10 Types of Web Vulnerabilities that are Often Missed, OWASP Top 10 Over Time

Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.

Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs

А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.

#dev

Popular NPM package UA-Parser-JS poisoned with cryptomining, password-stealing malware

Несколько дней назад в популярном пакете ua-parser-js был обнаружен криптомайнер и password-stealer. Пакет используется такими компаниями как Google, Amazon, Facebook, IBM и Microsoft. Предполагается, что вредоносное ПО попало в пакет после получения доступа к учетной записи мейнтейнера злоумышленником.

Подверженные версии:
0.7.29, 0.8.0, 1.0.0.
Проблема устранена в:
0.7.30, 0.8.1, 1.0.1.

Сейчас уязвимость уже есть во многих AV-движках (в случае если на вашем слейве есть AV) и закрытых базах платных SCA (например, Sonatype под идентификатором sonatype-2021-1529)

P.S. Зависимость может быть транзитивной, поэтому ее можно ожидать в том же пакете react.

#attack #dev #news