Яндекс.Танк и автоматизация нагрузочного тестирования
В ходе тестирования некоторых продуктов компании Positive Technologies возникла необходимость проведения быстрых стресс-тестов одного веб-сервиса. Эти тесты должны были быть…
Две истории об уязвимостях в сервисах Google
Уязвимость была в сервисе под названием Feedburner. Сначала я создал фид и попробовал в него внедрить код. Но на странице…
Необычные XSS уязвимости
В этой статье не будет рассказываться о том, что такое XSS и с чем его едят. Все мы уже большие…
XSS уязвимость и защита от XSS
XSS – это сокращение понятия расшифровываемое как “межсайтовый скриптинг”. В задачи межсайтового скриптинга и главной целью XSS является получениеcookies пользователей атакуемого сайта…
Множественные CSRF уязвимости в крупнейших порталах Рунета
Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь,…
PHP-дайвинг: низкоуровневый поиск уязвимостей в веб-приложениях
Да, мы снова возвращаемся к теме поиска уязвимостей в PHP-скриптах. Предугадываю твой скептический настрой, но не закисай так быстро! Я…
Оганичить доступ к сайту по географии
Недавно столкнулся с проблемой: на сайт в огромном количестве повалил китайский трафик. Оказалось, что одна из размещенных на моем хосте…
Используем nginx для выполнения интересных и нестандартных задач
Nginx стремительными темпами набирает популярность, превращаясь из просто ускорителя отдачи статики для Apache в полнофункциональный и развитый веб-сервер, который все…
Парсим крупный форум с помощью реверсинга его Android-приложения
Встала передо мной задача: слить контент одного огромного международного сайта с двадцатилетней историей и соответствующим количеством пользователей. Но вот досада…
Трюки с phpinfo
Совсем недавно в паблике появилась информация о новом интересном подходе к эксплуатации уязвимостей класса LFI с помощью бесполезной на первый…
Бэкдор в БД: протроянивания MySQL с помощью хранимых функций, процедур и триггеров
В MySQL 5 появилось несколько существенных нововведений: поддержка хранимых процедур, функций и триггеров. Они успешно позволяют перенести на сторону БД…
Инъекция фрейма через метаданные PNG
Исследователи обнаружили относительно новый способ распространения зловредов. Можно внедрить код Javasсript в обфусцированные метаданные PNG, чтобы вызывать инъекцию вредоносного фрейма на веб-странице.…
DDoS-атака с 162 000 сайтов WordPress
DDoS-атаки стали обычным делом в последнее время. Для генерации флуда используются различные методы, иногда весьма креативные. Компания Sucuri рассказывает об…
Google, Facebook, LinkedIn и Twitter разработают СУБД WebScaleSQL
Google, Facebook, LinkedIn и Twitter запустили проект WebScaleSQL, в рамках которого инженеры четырех компаний совместно будут решать проблемы обработки информации в…