Приветствую! Продублирую своё мнение. Лично я за проведение конкурса или челленджа, но на мой взгляд главное не переборщить со сложностью заданий (уровней), так как для некоторых то или иное задание может быть сложным. Помню, когда-то на сайте "античат" были конкурсы по взлому. Если кому интересно, я когда-то делал ЮтубКвест состоящий из нескольких уровней с бонусом в конце - gthu9JVyOVA (ролик на ютубе, описание под видео, полную ссылку не даю, так как тут может быть включена блокировка ссылок), его можно считать как Цикада 3301 лайт :) Если прошёл уровень, оставил коммент, т.е. попал в таблицу рекордов. Первый уровень открыт для всех, все последующие скрыты для тех, кто не прошел предыдущие. Если кто знает подобные конкурсы или есть толковые идеи пишите.

Теперь боюсь переходить по всяким ссылкам)

Здравствуйте, я же могу в данный момент развернуть локально этот сервис у себя? Чтоб потренироваться, а то ошибки одни, ничего же не менялось?

Иван здравствуйте, можете пожалуйста подсказать, как поставить сайт на сервер, вроде все правильно пытаюсь сделать, или может у вас есть небольшой гайдик, буду очень благодарен! ставлю в кали линукс

Тогда почему на сайте owasp различные иньекции все еще входят в топ 3 самых частых уязвимостей?

@@gggalahad Потому что там, вероятно, JSP.

@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?

@@ilyatemnikov9624 тоесть только jsp подвержены иньекциям?

Это не так, после первого же пентсета вы это поймёте

тем не менее никто не запрещает эти уязвимости открыть. Можна тот же CSRF отключить или написать нативный SQL без обработки параметров

Тем не менее есть кучи старых сайтов на старых архитектурах под которые к сожалению есть эксплойты

@@boiled_bricks нет никаких куч, такие уже давно взломаны и удалены.

На Джанго с 3 версии все эти неуязвимости из коробки сложно обойти. Но возможно (обходил)

это было давно

Все новое - это хорошо забытое старое ) поэтому периодически нужно все повторять. Как оказывается, даже в рельсе можно кривой код написать и получить все эти уязвимости обратно )

Все актуально

топ 25 это часов на 10 нужно видео записывать?)

@@ivan.goncharovкаждую по 10

А вы сейчас до сих пор занимаетесь деятельностью в сфере кибербезопасности?

Да я и ранее этим не занимался, просто было как мимолётное хобби, так сказать любил "пакостить" по малолетству, ddosил бесячие ресурсы в локальной сети, крушил античит и играл с читами, сейчас мне уже почти под сорок лет... О, а ещё пиринговые сети p2p, помните? Ох какие перспективы открывались при расшаривании локального диска "С" 😄 Столько паролей было стырено с сохранялок браузеров

Спасибо, поднял настроение )

привычка )

@@ivan.goncharov бывает, первый раз смотрел, так сразу ухо резануло)

кем предусмотрено?)

@@ivan.goncharov в любом фреймворке если конечно ты совсем не аутист чтоб делать специально такие грубые ошибки с нефильтрацией или том же ларавел csfr token тоже предусмотрен

@@IstMirWurstпод каждым подобным роликом на русском, очень много комментов что такое щас не работает и тд. При этом почему-то топ компании по типу гугла ежегодно платят миллионы за такие баги в их сервисах. Никто просто баги по типу xss или sql инъекций не тестит тупо втыкая payload, есть 1000 и 1 обход и комбинирование багов

@@IstMirWurstне забывай, что современные веб приложения очень комплексные и состоят из множества модулей, часто разрабы подключают недостаточно защищенные модули, они не связаны с основным фреймворком, поэтому могут иметь совершенно иную защиту и быть не столь безопасными. Простой пример с wordpress, где основной модуль сайта (его ядро) крайне защищено, но основные уязвимости находят в модулях от сторонних разработчиков. И так происходит в любом движке или фреймворке.

EditThisCookie, в Chrome Store можно найти

Давно уже есть платины для wp

Кстати да. Оставьте ваши контакты, мы вам перезвоним )

@@ivan.goncharov зачем😁

@@РоманЕдутов-з2г за горло пожмякать😂

у капитана пара вопросов :)

Кстати нет, там бы не сработали null, они бы поломали код ) Ну а раз тема интересна, то проходим опрос в закрепе, хочу конкурс сделать по взлому )

Судя по комментариям, многим это интересно, значит до сих пор актуально ) Студенты тоже должны откуда-то узнавать эту инфу. Некоторым просто интересно как ломают сайты. Если не узнали ничего нового, то в следующий раз что-то посложнее рассмотрим)

Спасибо, добавил ссылки в описании :)

Если данные фальшивые, или указана карта дропа, то нет.

