказали только о SQL-инъекции на предмете "Базы данных". О том, как это решать - не рассказали )
Это печалька
Тоже, чет не помню чтоб кроме инъекций что-то давали по безопасности
Учил сам, собственно
Я с кибер безопасностью познакомился на первой работе)
Спасибо за Ваши мысли. К сожалению практически все компании не развивают специалистов. Ты приходишь, тебе дают гору тасок и на этом всё. Было время, что я верил, что можно найти такое место. Но теперь я просто общаюсь с несколькими энтузиастами и на этом всё.
Но если не развивать специалистов, то будут проблемы
На счет безопасности: очень странно было слышать что люди настолько не знают об этом. Кажется на рф рынке все бекендеры знают об этом. Сам чуть ли не со школы знаю, кстати, может быть благодаря одной из ваших книг, или подобным увлечениям )
Все бэкендеры знают 😂 очень сомнительно, навидался
Допускаю, что с распространением фреймворков и orm как раз про инъекции не все могут знать, потому что пишут запросы, используя orm. А вот те, кто постарше и помнят времена самописных решений, то вот они как раз больше знают про эту уязвимость.
@@al.e.k я видел что и в орм вставляют переменные от пользователя без подготовки 😃
Спасибо
Ладно пояса, а ремни получать на работе - это точно нововведение и бояться будут, когда задница будет переливаться цветами радуги.
Ну я ещё в 14 году наверное на "тестовых" Сайтах базы ради интереса сливал инъекциями 😅
Спасибо. Хочу подписаться на ваш бусти.
Без проблем, вот тут boosty.to/mflenov
Здравствуйте, хотел у вас как у профи поинтересоваться , как и где сейчас лучше учить веб для С# ? Сухую документацию мне кажется мало толку будет читать, по крайней мере у меня так на долго не задерживается информация
Нужно практикой заниматься, поэтому на бусти я очень много показываю практики, прям сажусь, пишу код и записываю каждое действие. Возьми какой-то проект и начни писать, а по ходу уже будешь изучать то, что нужно будет для проекта.
@@programisli У меня просто проблема в том что проект уже немного недоделанный но есть, а вот по теории проседаю очень
Спасибо за видео. Можете дать ссылку, где можно получить эти пояса по безопасности?
Это внутренняя вещь для компании, где я работаю
Здравствуйте, сейчас такое время, что интересно изучать различные сферы программирования. Могли бы вы сказать как вы выбрали свою сферу?
Посмотри на канале есть плейлист Биография, там почти вся моя ИТ жизнь
Как хорошо что я не поехал учиться в колледж Канадский...
У канадских колледжей есть плюс, можно получить разрешение на работу в Канаде
@@programisli сомнительное удовольствие конечно. А так вообще во многих странах так
Сейчас в основном для веб разработки используют ORM. Там вроде уже проводится sanitazation?
Смотря какая ORM и как использовать, они же тоже позволяют иногда выполнять чистый SQL
Да, точно.
Как думаете? Может многие пренебрегают безопасностью в вебе в связи с большей популярностью front-end по отношению к backend? Где больше важна картинка?
Не понял вопроса
@@programisli, извините, поправил
Картинка конечно важна, но нет, не связано. Думаю проблема образования
Работал в банке, который входит в топ 20 в России. В CRM системе передавались данные карт клиентов в JSON, который можно было просто в консоли браузера посмотреть. Ну это то, что мне больше всего запомнилось, а так все дырявое насквозь. Меня это всегда удивляло, т.к. в банке часто программисты сидели без задач и занимались ерундой, хотя прям кладезь была всего, что можно улучшить. Я так и не понял за 2 года работы, почему никто этим не занимался, имея в штате специалистов и свободные ресурсы.
Чтобы этого не было, админы должны настроить WAF (Web Application Firewall) и на нём блокировать всё, что похоже на кредитную карту - 16 цифр, которые начинаются на определённую последовательность. У нас именно так и было. Да, было много ложных срабатываний, но лучше ложное срабатывание, чем отсутствие срабатывания вовсе.
лайк с первой секунды!
Михаил, написал кучу писем с Вашего сайта - без ответа. Возможно стоит проверить, доходят ли они с Вашего сайта ?
Когда писал? Вообще доходят, вот вчера мне присылали вопрос.
@@programisli Возможно доходят, а ответа то нет вообще. Уже не в первой. Я подумал, возможно, проблема внутри.
Я всем отвечаю. Отправь сейчас письмо. Некоторые говорят, что мои письма попадают в спам
@@programisli отправил письмо. в конце письма написал "777"
В вашей компании есть application security департамент или хотя бы кто-то кто этим занимается фул тайм?
Да, но компания огромная, тысячи программистов и за всеми не уследишь.
@@programisli А ssdlc реализуете если не секрет? В плане sast, dast и тд
Интересная позиция: нужно знать xss и sql injection перед тем как писать код) Прежде чем писать код нужно ещё знать архитектуру, ну так чтобы наверняка)
Архитектуру всё же решают синьоры. Джуниорыуже следуют тому, что сказали старшие
какие курсы порекомендуете по безопасности?
Я никаких курсов не заканчивал, сам все изучал по книгам и просто икал в интернете и теперь делюсь знаниями через книги и бусти
@@programisli 2:22 - "Я сам побежал и сдал эти курсы" - это внутрениие курсы?
Я учусь на последнем курсе мехатроники и робототехники. Понимаю, что это не 100% ИТ, но всё же программирование это одна из основополагающих вещей в этой специализации наравне с электроникой, электротехникой и механикой.
Опишу суть проблемы. У нас было три предмета посвященных программированию. Программирование и алгоритмизация, ООП и микропроцессорная электроника. Все длились по одному семестру.
