Результаты поиска

Сегодня разберём сложную уязвимость — Type Confusion в движках V8 (Chrome), SpiderMonkey (Firefox) и JavaScriptCore (Safari). Это не просто баг, а полноценный RCE (Remote Code Execution) в браузере! Что такое Type Confusion? Это когда движок JS неправильно определяет тип объекта в памяти...

Сегодня разберём реальную угрозу, о которой мало говорят — Client-Side Prototype Pollution в популярных JavaScript-библиотеках. Суть уязвимости Многие сайты используют сторонние JS-библиотеки (jQuery, Lodash, Angular и т.д.). Если в них есть уязвимость Prototype Pollution, злоумышленник может...

Сегодня разберём продвинутую уязвимость — HTTP/2 Request Smuggling, позволяющую обходить файерволы и получать доступ к закрытым данным. Что такое HTTP/2 Request Smuggling? Это техника, когда злоумышленник отправляет специально сформированные HTTP/2-запросы, которые по-разному...

Сегодня разберём нестандартную атаку — DOM Clobbering, которая позволяет перезаписывать JavaScript-переменные через HTML-разметку. Что такое DOM Clobbering? Это техника, когда злоумышленник внедряет HTML-элементы (например, <a id="x">), которые "перебивают" (clobber) глобальные переменные в...

Сегодня разберём Web Cache Poisoning — атаку, которая позволяет подменять содержимое кеша и травить пользователей вредоносными данными. Что такое Web Cache Poisoning? Это когда злоумышленник заставляет сервер или прокси (Cloudflare, Varnish, Nginx) закешировать вредоносный контент, который...

Сегодня разберём опасную, но неочевидную уязвимость — Insecure Deserialization (небезопасная десериализация), которая может привести к полному взлому сервера (RCE). Что такое десериализация? Десериализация — это процесс преобразования строки или бинарных данных (например, JSON, XML, pickle)...

Сегодня разберём SSRF — уязвимость, которая позволяет злоумышленнику заставить сервер делать HTTP-запросы от своего имени. Что такое SSRF? Server-Side Request Forgery — это когда злоумышленник может отправить с сервера произвольный запрос (например, к внутренней сети или облачным метаданным)...

Сегодня разберём неочевидную, но опасную уязвимость, которая встречается в JavaScript — Prototype Pollution (PP). Что такое Prototype Pollution? Это атака, при которой злоумышленник модифицирует прототип объекта в JavaScript, что может привести к: - Изменению логики приложения - XSS-атакам...

Сегодня я хочу рассказать об одной из самых опасных уязвимостей в веб-приложениях — SQL-инъекции (SQLi). Что такое SQL-инъекция? SQL-инъекция — это атака, при которой злоумышленник внедряет вредоносный SQL-код в запрос к базе данных. Это позволяет выполнять произвольные команды, такие как: -...

C# (произносится как "си шарп") — это современный высокоуровневый язык программирования общего назначения, разработанный компанией Microsoft. Он сочетает в себе мощь, гибкость и простоту, что делает его популярным для разработки различных типов приложений. 1. Особенности языка C# Плюсы: ✅...

Приветствую! Хочу поделиться готовой реализацией простейшей системы авторизации на PHP и MySQL. Всё разложено по полочкам: SQL-структура базы данных, РНР-код для входа, пояснения и рекомендации. 1. Создание базы данных Для работы нужна БД auth_db и таблица users. SQL-запросы (выполнить в...