Вебинар по распознаванию ботов с помощью машинного обучения

В среду в 19:00 с моим коллегой Андреем Завгородним проводим вебинар “Распознавание активности ботов с помощью алгоритмов машинного обучения”. Ждем всех, кто интересуется машинным обучением и не только. И да, мы все еще ищем специалистов по веб-безопасности, хакеров и тех, кому интересно не только ломать, но и защищать для исследовательской работы в проекте PT Application […]

Компания Positive Technologies срочно ищет веб-хакеров разной квалификации

В первую очередь нам интересен ваш практический опыт в данном направлении, а не количество строчек в резюме. Приветствуется наличие статей в блогах и на форумах, в журнале Хакер, участие в CTF или bug-bounty программах. Пожелания с технической стороны: наличие навыков практической компрометации и защиты веб-приложений; желателен опыт программирования на любом из языков: Java, C#/VB (ASP, […]

Опубликован OWASP Top 10 2010 (RC1)

OWASP, открытый проект безопасности приложений, накануне представил для обсуждения новую версию списка десяти самых опасных угроз. В сравнении с OWASP Top 10 2007 изменениям подверглись четыре позиции. Меня удивило, что инклуд-баг Malicious File Execution был исключен из списка якобы в силу того, что PHP стал более безопасным по умолчанию. Видимо Jeremiah Grossman и компания не […]

SVN позволяет получить доступ к исходному коду

Сегодня на habrahabr.ru был опубликован весьма интересный пост, рассказывающий о том, как были получены исходные коды нескольких тысяч русских веб-проектов, включая yandex.ru, rambler.ru, mail.ru, rbk.ru, а также самого habrahabr.ru. Последствия находки, на первый взгляд, действительно потрясающие. Все строится на вполне очевидном факте – повсеместном использовании систем для контроля версий aka SVN. Дело в том, что […]

Презентация способов обхода XSS фильтров на BlackHat

Ежегодно проводимая конференция BlackHat является одним из самых значимых событий в сфере информационной безопасности. В этом году эксперты из множества стран собрались в Лас Вегасе, чтобы показать и обсудить результаты своих исследований. Разумеется, не обошли стороной веб-безопасность – наиболее интересное выступление дали Эдуардо Вела (Eduardo Vela) и Дэвид Линдсэй (David Lindsay) на тему реализации XSS-атак […]

XSS Rays – браузер как сканер XSS

Небезызвестный Gareth Heyes сегодня опубликовал свою новую утилиту для сканирования сайтов на наличие XSS. Особенность его разработки заключается в том, что процесс сканирования производится браузером атакующего при помощи javascript. Алгоритм довольно прост: javascript-код рекурсивно собирает все ссылки и формы со страниц сайта и проводит различные тесты, используя встроенную базу векторов. XSS Rays способен совершать кроссдоменные […]

Опубликован Browser Security Handbook

Компания Google в лице известного эксперта по веб-безопасности Michal Zalewski опубликовала 60-страничный документ, описывающий все тонкости современных браузеров с точки зрения их безопасности. Вся информация очень удобно скомпанована в виде наглядных таблиц, в которых отражены характеристики браузеров по тому или иному критерию. Помимо специалистов по веб-безопасности работа также представляет интерес для веб-разработчиков, которым постоянно приходится […]

Опубликованы подробности атаки Clickjacking

Последние две недели в среде специалистов по веб-безопасности не утихали разговоры по поводу готовящейся публикации деталей новой атаки, позволяющей незаметно для пользователя “украсть” его клики. Первоначально предполагалось, что Robert Hansen, известный под ником “RSnake” и Jeremiah Grossman опубликуют доклад о найденной ими новой уязвимости, получившей название Clickjacking, на конференции OWASP в Нью-Йорке 24 сентября 2008 […]

Памяти rgod’а…

Сегодня, зайдя на персональный сайт rgod’а, обнаружил это сообщение: I am not rgod. I’m a friend of his named Daniel.rgod died two days ago at that hospital in Catania. It was a surprise and a shock…to all of us who knew him. rgod was suffering of a rare bony marrow disease, leading to paralysis during […]

Я открылся!

Всем привет! Вот совсем недавно задался вопросом: “Почему бы не создать свой собственный блог, посвященный веб безопасности?” Действительно, наступило подоходящее время, так как у меня появилось достаточное количество знаний и опыта, и я подумал, что пора бы этим добром поделиться =) Нет, я не открываю свой блог, потому что это модно – я лишь хочу […]