Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника». Для этого мы используем заведомо уязвимое приложение, на примере которого покажу, как выглядят веб-сайты глазами атакующего: где
Приоритизация уязвимостей является важным этапом, входе которого необходимо оценить риск и последовательность устранения уязвимостей в приоритете - от самого критического до самого низкого риска.В предыдущей статье я описывал визуализацию уязвимостей с помощью Budibase, в этой статье я опишу собственную реализацию оценки приоритетности устранения уязвимостей и добавлю функционал на Budibase платформу. Читать далее
Обновился список Топ-10 уязвимостей от OWASP (Release Candidat 2)— наиболее критичных рисков безопасности веб-приложений. На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире. Проект OWASP Топ-10 отражает наиболее значимые угрозы веб-приложению. Читать дальше →
Microsoft выпустила плановые обновления безопасности, закрывающие 114 уязвимостей, включая 6 уязвимостей в Microsoft Edge и 4 уязвимости в Exchange Server. 19 уязвимостей были классифицированы как «Критические» и 88 – как «Важные». Среди закрытых уязвимостей две были обнародованы публично, а…