Планирую, но через одно видео. Следующее видео планирую на другую тему.

Как минимум пара еще будет ) Сейчас про опыт применения тактических шаблонов DDD в Rails готовлю.

Я не юрист, но вопрос интересный, спросил ChatGPT: 1. Взлом сайта: Независимо от намерений, несанкционированное проникновение на сайт или компьютерную систему является незаконным в большинстве стран. Это считается преступлением, даже если вы не нанесли вред. 2. Ответственность: Если вы нашли уязвимость без разрешения владельца сайта (например, через программу bug bounty или другую форму сотрудничества), и особенно если вы использовали её для доступа к защищенной информации, это может быть расценено как нарушение закона. 3. Вымогательство: Запрос денег за то, чтобы не раскрывать или не использовать уязвимость, также может квалифицироваться как вымогательство, даже если сумма относительно небольшая.

Не подскажу, потому что не видел джанго уже лет 10 )

solidJs ,быстрый как ванилька так что;)

😂

@@DmytroHaidash было, да, так узнал о xss/sql

Да ладно. Достаточно напихать писюнов в команду разработки без должного контроля, а дальше через какое-то время хакеры и в весь большой проект напихают.

Проходим опрос в закрепе - хочу сделать конкурс по взлому, посмотрим сколько людей наберется )

Должно обрабатываться, есть встроенные защиты от инъекции, но если неправильно сформировать запрос (как было показано в видео), то защиты не сработают.

CORS это не уязвимость, это фича )

@@ivan.goncharov ну фича то понятно, но для хакера это плохо, особенно когда там Access-Control-Allow-Origin: *

а чем Access-Control-Allow-Origin: * плохо для хакера? Вроде наоборот хорошо )

@@ivan.goncharov я хз как обойти это, мб и хорошо

​​@@ivan.goncharovесли разрешены с кредами любые домены , что часто делают неопытные разработчики когда хотят упростить себе задачу , уже не фича))

Значения какие именно? user_id?

@@ivan.goncharov я не внимательно посмотрел видео. Я думал вы в action указали хакерский сайт

Проходим опрос в закрепе ) Будет возможность попрактиковаться и может перенести на свой язык )

Я несколько лет работал в аутсорсинговой компании, там проекты менялись каждые 2 месяца, иногда и за 2 недели успевали дела поделать. Насмотрелся вообще всякого, особенно там, где индусы код писали, в америке много таких проектов ) Ну и слабо верится, что в PHP-мире все так идеально стало ) Битрикс с его кучей кривых плагинов еще жив, кстати?)

Кстати, лет 5 назад один америкос просил его проект доделать на PHP. Скинул код, а там в КАЖДОМ файле идет подключение к базе данных, в каждом файле конфиг и копи паст кучи функций. Я уверен где-то до сих пор пишут такой код, не говоря уже о допущенных уязвимостях )

Ну да, почитал, немного разные штуки, спасибо )

@@ivan.goncharov главное развиваться :)

Как было показано в видео, любая из них еще может присутствовать. Видео было записано для новичков, которые и могут допускать ошибки, потому что ни один курс по программированию об этом не рассказывает.

@@ivan.goncharov Да это не претензия) Просто у меня например, на моем языке программирования, та же SQL-injection отсекается библиотекой из коробки, то же самое и с CSRF. Я уже давно не думаю над данными проблемами ибо знаю что при использовании общепринятой библиотеки, которая в любом случае будет, эти проблемы уйдут. И я реально думал что примерно то же самое происходит и на других языках

@@aks964 я понимаю, что не претензия, просто пытаюсь донести, что библиотеки защищают, но ими нужно правильно пользоваться ) Rails один из первых фреймворков, где появилась красивая ORM со всеми возможными защитами. Но до сих пор люди неправильно формируют запрос, особенно часто это происходит в LIKE запросе, пишут where("name ILIKE '%#{params[:query]}'") - и тут защита уже не сработает. 200% в вашем языке то же самое )

@@ivan.goncharov Я пишу на java с spring data и spring security. При авторизации spring security делает строго свои запросы, и подобные вещи он отсечет 200 процентов) При работе с бд "руками" идет генерация запросов через hibernate или сам спринг и оно аналогично это все переэкронирует и ты тоже в эту уязыимость не впоришься. Впороться в данную уязвимость в тории если прям сильно захотеть то можно, но это нужно сильно постараться, так же как, например, сделать утечку памяти. ps "руками" пишу тоже запросы крайне редко, обычно делаешь метод в интерфейсе и по названию данного метода оно просто загенерирует запросы. Я уже забыл когда запросы писал руками (в приложении, так то в бд хожу частенько чтобы посмотреть чтото) на самом деле

