[Перевод] Шпаргалки по безопасности: сброс пароля
Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru. Читать далее...
Пентест вебсайта с помощью Owasp Zap
Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент...
Web Security by Bugbounty
Идея заключается в следующем — подготовить лабораторный стенд для изучения уязвимостей, находящихся в данном топе. О том, как запустить и найти пример приложения с уязвимостью, можно почитать вот здесь. Задания будут решены до момента использования уязвимости, которая заложена в приложение,...
[Перевод] Перевод стандарта ASVS 4.0. Часть 1
Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для...
Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM
5 марта 2020 года в офисе OZON прошёл очередной митап Московского отделения сообщества OWASP. Кажется, что получилось здорово, а краткий отчёт с материалами встречи был недавно опубликован на Хабре. В этом же посте представлен доклад oxdef. Продолжая серию экспресс-докладов про проекты OWASP,...
OWASP Moscow 2020/1 записи докладов
5 марта 2020 года в московском офисе компании OZON прошла очередная встреча Московского отделения сообщества OWASP. В этой статье будут представлены материалы с прошедшей встречи. Читать дальше →...
Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости
Некоторое время назад возникло желание реинкарнировать свой Wordpress-блог. Параллельно возникло желание упорядочить и систематизировать накопленные знания для сдачи экзамена ECSA. Все это привело меня к развертыванию блога на отдельно стоящем сервере. Через некоторый промежуток времени ожидаемо...
Повышаем культуру информационной безопасности в финтех-компании
Современные компании требуют особого подхода к обеспечению информационной безопасности. Отдел ИБ перестаёт быть только надзирателем и контролёром, начинает активно разговаривать с людьми, становится полноправным участником бизнес-процессов. Читать дальше →...
OWASP Moscow Meetup #9
6 декабря 2019 года в московском офисе BI.ZONE пройдёт очередной OWASP Meetup — встреча Московского отделения сообщества, на которой соберутся специалисты по информационной безопасности. Читать дальше →...
Шпаргалки по безопасности: JWT
Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации. JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между...
Шпаргалки по безопасности: REST
REST — чрезвычайно популярная архитектура веб-приложений. Для вызова функций на сервере используются обычные HTTP-запросы с задаваемыми параметрами (для структуризации параметров обычно используют JSON или XML), при этом, строгого стандарта для REST-архитектуры не существует, что добавляет ей...
Шпаргалки по безопасности: Docker
Docker контейнеры — самая популярная технология для контейнеризации. Изначально она использовалась в основном для dev и test окружений, со временем перешла и в production. Docker контейнеры начали плодиться в production среде, как грибы после дождя, однако мало из тех, кто использует данную...
OWASP Russia Meetup — запись выступлений
3 апреля при поддержке компании «Инфосистемы Джет» состоялась очередная встреча российского отделения сообщества OWASP, на которой собрались специалисты по информационной безопасности. Запись выступлений спикеров можно посмотреть в представленном ниже видеоролике. Читать дальше →...
Далее