Category: Веб-разработка

Яндекс.Танк и автоматизация нагрузочного тестирования

В ходе тестирования некоторых продуктов компании Positive Technologies возникла необходимость проведения быстрых стресс-тестов одного веб-сервиса. Эти тесты должны были быть простыми и быстрыми в разработке, нетребовательными к аппаратным ресурсам и…

XSS уязвимость и защита от XSS

XSS – это сокращение понятия расшифровываемое как “межсайтовый скриптинг”. В задачи межсайтового скриптинга и главной целью XSS является получениеcookies пользователей атакуемого сайта путем встраивания вредоносного кода в тело HTML страницы. В отличии…

Множественные CSRF уязвимости в крупнейших порталах Рунета

Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось).…

PHP-дайвинг: низкоуровневый поиск уязвимостей в веб-приложениях

Да, мы снова возвращаемся к теме поиска уязвимостей в PHP-скриптах. Предугадываю твой скептический настрой, но не закисай так быстро! Я постараюсь освежить твой взгляд на возможности исследования кода. Сегодня мы…

Оганичить доступ к сайту по географии

Недавно столкнулся с проблемой: на сайт в огромном количестве повалил китайский трафик. Оказалось, что одна из размещенных на моем хосте картинок попала в китайские блоги. Провайдер, у которого я арендую…

Используем nginx для выполнения интересных и нестандартных задач

Nginx стремительными темпами набирает популярность, превращаясь из просто ускорителя отдачи статики для Apache в полнофункциональный и развитый веб-сервер, который все чаще применяется обособленно. В этой статье мы поговорим об интересных…

Парсим крупный форум с помощью реверсинга его Android-приложения

Встала передо мной задача: слить контент одного огромного международного сайта с двадцатилетней историей и соответствующим количеством пользователей. Но вот досада — на сайте стоит достаточно умная защита, контент генерируется JavaScript,…

Трюки с phpinfo

Совсем недавно в паблике появилась информация о новом интересном подходе к эксплуатации уязвимостей класса LFI с помощью бесполезной на первый взгляд функции phpinfo() и временных загрузочных файлов. Берем на вооружение…

Бэкдор в БД: протроянивания MySQL с помощью хранимых функций, процедур и триггеров

В MySQL 5 появилось несколько существенных нововведений: поддержка хранимых процедур, функций и триггеров. Они успешно позволяют перенести на сторону БД некоторую часть выполняемых действий, тем самым крайне упрощая бизнес-логику приложения.…

Инъекция фрейма через метаданные PNG

Исследователи обнаружили относительно новый способ распространения зловредов. Можно внедрить код Javasсript в обфусцированные метаданные PNG, чтобы вызывать инъекцию вредоносного фрейма на веб-странице. Основная цель при использовании данной техники — избежать обнаружения зловреда…

DDoS-атака с 162 000 сайтов WordPress

DDoS-атаки стали обычным делом в последнее время. Для генерации флуда используются различные методы, иногда весьма креативные. Компания Sucuri рассказывает об одном таком случае, когда в атаке участвовали более 162 000 сайтов…

Google, Facebook, LinkedIn и Twitter разработают СУБД WebScaleSQL

Google, Facebook, LinkedIn и Twitter запустили проект WebScaleSQL, в рамках которого инженеры четырех компаний совместно будут решать проблемы обработки информации в массивных базах данных. Как ясно из названия, WebScaleSQL — это…