Приветствую! Продублирую своё мнение. Лично я за проведение конкурса или челленджа, но на мой взгляд главное не переборщить со сложностью заданий (уровней), так как для некоторых то или иное задание может быть сложным. Помню, когда-то на сайте "античат" были конкурсы по взлому. Если кому интересно, я когда-то делал ЮтубКвест состоящий из нескольких уровней с бонусом в конце - gthu9JVyOVA (ролик на ютубе, описание под видео, полную ссылку не даю, так как тут может быть включена блокировка ссылок), его можно считать как Цикада 3301 лайт :) Если прошёл уровень, оставил коммент, т.е. попал в таблицу рекордов. Первый уровень открыт для всех, все последующие скрыты для тех, кто не прошел предыдущие. Если кто знает подобные конкурсы или есть толковые идеи пишите.
Иван здравствуйте, можете пожалуйста подсказать, как поставить сайт на сервер, вроде все правильно пытаюсь сделать, или может у вас есть небольшой гайдик, буду очень благодарен! ставлю в кали линукс
Искал серебро, нашел золото. Очень интересная тема для обсуждения в данном видео, то, чего мне явно не хватало. Подписался. Благодарю за ваш труд, Иван.
Иван, в разработке более 5 лет, пишу на Java. Для нашего мира такие уязвимости уже даже не закрываются, все идет из коробки. Единственное, что настраиваем, это csrf и cors. Очень качественное видео, освежил базу. Спасибо!
Все новое - это хорошо забытое старое ) поэтому периодически нужно все повторять. Как оказывается, даже в рельсе можно кривой код написать и получить все эти уязвимости обратно )
Как же мне повезло, что в предложках попало это видео...Пишу на нейросетях с 0 коммерческий проект без знаний программирования. Я 2 недели убил, чтобы решить проблему настройки CSRF, чуть было не отключил, но в итоге поборол проблему, что фронтенд не мог нормально принять от бэка этот токен. Теперь я знаю, что это значимая защита в проекте))
Да, было дело́, нужен был другу пароль от аккаунта девушки в вк, это так 2009-2010 год был, и прям в форме почты пихал форму, где требовался пароль для подтверждения, и всё что вводилось в поле отправлялся на txt документ на бесплатном хостинге, готово, и да, после ввода пароля, чтобы жертва ничего не заподозрила ее действительно отправляло на сервис с открытками, эх... Какие простые были времена, сейчас сложно представить такие кражи, двухфакторные авторизации, с подтверждением с телефона... Теперь даже html форму не вставить в обычный почтовый клиент 😢... Кстати, друг уже женат на той жертве, наверное ничего плохого не увидел в ее переписке, возможно помог ему с выбором 😂
Да я и ранее этим не занимался, просто было как мимолётное хобби, так сказать любил "пакостить" по малолетству, ddosил бесячие ресурсы в локальной сети, крушил античит и играл с читами, сейчас мне уже почти под сорок лет... О, а ещё пиринговые сети p2p, помните? Ох какие перспективы открывались при расшаривании локального диска "С" 😄 Столько паролей было стырено с сохранялок браузеров
Огромное спасибо за дословную и интересную подачу !🔥 Продолжайте - хотелось бы видеть ещё больше подобного контента! Было бы таки ещё интересно узнать - аналогична ли структура взлома мобильных приложений? или "как мобильное приложение может быть взломано ?"
Спасибо! Помогло еще раз освежить эти знания. Это всегда надо помнить. Недавно написала симпатичная азиатка на кривом русском: "Ой, я ваша плохо понимать, а вы мой переводчик? Ой, нет? Ну я устала, я ошиблась. Я из Гонконга. У меня бизнес. Полечу в Россию. Хотите вас в кафе приглашу? Вы такой классный, хочу дружить. Только это у меня рабочий аккаунт. Вот вам мой личный. Добавьте меня в друзья, пожалуйста. И ссылка." Надо было ему сказать: "слыш Вася, кончай комедию ломать. И акцент у тебя галимо получается. Ты лучше скажи, что за тема у тебя? Куда CSRF мутишь?." Но я забанил этого пользователя просто и все. Жаль( Надо было постебаться)))
@@ivan.goncharov в любом фреймворке если конечно ты совсем не аутист чтоб делать специально такие грубые ошибки с нефильтрацией или том же ларавел csfr token тоже предусмотрен
@@IstMirWurstпод каждым подобным роликом на русском, очень много комментов что такое щас не работает и тд. При этом почему-то топ компании по типу гугла ежегодно платят миллионы за такие баги в их сервисах. Никто просто баги по типу xss или sql инъекций не тестит тупо втыкая payload, есть 1000 и 1 обход и комбинирование багов
@@IstMirWurstне забывай, что современные веб приложения очень комплексные и состоят из множества модулей, часто разрабы подключают недостаточно защищенные модули, они не связаны с основным фреймворком, поэтому могут иметь совершенно иную защиту и быть не столь безопасными. Простой пример с wordpress, где основной модуль сайта (его ядро) крайне защищено, но основные уязвимости находят в модулях от сторонних разработчиков. И так происходит в любом движке или фреймворке.
