Deteact — Тестирование на проникновение. Информационная безопасность
Deteact — Тестирование на проникновение. Информационная безопасность
В прошедшую неделю закончились масштабные пятидневные киберучения The Standoff. Наши специалисты также поучаствовали в соревновании в качестве команды Red Team. Всего на стороне защиты участвовало 6 команд, а на стороне нападения — 29 команд из
Insecure Direct Object Reference (IDOR) — очень распространённый вид недостатков авторизационной логики приложения. Потенциальный ущерб от эксплуатации IDOR может быть как минимальным, так и критическим. Рассмотрим некоторые случаи, когда наличие IDOR позволило реализовать угрозу с
Команда Deteact провела анализ защищённости сервиса блкочейн-голосований на базе платформы Waves Enterprise. Waves Enterprise — это блокчейн-платформа, объединяющая приватные и публичные сети. Компания также предоставляет услуги по разработке, внедрению и поддержке блокчейн-решений. Аудит включал тестирование
In English: https://blog.deteact.com/csp-bypass/ Content Security Policy (CSP) — это дополнительный механизм безопасности, встроенный в браузеры, позволяющий предотвращать Cross Site Scripting (XSS). CSP позволяет определять белые списки источников для подключения JavaScript, стилей, изображений, фреймов, создания соединений.
In English: https://blog.deteact.com/bitrix-waf-bypass/ UPD: Присвоен идентификатор CVE-2020-13758 Бывает, что при проведении XSS отражённого типа параметры попадают прямо в тело тега script. Обычно это означает, что эксплуатация тривиальна: не помешает кодирование скобок, не помешают многие фаерволы,