Здравствуйте, дорогие друзья.
Подделка запросов на сайте — довольно старая уязвимость, о которой большинство людей не знают. Аналогично подделке запросов на сайте (CSRF) с помощью OSRF злоумышленник может заставить пользователя задействовать веб-браузер для выполнения запросов от имени злоумышленников. Единственное отличие …
Здравствуйте, дорогие друзья.
Согласно Google, Tornado — это масштабируемый, неблокирующий веб-сервер и платформа для веб-приложений, написанные на Python. У Tornado также есть собственный движок шаблонов, который, как и многие другие, уязвим для внедрения шаблонов на стороне сервера, если он реализован …
Новая бесплатная электронная книга: «Программирование на Go для начинающих» 
Здравствуйте, дорогие друзья.
Jinja2 — это движок шаблонов на python, который часто используется в приложениях Flask и Django. Пример уязвимого приложения flask приведен на рисунке ниже:
При тестировании server side template injection(SSTI) в приложении Jinja2 я обычно использую следующие полезные …
Здравствуйте, дорогие друзья.
Как и при заражении веб-кэша, при обмане веб-кэша, злоумышленник атакует сервер кэширования. С помощью этой атаки мы обманываем сервер кэширования, заставляя его кэшировать конфиденциальную информацию других пользователей. В определенных сценариях открытая информация может быть использована для захвата …
Здравствуйте, дорогие друзья.
Заражение веб-кэша — это метод, используемый злоумышленниками для принудительного выполнения кэширующими серверами вредоносных запросов. Чаще всего эта атака связана с self xss, которая превращает обнаружение xss с низким уровнем воздействия в обнаружение с высоким уровнем воздействия, поскольку …