Прошу прощения, может я чего то не знаю. Но разве это уже не давно решенные проблемы на всех современных сайтах? Ну, если упустить из статистики то что было написано лет 10 назад но до сих пор работает и сайты которые делают студенты за 20 долларов.
Судя по комментариям, многим это интересно, значит до сих пор актуально ) Студенты тоже должны откуда-то узнавать эту инфу. Некоторым просто интересно как ломают сайты. Если не узнали ничего нового, то в следующий раз что-то посложнее рассмотрим)
Если взламывать сайты, писать разработчику, что нашел уязвимость и попросить его вознаграждение небольшое, то это не будет считаться как вымогательство/взлом сайта ?
Я не юрист, но вопрос интересный, спросил ChatGPT: 1. Взлом сайта: Независимо от намерений, несанкционированное проникновение на сайт или компьютерную систему является незаконным в большинстве стран. Это считается преступлением, даже если вы не нанесли вред. 2. Ответственность: Если вы нашли уязвимость без разрешения владельца сайта (например, через программу bug bounty или другую форму сотрудничества), и особенно если вы использовали её для доступа к защищенной информации, это может быть расценено как нарушение закона. 3. Вымогательство: Запрос денег за то, чтобы не раскрывать или не использовать уязвимость, также может квалифицироваться как вымогательство, даже если сумма относительно небольшая.
Да ладно. Достаточно напихать писюнов в команду разработки без должного контроля, а дальше через какое-то время хакеры и в весь большой проект напихают.
Не понял, а как тут SQL инъекция срабатывает при обычном get запросе? На бэке это же должно как то обрабатываться, каким то образом превращаться в реальный SQL запрос... Или это как то связано именно с ruby on rails?
Должно обрабатываться, есть встроенные защиты от инъекции, но если неправильно сформировать запрос (как было показано в видео), то защиты не сработают.
Тяжело перенести это на свой язык. Я не делал экранизацию полей HTML потому что не работал с пользовательским вводом, но знаю что это нужная вещь. Остальное - наверное, не сработает. Если XSS не занесу в базу - все будет ок.
SQL инъекции ушли в прошлое, когда в PHP добавили PDO. Я с тех пор никогда их не встречал ни одного запрос без плейсхолдеров уже лет 12. Сейчас это бородатая неактуалочка.
Я несколько лет работал в аутсорсинговой компании, там проекты менялись каждые 2 месяца, иногда и за 2 недели успевали дела поделать. Насмотрелся вообще всякого, особенно там, где индусы код писали, в америке много таких проектов ) Ну и слабо верится, что в PHP-мире все так идеально стало ) Битрикс с его кучей кривых плагинов еще жив, кстати?)
Кстати, лет 5 назад один америкос просил его проект доделать на PHP. Скинул код, а там в КАЖДОМ файле идет подключение к базе данных, в каждом файле конфиг и копи паст кучи функций. Я уверен где-то до сих пор пишут такой код, не говоря уже о допущенных уязвимостях )
Как было показано в видео, любая из них еще может присутствовать. Видео было записано для новичков, которые и могут допускать ошибки, потому что ни один курс по программированию об этом не рассказывает.
@@ivan.goncharov Да это не претензия) Просто у меня например, на моем языке программирования, та же SQL-injection отсекается библиотекой из коробки, то же самое и с CSRF. Я уже давно не думаю над данными проблемами ибо знаю что при использовании общепринятой библиотеки, которая в любом случае будет, эти проблемы уйдут. И я реально думал что примерно то же самое происходит и на других языках
@@aks964 я понимаю, что не претензия, просто пытаюсь донести, что библиотеки защищают, но ими нужно правильно пользоваться ) Rails один из первых фреймворков, где появилась красивая ORM со всеми возможными защитами. Но до сих пор люди неправильно формируют запрос, особенно часто это происходит в LIKE запросе, пишут where("name ILIKE '%#{params[:query]}'") - и тут защита уже не сработает. 200% в вашем языке то же самое )
@@ivan.goncharov Я пишу на java с spring data и spring security. При авторизации spring security делает строго свои запросы, и подобные вещи он отсечет 200 процентов) При работе с бд "руками" идет генерация запросов через hibernate или сам спринг и оно аналогично это все переэкронирует и ты тоже в эту уязыимость не впоришься. Впороться в данную уязвимость в тории если прям сильно захотеть то можно, но это нужно сильно постараться, так же как, например, сделать утечку памяти. ps "руками" пишу тоже запросы крайне редко, обычно делаешь метод в интерфейсе и по названию данного метода оно просто загенерирует запросы. Я уже забыл когда запросы писал руками (в приложении, так то в бд хожу частенько чтобы посмотреть чтото) на самом деле
Ну для рельсы тоже есть куча гемов, которые проверяют безопасность кода по многим параметрам, но опять же, не все их используют ) P.S. проходим опрос в закрепе )
Браузер ничего не ищет, если он видит html-тег, его обязанность - как-то обработать этот тег. Чтобы браузер обработал alert(1) просто как текст, то в теле html это должно выглядеть как:
А не как . Т.е. знаки больше/меньше должны быть закодированы.
