Приветствую! Продублирую своё мнение. Лично я за проведение конкурса или челленджа, но на мой взгляд главное не переборщить со сложностью заданий (уровней), так как для некоторых то или иное задание может быть сложным. Помню, когда-то на сайте "античат" были конкурсы по взлому. Если кому интересно, я когда-то делал ЮтубКвест состоящий из нескольких уровней с бонусом в конце - gthu9JVyOVA (ролик на ютубе, описание под видео, полную ссылку не даю, так как тут может быть включена блокировка ссылок), его можно считать как Цикада 3301 лайт :) Если прошёл уровень, оставил коммент, т.е. попал в таблицу рекордов. Первый уровень открыт для всех, все последующие скрыты для тех, кто не прошел предыдущие. Если кто знает подобные конкурсы или есть толковые идеи пишите.

Тогда почему на сайте owasp различные иньекции все еще входят в топ 3 самых частых уязвимостей?

@@gggalahad Потому что там, вероятно, JSP.

@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?

@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?

Это не так, после первого же пентсета вы это поймёте

На Джанго с 3 версии все эти неуязвимости из коробки сложно обойти. Но возможно (обходил)

это было давно

Все новое - это хорошо забытое старое ) поэтому периодически нужно все повторять. Как оказывается, даже в рельсе можно кривой код написать и получить все эти уязвимости обратно )

Все актуально

тем не менее никто не запрещает эти уязвимости открыть. Можна тот же CSRF отключить или написать нативный SQL без обработки параметров

Тем не менее есть кучи старых сайтов на старых архитектурах под которые к сожалению есть эксплойты

топ 25 это часов на 10 нужно видео записывать?)

@@ivan.goncharovкаждую по 10

Про куки тема не раскрыта полностью, как они отрабатывают из скрипта, фрейма и т.п. Почему подтверждение критической операции по токену нужно завершать, а не по отправке формы. Можно ли в скрытом сформировать страницу и скрипт нужно сайта, и дергать её из главного потока пытаясь вырвать данные.

привычка )

@@ivan.goncharov бывает, первый раз смотрел, так сразу ухо резануло)

Кстати да. Оставьте ваши контакты, мы вам перезвоним )

@@ivan.goncharov зачем😁

@@user-fo6fg3uv1v за горло пожмякать😂

у капитана пара вопросов :)

Кстати нет, там бы не сработали null, они бы поломали код ) Ну а раз тема интересна, то проходим опрос в закрепе, хочу конкурс сделать по взлому )

😂

@@user-xr6vv8tp2u было, да, так узнал о xss/sql

Да ладно. Достаточно напихать писюнов в команду разработки без должного контроля, а дальше через какое-то время хакеры и в весь большой проект напихают.

Проходим опрос в закрепе - хочу сделать конкурс по взлому, посмотрим сколько людей наберется )

кем предусмотрено?)

@@ivan.goncharov в любом фреймворке если конечно ты совсем не аутист чтоб делать специально такие грубые ошибки с нефильтрацией или том же ларавел csfr token тоже предусмотрен

@@IstMirWurst как я уже устал писать, каждый год появляются тысячи новых разработчиков, которые пока не понимают для чего писать так или иначе. Откуда они должны узнать что, для чего, и кем предусмотрено? ) И опять же, от csrf защита не сработает, если какой-то важный экшен навешен на GET-запрос, как я и показал. Те же LIKE-запросы раньше встречал даже в обучающих статьях без фильтрации. И есть еще один очень важный момент - статистика. Все эти ошибки до сих пор в топе. Каждый год. Все аутисты что ли?) Нет, просто джунам и даже мидлам нужно хоть раз показать от чего их защищает фреймворк, а от чего они должны защищаться сами. Что в этом видео и постарался сделать. А актуально это или нет, можно посмотреть в статистике.

Как минимум пара еще будет ) Сейчас про опыт применения тактических шаблонов DDD в Rails готовлю.

CORS это не уязвимость, это фича )

@@ivan.goncharov ну фича то понятно, но для хакера это плохо, особенно когда там Access-Control-Allow-Origin: *

а чем Access-Control-Allow-Origin: * плохо для хакера? Вроде наоборот хорошо )

@@ivan.goncharov я хз как обойти это, мб и хорошо

​​@@ivan.goncharovесли разрешены с кредами любые домены , что часто делают неопытные разработчики когда хотят упростить себе задачу , уже не фича))

Проходим опрос в закрепе ) Будет возможность попрактиковаться и может перенести на свой язык )

Я не юрист, но вопрос интересный, спросил ChatGPT: 1. Взлом сайта: Независимо от намерений, несанкционированное проникновение на сайт или компьютерную систему является незаконным в большинстве стран. Это считается преступлением, даже если вы не нанесли вред. 2. Ответственность: Если вы нашли уязвимость без разрешения владельца сайта (например, через программу bug bounty или другую форму сотрудничества), и особенно если вы использовали её для доступа к защищенной информации, это может быть расценено как нарушение закона. 3. Вымогательство: Запрос денег за то, чтобы не раскрывать или не использовать уязвимость, также может квалифицироваться как вымогательство, даже если сумма относительно небольшая.

