Специалисты составили топ веб-уязвимостей 2020 года
Компания PortSwigger выпустила ежегодную подборку наиболее эффективных хакерских приемов. Голосование проводится с 2006 года, по итогам прошлого года организаторы отметили рост интереса сообщества специалистов по инфобезопасности к атакам, использующим прокси-серверы и многоуровневую архитектуру. В тройке лидеров 2020 года оказались:
3. Атака на Secondary C — внедрение в HTTP-запросы вторичных данных, таких как иконка сайта, например. Это прием с применением обходного пути, использующий неупорядоченность в прокси-серверах, микрофронтендах и балансировщиках загрузок.
2. Портативная эксфильтрация данных (Portable Data exFiltration): XSS для PDF-файлов. Метод предполагает форматирование и расширение парсеров PDF, что позволяет перейти от внедрения ссылки в PDF файл к краже документа, выполнению алгоритма JavaScript и межсерверной подделке запросов (SSRF).
1. H2C Smuggling. H2C — это принятое сокращение протокола HTTP/2 Cleartext, а сам метод подразумевает использование H2C для отправки запросов на прокси-сервер, который после этого обходит механизмы контроля доступа к серверу.
Список топ-10 хакерских приемов 2020 года можно посмотреть по ссылке:
https://portswigger.net/research/top-10-web-hacking-techniques-of-2020
#веб #кибербезопасность
Компания PortSwigger выпустила ежегодную подборку наиболее эффективных хакерских приемов. Голосование проводится с 2006 года, по итогам прошлого года организаторы отметили рост интереса сообщества специалистов по инфобезопасности к атакам, использующим прокси-серверы и многоуровневую архитектуру. В тройке лидеров 2020 года оказались:
3. Атака на Secondary C — внедрение в HTTP-запросы вторичных данных, таких как иконка сайта, например. Это прием с применением обходного пути, использующий неупорядоченность в прокси-серверах, микрофронтендах и балансировщиках загрузок.
2. Портативная эксфильтрация данных (Portable Data exFiltration): XSS для PDF-файлов. Метод предполагает форматирование и расширение парсеров PDF, что позволяет перейти от внедрения ссылки в PDF файл к краже документа, выполнению алгоритма JavaScript и межсерверной подделке запросов (SSRF).
1. H2C Smuggling. H2C — это принятое сокращение протокола HTTP/2 Cleartext, а сам метод подразумевает использование H2C для отправки запросов на прокси-сервер, который после этого обходит механизмы контроля доступа к серверу.
Список топ-10 хакерских приемов 2020 года можно посмотреть по ссылке:
https://portswigger.net/research/top-10-web-hacking-techniques-of-2020
#веб #кибербезопасность
Ученые разработали «канареечную ловушку» для киберпреступников
Эксперты по кибербезопасности департамента компьютерных наук Дартмутского колледжа разработали новую систему защиты интеллектуальной собственности на основе искусственного интеллекта под названием We-forge. Система работает по технике шпионажа, известной как «канареечная ловушка», которая для сокрытия информации использует несколько версий фальшивых документов. Так можно, например, обнаружить утечку данных или отвлечь внимание мошенников от ценной информации.
По словам одного из создателей системы, We-forge обрабатывает естественный язык для автоматического создания множества документов, которые одновременно похожи и не похожи на оригинал. Когда злоумышленник взламывает систему, он сталкивается с непростой задачей — выяснить, какой из документов настоящий. Но даже если преступник найдет оригинал, он не может быть уверен в его подлинности. Это заставляет преступника тратить на взлом еще больше времени, сил и денег.
В отличие от других похожих инструментов, We-forge специализируется на фальсификации технической информации, а не сокрытии простой информации, такой как пароли. В рамках исследования команда фальсифицировала серию патентов по информатике и химии и попросила группу лиц определить, какие из документов были настоящими. Результаты показали, что We-forge смогла последовательно генерировать очень правдоподобные поддельные документы для каждой задачи.