разве это не будет работать только локально? как этот код вообще попадет и ввполнится другому клиенту на его машине? Там же браузер получит JS и HTML, который выдаст сайт, а эти инъекции сайт как выдаст, если они по сути локально в вашем браузере? @@ivan.goncharov
Что-то я не понимаю вопрос. Надо вам найти ролики о том как работает Веб, как работает http-протокол, и как работает браузер. Тогда все встанет на свои места. В идеале почитать книгу Таненбаума "Компьютерные Сети". Шикарная книга, очень хочу сделать ролик по ней когда-нибудь, но не в ближайшем будущем.
Вообще не понимаю прикола с оплатой и различных манипуляций с ней. У меня к сайту прикручена оплата картой от банка, в котором открыт расчетный счет. Вся эта часть работает на стороне банка. Все, что требуется от меня это чтобы сайт поддерживал все необходимые протоколы безопасности. Иными словами мне нужно просто проставить галочки при регистрации домена и размещении его на чужом сервере.
все эти уязвимости не актуальны уже лет так двадцать :D просто невозможно сделать сайт с этими уязвимостями, разве что прям специально делать их зачем-то. еще посмеялся, что Перец - это по русски соль :D Соль и перец - это хоть и похожие штуки, но разные!!! Даже если по какой-то причине не используется OAuth, а вручную хешируется, то будут использованы и соль и перец!
Про соль уже тут в комментах разобрались, не знал разницу, всегда думал это тонкости перевода ) бывает. Про бородатость ок, не спорю, но все равно все актуально )
Бесплатный Стилер с билдом читов для кс 1.6, залитый на ргхост, с оставленными комментариями по типу:» все, скачал, брат жив, только антивирус отключить нужно» как только экзешный файл открывался - сразу же удалялся, а все логины и пароли приходили на почту лол, во время было то
Стоит защита, но бывает программисты ее обходят ) Особенно часто я видел это когда формируют запрос поиска через ILIKE: where("name ILIKE '%#{params[:query]}'")
Современные сайты разрабатываются на базе каких либо движков или фреймворков , все эти банальные вещи уже лет 15 как неактуальны . разработчику о них даже думать не приходится т.к платформа в себе уже содержит все необходимые меры предосторожности , и не только платформа , на уровне веб.сервера так же многое перекрыто , да и браузер не дурак - в общем столько уровней защиты , что что-то придумать или обойти на таком уровне нереально. П.С Если программист что-то отключает , то к этому моменту вроде как уже должен понимать что отключает и к чему это приводит.
Я же и показываю в видео, что мне приходится отключать встроенные защиты для демонстрации. Но опять же, это не защищает от плохого кода (все вешать на GET-запросы, или использовать интерполяцию в SQL-запросах). Порог входа в программирование постоянно снижается, а вместе с ним снижается и понимание от чего и как нас защищает фреймворк. Это видео не для тех, кто вырос на PHP, а тех, кто начал с рельсы и никогда не задумывался о безопасности. К тому же, как я рассказал в видео, баги все еще встречаются ) и довольно серьезные баги (исполнение кода), которые опять же возникают по вине разработчиков. Поэтому все равно видео считаю полезным)
Удивляют такие комментарии ) Каждый год тысячи студентов и самоучек идут в ИТ, откуда они все это должны узнавать? В универе об этом не рассказывают, свыше такая информация тоже не сваливается. Поэтому почему нет.. Я даже мини-доклад сделал в зарубежной компании, очень талантливым ребятам, и почти всем было интересно ) Последнюю ошибку, о которой я рассказал, допустил владелец компании, который уже на частном самолете летает и миллионы евро зарабатывает, я считаю не нам говорить, что он на галерах работает ) Со всеми случается.
Внимание! Опрос! Конкурс по взлому ) ruclips.net/user/postUgkxxiV75KYeEBtq71TlB_21l2QjOzwJtRZs
Приветствую! Продублирую своё мнение. Лично я за проведение конкурса или челленджа, но на мой взгляд главное не переборщить со сложностью заданий (уровней), так как для некоторых то или иное задание может быть сложным. Помню, когда-то на сайте "античат" были конкурсы по взлому. Если кому интересно, я когда-то делал ЮтубКвест состоящий из нескольких уровней с бонусом в конце - gthu9JVyOVA (ролик на ютубе, описание под видео, полную ссылку не даю, так как тут может быть включена блокировка ссылок), его можно считать как Цикада 3301 лайт :) Если прошёл уровень, оставил коммент, т.е. попал в таблицу рекордов. Первый уровень открыт для всех, все последующие скрыты для тех, кто не прошел предыдущие. Если кто знает подобные конкурсы или есть толковые идеи пишите.