Спасибо, добавил ссылки в описании :)

Я же и показываю в видео, что мне приходится отключать встроенные защиты для демонстрации. Но опять же, это не защищает от плохого кода (все вешать на GET-запросы, или использовать интерполяцию в SQL-запросах). Порог входа в программирование постоянно снижается, а вместе с ним снижается и понимание от чего и как нас защищает фреймворк. Это видео не для тех, кто вырос на PHP, а тех, кто начал с рельсы и никогда не задумывался о безопасности. К тому же, как я рассказал в видео, баги все еще встречаются ) и довольно серьезные баги (исполнение кода), которые опять же возникают по вине разработчиков. Поэтому все равно видео считаю полезным)

Ну да, почитал, немного разные штуки, спасибо )

@@ivan.goncharov главное развиваться :)

Если данные фальшивые, или указана карта дропа, то нет.

Планирую, но через одно видео. Следующее видео планирую на другую тему.

Я несколько лет работал в аутсорсинговой компании, там проекты менялись каждые 2 месяца, иногда и за 2 недели успевали дела поделать. Насмотрелся вообще всякого, особенно там, где индусы код писали, в америке много таких проектов ) Ну и слабо верится, что в PHP-мире все так идеально стало ) Битрикс с его кучей кривых плагинов еще жив, кстати?)

Кстати, лет 5 назад один америкос просил его проект доделать на PHP. Скинул код, а там в КАЖДОМ файле идет подключение к базе данных, в каждом файле конфиг и копи паст кучи функций. Я уверен где-то до сих пор пишут такой код, не говоря уже о допущенных уязвимостях )

Должно обрабатываться, есть встроенные защиты от инъекции, но если неправильно сформировать запрос (как было показано в видео), то защиты не сработают.

Не подскажу, потому что не видел джанго уже лет 10 )

solidJs ,быстрый как ванилька так что;)

Реально, бородатая фигня! А больше всего улыбнуло, что юзает Last pass. Пару лет назад они всю базу свою продали…

Не знаю что ты имеешь ввиду под и соль и перец просто sha256(пароль + salt) -> hash

@@qwert9313 так у гугла спроси, там понятное объяснение про шифрование

Значения какие именно? user_id?

@@ivan.goncharov я не внимательно посмотрел видео. Я думал вы в action указали хакерский сайт

А что я там такого сказал? (или не сказал?) :)

Все может быть ) Но топ уязвимостей за прошлые годы говорит об обратном )

@@ivan.goncharov в этот год из каждого утюга говорят что нейро сетью можно создавать сайты, как там с уязвимость в топ не зашло? :)

Браузер ничего не ищет, если он видит html-тег, его обязанность - как-то обработать этот тег. Чтобы браузер обработал alert(1) просто как текст, то в теле html это должно выглядеть как: <script>alert(1)</script> А не как . Т.е. знаки больше/меньше должны быть закодированы.

разве это не будет работать только локально? как этот код вообще попадет и ввполнится другому клиенту на его машине? Там же браузер получит JS и HTML, который выдаст сайт, а эти инъекции сайт как выдаст, если они по сути локально в вашем браузере? ​@@ivan.goncharov

Что-то я не понимаю вопрос. Надо вам найти ролики о том как работает Веб, как работает http-протокол, и как работает браузер. Тогда все встанет на свои места. В идеале почитать книгу Таненбаума "Компьютерные Сети". Шикарная книга, очень хочу сделать ролик по ней когда-нибудь, но не в ближайшем будущем.

Ruby сильно недооценен :) Я постараюсь в одном из видео показать как красиво на нем можно описывать логику приложения. Даже продакт-менеджерам, далеким от программирования, можно скидывать код и они будут понимать, правильная логика или нет. Таких возможностей нет ни в одном языке :)

@@ivan.goncharov Рынок главный судья.

Согласен на все 100, но пока еще вижу много возможностей для руби ) Пока еще он даже до конца не раскрыл свой потенциал, как я считаю ) На PHP я лет 7 просидел, нормальный язык, претензий не имею, но не кайф ) PS проходим опрос в закрепе )

Как было показано в видео, любая из них еще может присутствовать. Видео было записано для новичков, которые и могут допускать ошибки, потому что ни один курс по программированию об этом не рассказывает.

@@ivan.goncharov Да это не претензия) Просто у меня например, на моем языке программирования, та же SQL-injection отсекается библиотекой из коробки, то же самое и с CSRF. Я уже давно не думаю над данными проблемами ибо знаю что при использовании общепринятой библиотеки, которая в любом случае будет, эти проблемы уйдут. И я реально думал что примерно то же самое происходит и на других языках

@@aks964 я понимаю, что не претензия, просто пытаюсь донести, что библиотеки защищают, но ими нужно правильно пользоваться ) Rails один из первых фреймворков, где появилась красивая ORM со всеми возможными защитами. Но до сих пор люди неправильно формируют запрос, особенно часто это происходит в LIKE запросе, пишут where("name ILIKE '%#{params[:query]}'") - и тут защита уже не сработает. 200% в вашем языке то же самое )

