Разбор атаки на 2FA российского банка
Сегодня разберём реальный кейс пентеста крупного российского банка. Поговорим о том, как двухфакторная аутентификация превратилась в иллюзию безопасности, и что делать, чтобы ваша защита не была такой же. Речь пойдёт не о сложных zero‑day эксплоитах, а о банальной ошибке, которая до сих пор...
[Перевод] setHTML(), Trusted Types и Sanitizer API
Ранняя версия Sanitizer API была реализована в Chrome, но позже была удалена. Поэтому не стоит ориентироваться на старые материалы — спецификация API со временем значительно изменилась. На данный момент Sanitizer API поддерживается в Firefox Nightly в соответствии с актуальной спецификацией. В...
Как мы обманули Mozilla и почти взломали Selectel
Привет, Хабр! Я Ксюша, младший специалист по безопасности конечных устройств в Selectel. Мы с командой ежегодно проверяем наших сотрудников на внимательность с помощью фишинг-тестов. В этот раз решили отойти от формулы привычного фишинга и сделать что-то новое. Написали браузерное расширение на...
Обход блокировки РКН с помощью магии Service Worker'ов
Приветствую, Хабр! Я не претендую на срывание покров или какой-то революционный способ, но мой метод позволит как минимум сохранить ту часть трафика, так преданного вашему проекту/сайту/блогу, и немного вернуть справедливость со всеми этими перипетиями с массовыми блокировками. Читать дальше →...