Теперь боюсь переходить по всяким ссылкам)
Здравствуйте, я же могу в данный момент развернуть локально этот сервис у себя? Чтоб потренироваться, а то ошибки одни, ничего же не менялось?
Иван здравствуйте, можете пожалуйста подсказать, как поставить сайт на сервер, вроде все правильно пытаюсь сделать, или может у вас есть небольшой гайдик, буду очень благодарен!
ставлю в кали линукс
Искал серебро, нашел золото. Очень интересная тема для обсуждения в данном видео, то, чего мне явно не хватало. Подписался. Благодарю за ваш труд, Иван.
Иван, в разработке более 5 лет, пишу на Java. Для нашего мира такие уязвимости уже даже не закрываются, все идет из коробки. Единственное, что настраиваем, это csrf и cors. Очень качественное видео, освежил базу. Спасибо!
Тогда почему на сайте owasp различные иньекции все еще входят в топ 3 самых частых уязвимостей?
@@gggalahad Потому что там, вероятно, JSP.
@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?
@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?
Это не так, после первого же пентсета вы это поймёте
при использовании Laravel уже все эти проблемы решены из коробки, давно не актуально, но знать нужно!
спасибо Иван за информацию!
тем не менее никто не запрещает эти уязвимости открыть. Можна тот же CSRF отключить или написать нативный SQL без обработки параметров
Тем не менее есть кучи старых сайтов на старых архитектурах под которые к сожалению есть эксплойты
@@boiled_bricks нет никаких куч, такие уже давно взломаны и удалены.
Очень толковое объяснение некоторой небольшой части атак, очень интересно продолжение про LFI/RFI, IDOR, SSRF, и т.д.
Мужик, видео просто фантастика, лучше на просторах интернета на эту тему сейчас просто не найти. Благодарю
Огромная благодарность Вам за труд! Ждём вторую часть!
Спасибо. Очень интересная информация. Я правда думал, что большинство этих уязвимостей уже лет 10 как не актуальны)
На Джанго с 3 версии все эти неуязвимости из коробки сложно обойти. Но возможно (обходил)
это было давно
Все новое - это хорошо забытое старое ) поэтому периодически нужно все повторять. Как оказывается, даже в рельсе можно кривой код написать и получить все эти уязвимости обратно )
Все актуально
Иван, отличные наглядные примеры! Спасибо за старания!
Видео топ, базу разобрал 👍 Но было бы интересно продолжение, желательно так же нацеленное на веб по всем остальным уязвимостям, включая более редкие
🔥🔥🔥 Это лучшее, что я видел про атаки в вебе. Спасибо большое за примеры - наглядно стало понятнее, что это и как с этим бороться. 🤝
Ура разжевали тему по нормальному. Давно интересовала эта тема я не мог найти настолько номального обьяснения. Мужик, ты лучший!
Иван, в сфере форекса уже давно и копаю базы данных различных платформ, очень интересно было вспомнить базу !
Хорошее видео: все понятно, примеры понятны, спокойно и последовательно объясняете. У вас определенно талант! Подписался, жду еще видео)
Начинающий программист, очень круто объясняете Иван!
Превосходный гайд, спасибо за такое подробное объяснение!
Спасибо за видео, простое объяснение и классный пример уязвимостей!
Как же мне повезло, что в предложках попало это видео...Пишу на нейросетях с 0 коммерческий проект без знаний программирования. Я 2 недели убил, чтобы решить проблему настройки CSRF, чуть было не отключил, но в итоге поборол проблему, что фронтенд не мог нормально принять от бэка этот токен. Теперь я знаю, что это значимая защита в проекте))
Очень понравилось видео! Хотелось бы еще часть 2 :)
Очень полезный ролик! Хотим больше таких)
Хорошее видео,почему у автора так мало подписчиков,лайк в развитие канала
Очень жду вторую часть, начиная с CWE top 25)
топ 25 это часов на 10 нужно видео записывать?)
@@ivan.goncharovкаждую по 10
Иван, спасибо за подачу и шикарный уровень в профессии 💎🌟
Да, было дело́, нужен был другу пароль от аккаунта девушки в вк, это так 2009-2010 год был, и прям в форме почты пихал форму, где требовался пароль для подтверждения, и всё что вводилось в поле отправлялся на txt документ на бесплатном хостинге, готово, и да, после ввода пароля, чтобы жертва ничего не заподозрила ее действительно отправляло на сервис с открытками, эх... Какие простые были времена, сейчас сложно представить такие кражи, двухфакторные авторизации, с подтверждением с телефона... Теперь даже html форму не вставить в обычный почтовый клиент 😢... Кстати, друг уже женат на той жертве, наверное ничего плохого не увидел в ее переписке, возможно помог ему с выбором 😂
А вы сейчас до сих пор занимаетесь деятельностью в сфере кибербезопасности?