Полный текст статьи можно прочитать по ссылке:
https://techxplore.com/news/2021-03-cybersecurity-canary.html
#кибербезопасность
Эксперты по кибербезопасности департамента компьютерных наук Дартмутского колледжа разработали новую систему защиты интеллектуальной собственности на основе искусственного интеллекта под названием We-forge. Система работает по технике шпионажа, известной как «канареечная ловушка», которая для сокрытия информации использует несколько версий фальшивых документов. Так можно, например, обнаружить утечку данных или отвлечь внимание мошенников от ценной информации.
По словам одного из создателей системы, We-forge обрабатывает естественный язык для автоматического создания множества документов, которые одновременно похожи и не похожи на оригинал. Когда злоумышленник взламывает систему, он сталкивается с непростой задачей — выяснить, какой из документов настоящий. Но даже если преступник найдет оригинал, он не может быть уверен в его подлинности. Это заставляет преступника тратить на взлом еще больше времени, сил и денег.
В отличие от других похожих инструментов, We-forge специализируется на фальсификации технической информации, а не сокрытии простой информации, такой как пароли. В рамках исследования команда фальсифицировала серию патентов по информатике и химии и попросила группу лиц определить, какие из документов были настоящими. Результаты показали, что We-forge смогла последовательно генерировать очень правдоподобные поддельные документы для каждой задачи.
Полный текст статьи можно прочитать по ссылке:
https://techxplore.com/news/2021-03-cybersecurity-canary.html
#кибербезопасность
Upwork-аккаунт в аренду: разработчики массово получают подозрительные письма
Специалист по кибербезопасности Влад Стыран опубликовал в Twitter подозрительное письмо с просьбой аренды его аккаунта на фриланс-площадке Upwork. Отправитель, неизвестный разработчик из Азии, привел массу аргументов, объясняющих необходимость передачи в совместное пользование платформы, и даже предложил за это откат в 10% в месяц со всех выполненных работ.
https://highload.today/upwork-akkaunt-v-arendu-razrabotchiki-massovo-poluchayut-podozritelnye-pisma/?utm_source=telegram&utm_medium=social&utm_campaign=telega
#Upwork #кибербезопасность #фишинг #новости
Специалист по кибербезопасности Влад Стыран опубликовал в Twitter подозрительное письмо с просьбой аренды его аккаунта на фриланс-площадке Upwork. Отправитель, неизвестный разработчик из Азии, привел массу аргументов, объясняющих необходимость передачи в совместное пользование платформы, и даже предложил за это откат в 10% в месяц со всех выполненных работ.
https://highload.today/upwork-akkaunt-v-arendu-razrabotchiki-massovo-poluchayut-podozritelnye-pisma/?utm_source=telegram&utm_medium=social&utm_campaign=telega
#Upwork #кибербезопасность #фишинг #новости
5 лучших npm-пакетов для защиты серверной части Node.js: DoS-атаки, XSS-уязвимости и MIME-сниффинг
Разработчик Нитин Ранганатх поделился пятью лучшими, по его мнению, npm-пакетами для защиты от распространенных атак. С их помощью можно за несколько простых действий сделать приложение на Node.js + Express.js безопаснее. Все, что нужно сделать, это просто установить их и использовать в качестве промежуточного программного обеспечения.
Какие меры безопасности предпринимаете вы? Делитесь своими вариантами в комментариях.
https://highload.today/5-luchshih-npm-paketov-dlya-zashhity-servernoj-chasti-node-js-dos-ataki-xss-uyazvimosti-i-mime-sniffing/?utm_source=telegram&utm_medium=social&utm_campaign=telega
#кибербезопасность #решения
Разработчик Нитин Ранганатх поделился пятью лучшими, по его мнению, npm-пакетами для защиты от распространенных атак. С их помощью можно за несколько простых действий сделать приложение на Node.js + Express.js безопаснее. Все, что нужно сделать, это просто установить их и использовать в качестве промежуточного программного обеспечения.
Какие меры безопасности предпринимаете вы? Делитесь своими вариантами в комментариях.
https://highload.today/5-luchshih-npm-paketov-dlya-zashhity-servernoj-chasti-node-js-dos-ataki-xss-uyazvimosti-i-mime-sniffing/?utm_source=telegram&utm_medium=social&utm_campaign=telega
#кибербезопасность #решения