Ну для рельсы тоже есть куча гемов, которые проверяют безопасность кода по многим параметрам, но опять же, не все их используют ) P.S. проходим опрос в закрепе )

Браузер ничего не ищет, если он видит html-тег, его обязанность - как-то обработать этот тег. Чтобы браузер обработал alert(1) просто как текст, то в теле html это должно выглядеть как: <script>alert(1)</script> А не как . Т.е. знаки больше/меньше должны быть закодированы.

разве это не будет работать только локально? как этот код вообще попадет и ввполнится другому клиенту на его машине? Там же браузер получит JS и HTML, который выдаст сайт, а эти инъекции сайт как выдаст, если они по сути локально в вашем браузере? ​@@ivan.goncharov

Что-то я не понимаю вопрос. Надо вам найти ролики о том как работает Веб, как работает http-протокол, и как работает браузер. Тогда все встанет на свои места. В идеале почитать книгу Таненбаума "Компьютерные Сети". Шикарная книга, очень хочу сделать ролик по ней когда-нибудь, но не в ближайшем будущем.

Рубин на рельсах Фреймворк rubyonrails

Ну пример с оплатой это просто для наглядности. На самом деле это может быть любой важный экшн

Реально, бородатая фигня! А больше всего улыбнуло, что юзает Last pass. Пару лет назад они всю базу свою продали…

Не знаю что ты имеешь ввиду под и соль и перец просто sha256(пароль + salt) -> hash

@@qwert9313 так у гугла спроси, там понятное объяснение про шифрование

Это корпоративный аккаунт, компания юзает last pass и доверяет им, мне пофиг ) для них отдельная учетка в хроме. Свои пароли в облаках не храню )

Про соль уже тут в комментах разобрались, не знал разницу, всегда думал это тонкости перевода ) бывает. Про бородатость ок, не спорю, но все равно все актуально )

А что я там такого сказал? (или не сказал?) :)

@@ivan.goncharov я имел ввиду за взлом сайта и тому подобное если канешно это не Американские и Эвро- ресурсы

Все может быть ) Но топ уязвимостей за прошлые годы говорит об обратном )

@@ivan.goncharov в этот год из каждого утюга говорят что нейро сетью можно создавать сайты, как там с уязвимость в топ не зашло? :)

Стоит защита, но бывает программисты ее обходят ) Особенно часто я видел это когда формируют запрос поиска через ILIKE: where("name ILIKE '%#{params[:query]}'")

Я же и показываю в видео, что мне приходится отключать встроенные защиты для демонстрации. Но опять же, это не защищает от плохого кода (все вешать на GET-запросы, или использовать интерполяцию в SQL-запросах). Порог входа в программирование постоянно снижается, а вместе с ним снижается и понимание от чего и как нас защищает фреймворк. Это видео не для тех, кто вырос на PHP, а тех, кто начал с рельсы и никогда не задумывался о безопасности. К тому же, как я рассказал в видео, баги все еще встречаются ) и довольно серьезные баги (исполнение кода), которые опять же возникают по вине разработчиков. Поэтому все равно видео считаю полезным)

Удивляют такие комментарии ) Каждый год тысячи студентов и самоучек идут в ИТ, откуда они все это должны узнавать? В универе об этом не рассказывают, свыше такая информация тоже не сваливается. Поэтому почему нет.. Я даже мини-доклад сделал в зарубежной компании, очень талантливым ребятам, и почти всем было интересно ) Последнюю ошибку, о которой я рассказал, допустил владелец компании, который уже на частном самолете летает и миллионы евро зарабатывает, я считаю не нам говорить, что он на галерах работает ) Со всеми случается.

@@ivan.goncharov я к тому, есть миллионы случаев, почему их не документируют и сжато пишут книги? Книги в которых есть суть а не воду на 1000 страниц

Книгу довольно тяжело выпустить, гораздо легче статью в блоге написать или ролик записать )

Проходим опрос в закрепе, люди с галер хотят конкурс простенький сделать )

Надо же примеры какие-то приводить. А там уже пусть люди примеряют на свой функционал, что нужно защищать, а что нет

Ни разу не слышал такого произношения, буду знать ) А вот пишется это слово хЕш. Через е )

кЕши, Хэжи, жижи, шиши, жиши, пжижи ХЭЭЖИИИИИ!!!!

Все так, не умею )