Да я и ранее этим не занимался, просто было как мимолётное хобби, так сказать любил "пакостить" по малолетству, ddosил бесячие ресурсы в локальной сети, крушил античит и играл с читами, сейчас мне уже почти под сорок лет... О, а ещё пиринговые сети p2p, помните? Ох какие перспективы открывались при расшаривании локального диска "С" 😄 Столько паролей было стырено с сохранялок браузеров
Мега интересно узнать об уязвимостях на сайтах🔥🔥🔥
Отличное видео! Спасибо! Жду вторую часть
Огромное спасибо за дословную и интересную подачу !🔥 Продолжайте - хотелось бы видеть ещё больше подобного контента!
Было бы таки ещё интересно узнать - аналогична ли структура взлома мобильных приложений? или "как мобильное приложение может быть взломано ?"
Классное видео. Особенно, про Куку Боба😅
Спасибо! 🎉🎉🎉 Ждем вторую часть)
Большое спасибо! Очень ценная информация!
Спасибо! Ждем вторую часть!
И музыка, между прочим, очень в тему 😊
Спасибо! Помогло еще раз освежить эти знания. Это всегда надо помнить. Недавно написала симпатичная азиатка на кривом русском: "Ой, я ваша плохо понимать, а вы мой переводчик? Ой, нет? Ну я устала, я ошиблась. Я из Гонконга. У меня бизнес. Полечу в Россию. Хотите вас в кафе приглашу? Вы такой классный, хочу дружить. Только это у меня рабочий аккаунт. Вот вам мой личный. Добавьте меня в друзья, пожалуйста. И ссылка." Надо было ему сказать: "слыш Вася, кончай комедию ломать. И акцент у тебя галимо получается. Ты лучше скажи, что за тема у тебя? Куда CSRF мутишь?." Но я забанил этого пользователя просто и все. Жаль( Надо было постебаться)))
Спасибо, поднял настроение )
Интересный разбор. Спасибо:)
Автор молодец, просто о важном.
Спасибо за такой подробный разбор
Отличное видео, спасибо за объяснение
Спасибо, всё очень понятно!
Наконец-то годнота подъехала!
Ничё не понятно - но Очень интересно !!
Интересно было посмотреть, лайк. Единственная просьба, плиз, не яваскрипт =)
привычка )
@@ivan.goncharov бывает, первый раз смотрел, так сразу ухо резануло)
в 2007 актуально было так ломать сайты..но сейчас это все уже предусмотрено
кем предусмотрено?)
@@ivan.goncharov в любом фреймворке если конечно ты совсем не аутист чтоб делать специально такие грубые ошибки с нефильтрацией или том же ларавел csfr token тоже предусмотрен
@@IstMirWurstпод каждым подобным роликом на русском, очень много комментов что такое щас не работает и тд. При этом почему-то топ компании по типу гугла ежегодно платят миллионы за такие баги в их сервисах. Никто просто баги по типу xss или sql инъекций не тестит тупо втыкая payload, есть 1000 и 1 обход и комбинирование багов
@@IstMirWurstне забывай, что современные веб приложения очень комплексные и состоят из множества модулей, часто разрабы подключают недостаточно защищенные модули, они не связаны с основным фреймворком, поэтому могут иметь совершенно иную защиту и быть не столь безопасными. Простой пример с wordpress, где основной модуль сайта (его ядро) крайне защищено, но основные уязвимости находят в модулях от сторонних разработчиков. И так происходит в любом движке или фреймворке.
А что за расширение с куками вы используете? Я вижу там много подробной информации, не могли бы поделиться?
EditThisCookie, в Chrome Store можно найти
Отличный контент, 👍 спасибо
Хотелось бы про вордпресс ролик,как защитить сайт.Ведь доля сайтов на нем почти 50%
Давно уже есть платины для wp
Спасибо за видео❤❤❤❤
Очень полезно, спасибо
Крутой контент!
ищем талантливого хакера в команду по покорению мира) напиши мне если умеешь все это
При union based sql injection для подбора можно просто указывать null. Union select null,null,null и тд
Кстати да. Оставьте ваши контакты, мы вам перезвоним )
@@ivan.goncharov зачем😁
@@РоманЕдутов-з2г за горло пожмякать😂
у капитана пара вопросов :)
Кстати нет, там бы не сработали null, они бы поломали код )
Ну а раз тема интересна, то проходим опрос в закрепе, хочу конкурс сделать по взлому )
Монтировать так и не научился, поэтому извиняюсь за слишком темное видео :)
Прошу прощения, может я чего то не знаю. Но разве это уже не давно решенные проблемы на всех современных сайтах? Ну, если упустить из статистики то что было написано лет 10 назад но до сих пор работает и сайты которые делают студенты за 20 долларов.
