Интеграция системы «Антифрод» в работу операторов: требования к программному обеспечению и эффективность API
Внедрение системы «Антифрод» стало обязательным требованием к операторам связи. Давайте рассмотрим, как это сделать региональным операторам, сфокусируемся на технических аспектах и требованиях к оборудованию. Также подскажем, как сделать работу API системы максимально эффективной. Но самое главное...
Анализ безопасности приложений, использующих GraphQL API
Привет! Меня зовут Даниил Савин. Летом я участвовал в программе стажировки для безопасников от Бастион и в процессе глубоко исследовал тему безопасности приложений, использующих GraphQL. Так появилась статья, из которой вы узнаете: — какие встроенные функции есть у GraphQL; — как тестировать...
Безопасность API веб-приложений
Привет, Хабр! Это инженерный отдел по динамическому анализу Swordfish Security. В предыдущих статьях мы описывали плагин для OWASP ZAP, рассказывали, как сканировать приложения с помощью инструмента Burp Suite Pro и настроить автоматическую авторизацию в DAST-сканере. Сегодня мы обсудим, на что...
Добавили бота в свой Telegram канал? Будьте готовы с ним попрощаться
Изучая безопасность мессенджера Telegram, меня поразила одна его "особенность" при работе с ботами - выяснилось, что при добавлении в канал бота никак нельзя ограничить его в правах на удаление подписчиков. То есть, говоря прямо, любой бот может вычистить всю аудиторию канала за считанные минуты....
Автостопом по HashiCorp Vault
Оффтоп Наш рассказ — это гид автостопщика, некое summary тех вещей, которых нам не хватало при знакомстве с Vault. В нем мы сделаем несколько остановок: поговорим в целом про управление секретами, о том, почему мы рекомендуем именно Vault; рассмотрим, как Vault работает; поделимся лайфхаками по...
Добавляем номер в чёрный список с помощью API
Привет, Хабр! Меня зовут Анастасия Иванова, я технический писатель МТС Exolve. В этой статье я расскажу, как можно реализовать автоматическое добавление номеров в чёрный список после нескольких входящих звонков в веб-приложении на NodeJS. Читать далее...
5 принципов защиты данных при работе с API
В последние годы стало нормой использовать API при разработке веб- и мобильных приложений. В этой статье Екатерина Саяпина, Product Owner личного кабинета платформы МТС Exolve рассказывает, каким рискам могут подвергнуться данные при работе с API и что можно сделать для их защиты. Читать далее...
Система оповещения открытых портов на Alma Linux. Теория и реализация
Привет, Хабр! В данной статье я постарался максимально подробно описать создание данной системы, при этом параллельно предоставить читателю хорошую теоретическую базу и понимание происходящего. Также хотел бы уточнить, что поскольку в статье объясняются достаточно базовые вещи и задействован...
Пример интеграции мессенджера с DLP-системой InfoWatch Traffic Monitor через API
В этой статье мы расскажем, как внешние приложения и сервисы могут взаимодействовать с DLP-системой InfoWatch Traffic Monitor (далее ТМ) через API. API-интерфейс в TM разработан уже давно, но в последний год интерес к нему со стороны сторонних разработчиков значительно вырос. Интеграторы и вендоры...
Защищаем API – что важно знать?
В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого прогера. Интересно узнать об актуальных инструментах защиты API и о том, почему их важно...
Зачем компаниям API Management
Привет, Хабр! Сегодня обсудим тему управления API в корпорации. Поделимся опытом внедрения API-менеджмента в МТС, расскажем, что уже сделали, сколько потратили времени, с какими ошибками столкнулись, и зачем все это вообще нужно. Эта статья будет интересна всем, кто задумывается о централизации...
CLD — Open source проект для ИТ компаний и SRE/DevOps инженеров
CLD это система для обеспечения комплексной информационной безопасности и организации разграничения доступа к серверам и скриптам с возможностью оперативно внедрять пользовательские модули и инструменты автоматизации. Мы высоко ценим автоматизацию процессов и унификацию инфраструктуры, проект...
Критикую bug bounty программу Apple и наглядно показываю почему не стоит туда репортить баги
Небольшая история о том, как я зарепортил баги в Apple BugBounty Program Эта история началась 18 января 2022 года. У компании Apple есть платная API для разработчиков Apple Developer Program С помощью этого API можно получать информацию об артистах, альбомах, треках, видео, плейлистах, чартах,...
[Перевод] Рекомендации по проектированию безопасности API для внутренних и облачных систем
Эта статья является переводом моей английской статьи которую можно прочитать здесь. Заранее извиняюсь за возможные неточности в компьютерной терминологии на русском языке. Интерфейсы прикладного программирования или API отвечают за большую часть системной интеграции и функциональных компонентов...
Гайд по реверсу iOS приложения на примере ExpressVPN
В этой статье я расскажу о своем опыте реверса приватного API одного из популярных впн клиентов - ExpressVPN. Мы рассмотрим, как находить и обходить методы обнаружения MITM (обход ssl pinning), научимся работать с фридой в iOS реверсинге, поколупаемся в клиенте используя иду, и после этого разберем...
Обновляемся на новую версию API Android по наставлению Google
Скоро выходит Android 12, но в этом августе уже с 11-й версии разработчикам придётся использовать новые стандарты доступа приложений к внешним файлам. Если раньше можно было просто поставить флаг, что ваше приложение не поддерживает нововведения, то скоро они станут обязательными для всех. Главный...
API Revolut банка
Недостатки API Revolut 1. Scope не работает. Когда запрашиваем READ, то почему-то можно и писать, и отправлять платежи. Это позор! На мою претензию Revolut просто убрал его из документации. 2. Нет возможности отозвать токен. Опять позор! Токен можно перезапросить и не сохранить, тогда старый...
[Перевод] Кража персональных данных пользователя (PII) с помощью вызова API напрямую
Сегодня решили обсудить тему информационной безопасности. Публикуем перевод статьи Kunal pandey, обнаруживаем уязвимости и работаем на опережение! Введение Кража персональных данных (PII) пользователя стала для нас обыденным явлением. Злоумышленники находят множество способов получить персональные...