@@ivan.goncharov Я пишу на java с spring data и spring security. При авторизации spring security делает строго свои запросы, и подобные вещи он отсечет 200 процентов) При работе с бд "руками" идет генерация запросов через hibernate или сам спринг и оно аналогично это все переэкронирует и ты тоже в эту уязыимость не впоришься. Впороться в данную уязвимость в тории если прям сильно захотеть то можно, но это нужно сильно постараться, так же как, например, сделать утечку памяти. ps "руками" пишу тоже запросы крайне редко, обычно делаешь метод в интерфейсе и по названию данного метода оно просто загенерирует запросы. Я уже забыл когда запросы писал руками (в приложении, так то в бд хожу частенько чтобы посмотреть чтото) на самом деле

Ну для рельсы тоже есть куча гемов, которые проверяют безопасность кода по многим параметрам, но опять же, не все их используют ) P.S. проходим опрос в закрепе )

Стоит защита, но бывает программисты ее обходят ) Особенно часто я видел это когда формируют запрос поиска через ILIKE: where("name ILIKE '%#{params[:query]}'")

Информация предоставлена в образовательных целях )

Все так, не умею )

И даже не собирается уходить )

Удивляют такие комментарии ) Каждый год тысячи студентов и самоучек идут в ИТ, откуда они все это должны узнавать? В универе об этом не рассказывают, свыше такая информация тоже не сваливается. Поэтому почему нет.. Я даже мини-доклад сделал в зарубежной компании, очень талантливым ребятам, и почти всем было интересно ) Последнюю ошибку, о которой я рассказал, допустил владелец компании, который уже на частном самолете летает и миллионы евро зарабатывает, я считаю не нам говорить, что он на галерах работает ) Со всеми случается.

@@ivan.goncharov я к тому, есть миллионы случаев, почему их не документируют и сжато пишут книги? Книги в которых есть суть а не воду на 1000 страниц

Книгу довольно тяжело выпустить, гораздо легче статью в блоге написать или ролик записать )

Проходим опрос в закрепе, люди с галер хотят конкурс простенький сделать )

Ни разу не слышал такого произношения, буду знать ) А вот пишется это слово хЕш. Через е )

кЕши, Хэжи, жижи, шиши, жиши, пжижи ХЭЭЖИИИИИ!!!!

Что?

гей скрипт

Яна Чиле на раслабоне

Яна вай бе, Яна орфеева, Яна Чиле а ты???

Я и не обещал )

@@ivan.goncharov лучше бы показал, как электронный дневник взломать и оценки исправить. А не этот пердёж в холостую

@@user-fg3wl4xu9d тебе это никак уже не поможет

@@ivan.goncharov а че ты на личности переходишь?

​@@user-fg3wl4xu9dдружище 🤔😊, чтобы получать хорошие оценки достаточно не прогуливать школу и воображать себя будущим хацкером, достаточно не грубить людям.

Ценю мнение, но это только кажется) Многие мидлы сейчас не знают об этих ошибках, потому что порог входа в АйТи снижается каждый год. Появляются более простые инструменты, более простые/быстрые курсы и тд. И даже с крутыми программистами в команде, в нашем проекте (довольно большом) были 3 из 5 уязвимостей, которые я описал. Также я занимался Data Scraping 2 года. За это время спарсил > 10.000 веб-сайтов, по 50 парсилок в день бывало писал. У меня очень большая насмотренность. Баги/кривые конфиги попадаются очень часто. Поэтому бред или не бред, а актуальность эта информация всегда будет иметь)

Я застал времена без фреймворков, когда в основном писали на php. Уязвимы были 9 из 10 вебсайтов. Потому что каждый изобретал свой велосипед и в основном как раз вшивый ) Поэтому фреймворки как раз это благо.

@@ivan.goncharov Я имею в виду и технологии и протоколы и все остальное и JS и REST и т.д. просто не стал удлинять предложение нудными деталями. Такие уязвимости можно рассматривать только как закладки. Например нельзя что ли было заескейпить пользовательский ввод встроенно?

Не работал с PDO, но на первый взгляд похоже на мини-копию рубишного ActiveRecord. А значит есть вероятность накосячить и там ) Вся суть видео - в том, что ошибки совершает программист. Даже если его защищает фреймворк, библиотеки, ангелы хранители, все равно допустить ошибку можно. Допустим вот такой код точно так же уязвим: $userInput = $_GET['user_input']; $sql = "SELECT * FROM users WHERE username = '{$userInput}'"; $stmt = $pdo->query($sql); Я помню в PHP есть еще настройки для экранирования кавычек, но их тоже вроде как-то можно обойти )

@@ivan.goncharov да, но с PDO используют $pdo->prepare($sql); и execute() А прямые SQL-запросы должны на перепросмотре кода отсекаться

Ну если так подходить, то все ок будет ) на самом деле, везде есть возможности накосячить, и есть возможности добавить больше защиты. Главное - чтобы программист заботился и безопасности. Для этого и видео, как напоминалка о безопасности ) PS проходим опрос в закрепе, )