Судя по комментариям, многим это интересно, значит до сих пор актуально ) Студенты тоже должны откуда-то узнавать эту инфу. Некоторым просто интересно как ломают сайты. Если не узнали ничего нового, то в следующий раз что-то посложнее рассмотрим)
Очень круто! А есть ли где то это приложение на Github? хочу развернуть у себя, пощупать руками
Спасибо, добавил ссылки в описании :)
Спасибо большое!
интересно но ничерта не понтно. как скачать эту информацию себе в мозг быстро?
Спасибо за инфу, скажите а можно отследить взломщика, например по транзакции, номеру карты, ФИО, он же не может быть не видимым.
Если данные фальшивые, или указана карта дропа, то нет.
Уроки по Си планируете продолжать?
Планирую, но через одно видео. Следующее видео планирую на другую тему.
Хотелось бы увидеть больше Рельс
Как минимум пара еще будет ) Сейчас про опыт применения тактических шаблонов DDD в Rails готовлю.
Если взламывать сайты, писать разработчику, что нашел уязвимость и попросить его вознаграждение небольшое, то это не будет считаться как вымогательство/взлом сайта ?
Я не юрист, но вопрос интересный, спросил ChatGPT:
1. Взлом сайта: Независимо от намерений, несанкционированное проникновение на сайт или компьютерную систему является незаконным в большинстве стран. Это считается преступлением, даже если вы не нанесли вред.
2. Ответственность: Если вы нашли уязвимость без разрешения владельца сайта (например, через программу bug bounty или другую форму сотрудничества), и особенно если вы использовали её для доступа к защищенной информации, это может быть расценено как нарушение закона.
3. Вымогательство: Запрос денег за то, чтобы не раскрывать или не использовать уязвимость, также может квалифицироваться как вымогательство, даже если сумма относительно небольшая.
Что интересно, когда я проверял эти способы "взлома" хром каждый раз заменял опасные для DOM символы альтернативой которая есть в html
А Django насколько стойкий ко всему этому? Не в теме, но собираюсь делать на нем сайт
Не подскажу, потому что не видел джанго уже лет 10 )
solidJs ,быстрый как ванилька так что;)
15 лет назад мне на сайт напихали писюнов
Сейчас даже большие коммерческие проекты хрен кто осиливает )
😂
@@DmytroHaidash было, да, так узнал о xss/sql
Да ладно. Достаточно напихать писюнов в команду разработки без должного контроля, а дальше через какое-то время хакеры и в весь большой проект напихают.
Проходим опрос в закрепе - хочу сделать конкурс по взлому, посмотрим сколько людей наберется )
Не понял, а как тут SQL инъекция срабатывает при обычном get запросе? На бэке это же должно как то обрабатываться, каким то образом превращаться в реальный SQL запрос... Или это как то связано именно с ruby on rails?
Должно обрабатываться, есть встроенные защиты от инъекции, но если неправильно сформировать запрос (как было показано в видео), то защиты не сработают.
Вы не поверите
До сих пор очень крупные компании нашей страны не закрыли данные уязвимости
мощный)
В Angular такие уязвимости не работают. Всё, что вводит пользователь, отображается как encoded string (<script>) и ничего не выполняется.
не только такие уязвимости, например есть CORS, это на раскрытие информации
CORS это не уязвимость, это фича )
@@ivan.goncharov ну фича то понятно, но для хакера это плохо, особенно когда там Access-Control-Allow-Origin: *
а чем Access-Control-Allow-Origin: * плохо для хакера? Вроде наоборот хорошо )
@@ivan.goncharov я хз как обойти это, мб и хорошо
@@ivan.goncharovесли разрешены с кредами любые домены , что часто делают неопытные разработчики когда хотят упростить себе задачу , уже не фича))
Я не понял CSRF. Откуда хакерский сайт берёт значения для своей формы?
Значения какие именно? user_id?
@@ivan.goncharov я не внимательно посмотрел видео. Я думал вы в action указали хакерский сайт
чет прорвало с Боба)))
Давай вторую, шеф, красава!
Привет развитие каналу
спасибо за тутор
Тяжело перенести это на свой язык. Я не делал экранизацию полей HTML потому что не работал с пользовательским вводом, но знаю что это нужная вещь.
Остальное - наверное, не сработает. Если XSS не занесу в базу - все будет ок.
Проходим опрос в закрепе ) Будет возможность попрактиковаться и может перенести на свой язык )
SQL инъекции ушли в прошлое, когда в PHP добавили PDO. Я с тех пор никогда их не встречал ни одного запрос без плейсхолдеров уже лет 12. Сейчас это бородатая неактуалочка.