На ПиА начали сразу учить Си, что максимально бестолково. Потому что невозможно объяснить человеку который программирует впервые, что такое указатель. Операция ввода-вывода понадобятся на первом занятии, в Си нет передачи параметров по ссылке, и объяснить человеку почему prtinf без & а scanf c & невозможно. И остается это объяснять сакраментальным "просто сделайте и запомните, объясним позже". Или что еще хуже и что было у нас, применять cin и cout, после чего разница между двумя очень разными концептуальными языками Си и Си++ стирается. В Си + - * = это вообще ОПЕРАЦИИ, когда в Си++ это операторы. И соответственно вместе с тем в Си каким-то образом проникли vector и list. И всегда применялся vector. Почему? Потому что он проще))) И мало чего, в процессе изучения Си абсолютно теряется разница между функцией и процедурой (процедур в Си нет), и соответственно теряется понятие побочного эффекта. И код становится еще более ужасен.
Дальше пошел ООП, соответственно с Си++ и задачей курсовой было построение программы с графическим интерфейсом. Предмет был бомба конечно. Вообще, чтобы построить графический интерфейс нужно изучать другую парадигму, называемую СОБЫТИЙНО-УПРАВЛЯЕМОЕ ПРОГРАММИРОВАНИЕ, никто не объяснял. Поэтому то и дело, программы зависали в обработчиках))) Да и парадигмы ООП и АТД перемешались в кучу. Инкапсуляция почему-то стала прерогативой ООП) А ООП стало императивной парадигмой. Привет ПРИСВАИВАНИЮ, которое наоборот противоречит ООП. Мы же делаем предположения об объекте)) а в ООП объект это черный ящик. Да и в предмет еще запихнули время жизненного цикла ПО, диаграммы, протоколы и кучу всего. Так что должны были успеть все, а успели ничего. Я единственный с потока кто сделал курсач сам. Спасибо Godot который позволяет написать графику на коленке.
Микропроцессорная техника. Тут мы изучали ассемблер и строение микропроцессорной техники на основе МК 51-й серии (например intel8051). Это пожалуй единственный предмет к которому нет претензий.
UPD: Благодаря всему тому, что "научили" до этого времени, работать с одногруппниками были бесполезно. Например, к сожалению, им не удалось объяснить, что в ассемблере нету переменных и P1 equ r2 это директива предпроцессора)))
В общем, у нас уровень преподавания программирования просто слабый. И стать программистом можно только вопреки, а не благодаря. Конечно, чтобы стать макакой с javascript этого вполне хватит. Но для такой сложной области как мехатроника точно нет.
"Pure" C code using Reference Parameter! (aka pointers)
( int * x)
Проще было идти джейсоны гонять
О, фаната Столярова сразу узнал
@@cuniapapa5370 не фанат конечно. Не сотвори себе кумира. Но это самое толковое что я читал
Не обучают безопасному программированию, потому что тема очень обширная и требует отдельного курса, а когда новичка учат программировать, он уже перегружен информацией. Если преподаватель грамотный, то он покажет, что "вот так делать не нужно, потому что небезопасно", но это из головы вылетит. Кроме того во фронтенд веб-разработки большая часть безопасного кода достигается тем, что просто изначально надо писать "правильно".
Нужно прям сразу при обучении говорить о правильных подходах, а не просто обучать. Отдельный курс - это хорошо, но
Слышал что при помощи SQL инъекций вводят синтаксический сахар, и база данных может стать вязкой.
OOOOOOOOOOOOOOOOOOOOOOoooooooooooooooo
Футболка - ТОП :)
Кепочку я тут вблизи показывал ruclips.net/video/XIHUfwP60i0/видео.html
Робин брось таблицу!
у меня была мысль сына так назвать (Robin '); drop table ;--, но у меня родилась дочь
загуглил, оказывается Роберт, во время что делает с памятью
Пошел на бусти, а то как-то стыдно стало
А куда это, пропал КиберДед кстати. ?!!
Да ещё выкладывает видосы
@@programisli Хм, а чего это не приходят уведомления. Да Ютуб, чудные дела твои!! ))
он болтун, сплошное самовосхваление и фантазии.
Привет, сейчас все проще, те кто юзают Laravel не закрывают .env а там все данные о сайте 😂😂😂 стало проще ломать 😂😂😂
Печалька
Он же не должен быть в папке паблика и не должен быть доступен из web
А разве, переменные окружения нельзя забирать из контейнера, чтобы не создавать этот файлик физически на проде, как это делается в том же go?
Говорил бы киберплемяши. Ты ж не кибердед.
Есть в ютубе Кибердед, который начинает свои видео так
был курс НТС (надежность технологических систем), вел препод по фамилии Троян, при чем ему уже под 90 подходило
А у меня был по экономике преподаватель Владимир Ильич
@@programisli я с Ильичем больше познакомилась на политологии, ведь самое четкое определение "политика - это концентрированное выражение экономики" :)
Ты издеваешся?! Вот вы все кто ссылаются на учебные заведения вы издеваетесь?! Я как во сне где все свихнулись. НЕ УЧАТ В УЧЕБНЫХ ЗАВЕДЕНИЯХ ничему, откровенно слабые очень слабые преподы там и студентам это так вяло интересно что только палкой бить. Если так получается что выходят годные студенты то это либо сам студент бриллиант либо это вот прям ВУЗ конкретный в котором есть сильные преподы, но это нужно конкретно знать что за ВУЗ и по фамилиям преподов, чтобы ловить оттуда студентов сразу на собеседование. В остальной массе, да, вот так..
Ну вот оттуда и растут значит корни проблемы
Кибердед показался ватнейшим
🇺🇦
Первый