Уязимости веб-приложений.png
765.6 KB
"Безопасность веб-приложений" Эльдар Заитов" - Школа информационной безопасности Яндекс 2018.
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
Первая лекция из серии уроков Яндекса по безопасности. + Авторский бонусный материал в виде майнд-мапы по серверным и клиентским уязвимостям, а также способам защиты
https://www.youtube.com/watch?v=rSp2cpAI4Tc&list=PLdJo1XilUTZPOJ1kSnoKheT7YSygP9FIO
#web #code #lecture #dev
building-web-apps-that-respect-user-privacy-and-security.pdf
17.7 MB
"Building Web Apps
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
that Respect a User’s
Privacy and Security" Adam D. Scott
- Как работает web tracking, и как вы можете предоставить пользователям более широкие возможности контроля конфиденциальности.
- HTTPS, как использовать этот протокол для шифрования пользовательских соединений.
- Платформы веб-разработки, которые обеспечивают встроенную поддержку безопасности для защиты пользовательских данных.
- Методы для обеспечения аутентификации пользователя, а также для санитайзинга и проверки пользовательского ввода
- Как обеспечить экспорт, который позволит пользователям восстанавливать свои данные при закрытии сервиса
#literature #web #dev #ops
Csper Builder - Автоматическая генерация Content Security Policy
Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.
#web #tools #dev
Csper Builder - расширение для Firefox, которое позволит автоматически сформировать CSP для вашего веб-ресурса, работая в фоновом режиме на базе ваших посещений различных страниц.
#web #tools #dev
Stanford - Web Security
Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.
https://web.stanford.edu/class/cs253/
#web #dev #ops
Курс Stanford по защите веб-приложений. Включает в себе видео, слайды курса, материалы для чтения и задания. Для практических упражнений курс предлагает проекты по написанию эксплойтов безопасности, защите небезопасных веб-приложений и внедрению новых веб-стандартов.
https://web.stanford.edu/class/cs253/
#web #dev #ops
Automatic API Attack Tool
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
Automatic API Attack Tool от Imperva принимает спецификацию API в качестве входных данных, после чего генерирует и запускает фаззиннг-атаки основываясь на выходных данных. Инструмент также может быть расширен для запуска таких атак, как XSS, SLi, RFi и т.д. Может быть встроен в CI/CD.
#tool #fuzzing #web #dev #ops
GitHub
GitHub - imperva/automatic-api-attack-tool: Imperva's customizable API attack tool takes an API specification as an input, generates…
Imperva's customizable API attack tool takes an API specification as an input, generates and runs attacks that are based on it as an output. - imperva/automatic-api-attack-tool
This media is not supported in your browser
VIEW IN TELEGRAM
InQL Scanner - tool to ease testing of GraphQL
InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.
GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.
InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.
#tool #web #dev #ops #attack
InQL - инструмент для тестирования GraphQL, доступный как CLI, так и в виде расширения Burp Suite.
GraphQL - это синтаксис, который описывает как запрашивать данные, и, в основном, используется клиентом для загрузки данных с сервера. Набирающий популярность GraphQL предоставляет единую "умную" точку входа в виде конечного сервера, решая недостатки традиционного REST.
InQL, в свою очередь, позволяет получить информацию о запросах, мутациях, полях, аргументах и объектах за счет сгенерированного запроса introspection к целевой конечной точке GraphQL. Инструмент проверяет результаты запроса и генерирует документацию в различных форматах (HTML, JSON). В связке с Burp Suite можно также искать открытые консоли, использовать генерацию шаблонов в Repeater и специальную новую вкладку для GraphQL в каждом HTTP-запросе.
#tool #web #dev #ops #attack
Hacktory
Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.
Сейчас там доступно два курса.
Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.
Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.
Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.
https://hacktory.ai/
#web #practice #dev #attack
Hacktory - образовательная онлайн платформа для всех, кто заинтересован в AppSec, Red и Blue Teams.
Сейчас там доступно два курса.
Первый, "Безопасность WEB", научит искать уязвимости и устранять их в различных аспектах и компонентах Web.
Второй, "Java Secure Programming", тоже основан на опыте пентестеров и призван научить делать ваши Java-приложения безопасными и надёжными. Этот курс продолжает развиваться и дополняться.
Внутри площадки можно поднимать лаборатории с виртуальными машинами, которые необходимо взламывать.
https://hacktory.ai/
#web #practice #dev #attack
hacktory.ai
Hacktory | Immersive cybersecurity educational platform
Hacktory are professional AppSec, Red and Blue Teams developing their online learning platform. Create an account to get started.
OpenRASP - Runtime Application Self-Protection
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops
OpenRASP - бесплатный open-source проект для защиты веб-приложений китайской компании Baidu Security, которая тесно сотрудничает с OWASP. В отличие от WAF, OpenRASP интегрируется напрямую с сервером приложения, отслеживая обращения к базе данных, файловые операции, сетевые запросы и тд. Инструмент регистрирует события в формате JSON.
#tools #web #ops