Я несколько лет работал в аутсорсинговой компании, там проекты менялись каждые 2 месяца, иногда и за 2 недели успевали дела поделать. Насмотрелся вообще всякого, особенно там, где индусы код писали, в америке много таких проектов ) Ну и слабо верится, что в PHP-мире все так идеально стало ) Битрикс с его кучей кривых плагинов еще жив, кстати?)
Кстати, лет 5 назад один америкос просил его проект доделать на PHP. Скинул код, а там в КАЖДОМ файле идет подключение к базе данных, в каждом файле конфиг и копи паст кучи функций. Я уверен где-то до сих пор пишут такой код, не говоря уже о допущенных уязвимостях )
17:00
Pepper это не соль, pepper это pepper
Разные понятия:)
Ну да, почитал, немного разные штуки, спасибо )
@@ivan.goncharov главное развиваться :)
От XSS помогает защитить CSP и trusted types.
А эти уязвимости реально до сих пор работают? Я думал уже давно все разрабы это все перекрывают
Как было показано в видео, любая из них еще может присутствовать. Видео было записано для новичков, которые и могут допускать ошибки, потому что ни один курс по программированию об этом не рассказывает.
@@ivan.goncharov Да это не претензия) Просто у меня например, на моем языке программирования, та же SQL-injection отсекается библиотекой из коробки, то же самое и с CSRF. Я уже давно не думаю над данными проблемами ибо знаю что при использовании общепринятой библиотеки, которая в любом случае будет, эти проблемы уйдут. И я реально думал что примерно то же самое происходит и на других языках
@@aks964 я понимаю, что не претензия, просто пытаюсь донести, что библиотеки защищают, но ими нужно правильно пользоваться ) Rails один из первых фреймворков, где появилась красивая ORM со всеми возможными защитами. Но до сих пор люди неправильно формируют запрос, особенно часто это происходит в LIKE запросе, пишут where("name ILIKE '%#{params[:query]}'") - и тут защита уже не сработает. 200% в вашем языке то же самое )
@@ivan.goncharov Я пишу на java с spring data и spring security. При авторизации spring security делает строго свои запросы, и подобные вещи он отсечет 200 процентов) При работе с бд "руками" идет генерация запросов через hibernate или сам спринг и оно аналогично это все переэкронирует и ты тоже в эту уязыимость не впоришься. Впороться в данную уязвимость в тории если прям сильно захотеть то можно, но это нужно сильно постараться, так же как, например, сделать утечку памяти. ps "руками" пишу тоже запросы крайне редко, обычно делаешь метод в интерфейсе и по названию данного метода оно просто загенерирует запросы. Я уже забыл когда запросы писал руками (в приложении, так то в бд хожу частенько чтобы посмотреть чтото) на самом деле
Ну для рельсы тоже есть куча гемов, которые проверяют безопасность кода по многим параметрам, но опять же, не все их используют )
P.S. проходим опрос в закрепе )
Иван создай пожалуйста телегу свою на всякий случай
Спасибо
Мне не понятно, зачем сайт ищет скрипт в имени и выполняет этот скрипт. Ну и пусть будет посетитель с именем alert(1), зачем его выполнять?
Браузер ничего не ищет, если он видит html-тег, его обязанность - как-то обработать этот тег. Чтобы браузер обработал alert(1) просто как текст, то в теле html это должно выглядеть как:
А не как . Т.е. знаки больше/меньше должны быть закодированы.
разве это не будет работать только локально?
как этот код вообще попадет и ввполнится другому клиенту на его машине?
Там же браузер получит JS и HTML, который выдаст сайт, а эти инъекции сайт как выдаст, если они по сути локально в вашем браузере?
@@ivan.goncharov
Что-то я не понимаю вопрос. Надо вам найти ролики о том как работает Веб, как работает http-протокол, и как работает браузер. Тогда все встанет на свои места. В идеале почитать книгу Таненбаума "Компьютерные Сети". Шикарная книга, очень хочу сделать ролик по ней когда-нибудь, но не в ближайшем будущем.
что такое рубен рейлс? что за слова?
Рубин на рельсах
Фреймворк
rubyonrails
Вообще не понимаю прикола с оплатой и различных манипуляций с ней. У меня к сайту прикручена оплата картой от банка, в котором открыт расчетный счет. Вся эта часть работает на стороне банка. Все, что требуется от меня это чтобы сайт поддерживал все необходимые протоколы безопасности. Иными словами мне нужно просто проставить галочки при регистрации домена и размещении его на чужом сервере.
Ну пример с оплатой это просто для наглядности. На самом деле это может быть любой важный экшн
🎉
все эти уязвимости не актуальны уже лет так двадцать :D
просто невозможно сделать сайт с этими уязвимостями, разве что прям специально делать их зачем-то.
еще посмеялся, что Перец - это по русски соль :D
Соль и перец - это хоть и похожие штуки, но разные!!! Даже если по какой-то причине не используется OAuth, а вручную хешируется, то будут использованы и соль и перец!
Реально, бородатая фигня! А больше всего улыбнуло, что юзает Last pass. Пару лет назад они всю базу свою продали…
Не знаю что ты имеешь ввиду под и соль и перец просто
sha256(пароль + salt) -> hash
@@qwert9313 так у гугла спроси, там понятное объяснение про шифрование
Это корпоративный аккаунт, компания юзает last pass и доверяет им, мне пофиг ) для них отдельная учетка в хроме. Свои пароли в облаках не храню )
Про соль уже тут в комментах разобрались, не знал разницу, всегда думал это тонкости перевода ) бывает. Про бородатость ок, не спорю, но все равно все актуально )
ты уверен, что это работает в то время когда ты это снимал?
что такое токены?
Бесплатный Стилер с билдом читов для кс 1.6, залитый на ргхост, с оставленными комментариями по типу:» все, скачал, брат жив, только антивирус отключить нужно» как только экзешный файл открывался - сразу же удалялся, а все логины и пароли приходили на почту лол, во время было то
спасибо
Вступление срок не светит если что , а максимум админка 😃
А что я там такого сказал? (или не сказал?) :)
@@ivan.goncharov я имел ввиду за взлом сайта и тому подобное если канешно это не Американские и Эвро- ресурсы
Все это прекрасно, но по моему уже устарело лет на 5 точно, хотя если на вордпрессе собирать или руби то возможно актуалльно 😊
Все может быть ) Но топ уязвимостей за прошлые годы говорит об обратном )
@@ivan.goncharov в этот год из каждого утюга говорят что нейро сетью можно создавать сайты, как там с уязвимость в топ не зашло? :)
куку боба 😂
SQL-injection что взламывать то, старая же, уже защита стоит
Стоит защита, но бывает программисты ее обходят ) Особенно часто я видел это когда формируют запрос поиска через ILIKE: where("name ILIKE '%#{params[:query]}'")
Такой смех с форсом 2fa 😅.
Современные сайты разрабатываются на базе каких либо движков или фреймворков , все эти банальные вещи уже лет 15 как неактуальны . разработчику о них даже думать не приходится т.к платформа в себе уже содержит все необходимые меры предосторожности , и не только платформа , на уровне веб.сервера так же многое перекрыто , да и браузер не дурак - в общем столько уровней защиты , что что-то придумать или обойти на таком уровне нереально.
П.С Если программист что-то отключает , то к этому моменту вроде как уже должен понимать что отключает и к чему это приводит.
Я же и показываю в видео, что мне приходится отключать встроенные защиты для демонстрации. Но опять же, это не защищает от плохого кода (все вешать на GET-запросы, или использовать интерполяцию в SQL-запросах). Порог входа в программирование постоянно снижается, а вместе с ним снижается и понимание от чего и как нас защищает фреймворк. Это видео не для тех, кто вырос на PHP, а тех, кто начал с рельсы и никогда не задумывался о безопасности.
К тому же, как я рассказал в видео, баги все еще встречаются ) и довольно серьезные баги (исполнение кода), которые опять же возникают по вине разработчиков. Поэтому все равно видео считаю полезным)
за взлом не посадят, а возьмут на работу
в каких галерах люди вообще работают если такие простые ошибки допускают...
Удивляют такие комментарии ) Каждый год тысячи студентов и самоучек идут в ИТ, откуда они все это должны узнавать? В универе об этом не рассказывают, свыше такая информация тоже не сваливается. Поэтому почему нет.. Я даже мини-доклад сделал в зарубежной компании, очень талантливым ребятам, и почти всем было интересно ) Последнюю ошибку, о которой я рассказал, допустил владелец компании, который уже на частном самолете летает и миллионы евро зарабатывает, я считаю не нам говорить, что он на галерах работает ) Со всеми случается.
@@ivan.goncharov я к тому, есть миллионы случаев, почему их не документируют и сжато пишут книги? Книги в которых есть суть а не воду на 1000 страниц
Книгу довольно тяжело выпустить, гораздо легче статью в блоге написать или ролик записать )
Проходим опрос в закрепе, люди с галер хотят конкурс простенький сделать )
это кто нынче сразу из ответа с сайта оптравляет в запрос? а по оплате так совсем смех.
Надо же примеры какие-то приводить. А там уже пусть люди примеряют на свой функционал, что нужно защищать, а что нет
Сори за хейт, но хэшИ это не правильно, правильно ударение на э хЭши. Прям бесит.
Ни разу не слышал такого произношения, буду знать ) А вот пишется это слово хЕш. Через е )
кЕши, Хэжи, жижи, шиши, жиши, пжижи ХЭЭЖИИИИИ!!!!
Фильтры ставить…
"Делаем просто вот так" - после этих слов я понял, что человек не понимает как защищать сервисы от уязвимостей) Мдам-с.
Все так, не умею )