уязвимость
18 статей с этим тегом
Массовая утечка MOVEit (2023) — как zero-day SQL-инъекция достигла 2700+ организаций и как защититься
Входом стала zero-day SQL-инъекция (CVE-2023-34362) в выходящем в интернет MOVEit Transfer. Был установлен веб-шелл (LEMURLOOT), и данные массово украдены из базовой БД, затронув 2700+ организаций и ~93,3 млн человек. Большинство жертв задеты косвенно, потому что MOVEit использовал поставщик. В вашей среде: быстрый патчинг KEV, минимизация открытости, минимальные привилегии и сегментация web↔БД, инвентаризация поставщиков и минимизация данных.
Что такое CORS — как он работает и что открывает неправильная настройка
CORS — это то, как браузер управляет тем, может ли JS другого источника читать ответы вашего API. Неправильная настройка — отражение любого Origin или Access-Control-Allow-Origin:* с учётными данными — позволяет стороннему сайту читать данные с активным сеансом. Реальная защита: allowlist, не отражать Origin вслепую, запрет по умолчанию.
Что такое фиксация сессии — заставить жертву войти с ID, который атакующий уже знает
Фиксация сессии заставляет жертву использовать известный атакующему ID сессии, а затем выдаёт себя за неё после её входа с этим ID. Реальная защита: регенерировать ID сессии при входе (и при смене привилегий). Не принимайте ID из URL и укрепляйте cookie флагами HttpOnly/Secure/SameSite.
Что такое IDOR — увидеть чужие данные, просто изменив идентификатор
IDOR позволяет пользователю изменить ?id=124 на 125 и прочитать чужой счёт или персональные данные — нарушение контроля доступа. Реальная защита: на сервере при каждом доступе проверять, разрешён ли вошедшему пользователю этот объект. Трудноугадываемые идентификаторы — не решение.
Что такое кликджекинг — невидимые ловушки, заставляющие нажимать скрытые кнопки
Кликджекинг невидимо накладывает ваш настоящий сайт поверх страницы злоумышленника, чтобы пользователь выполнил непреднамеренное действие (перевод, изменение настроек, согласие). Реальная защита — отказ помещаться во фрейм: CSP frame-ancestors плюс X-Frame-Options.
Что такое открытый редирект — ваш доверенный URL как трамплин на чужой сайт
Открытый редирект позволяет параметру вроде ?next= перенаправить пользователя на любой внешний сайт, заимствуя доверие к вашему домену для фишинга. Реальная защита: никогда не принимать внешние URL как цель редиректа — только относительные пути и allowlist.
Что такое path traversal — чтение файлов, которые сервер не должен отдавать, через ../
Path traversal подмешивает ../ во ввод имени файла, чтобы выйти из базового каталога и читать/писать .env, конфиги или ключи. Реальная защита: никогда не использовать пользовательский ввод как сырой путь к файлу и нормализовать-затем-ограничивать внутри разрешённого базового каталога.
Что такое CSRF (Cross-Site Request Forgery) — как заставить вошедшего пользователя действовать ненамеренно
CSRF заставляет браузер вошедшего пользователя отправить непреднамеренное действие, злоупотребляя привычкой браузера автоматически прикреплять куки. Реальная защита — CSRF-токены плюс куки SameSite. Никогда не используйте GET для изменений состояния.
Что такое SQL-инъекция (SQLi) — когда ввод переписывает команды вашей базы данных
SQLi — это когда ввод читается как «часть команды», а не данные, меняя смысл запроса — прямой путь к чтению/изменению/удалению. Реальная защита — перестать склеивать SQL строками и передавать значения через плейсхолдеры (подготовленные выражения).
Что такое XSS (Cross-Site Scripting) — код, выполняющийся в чужом браузере
XSS заставляет подставленную атакующим строку выполниться «как скрипт» в браузере другого пользователя — прямой путь к краже сессии и выдаче себя за него. Реальная защита — экранирование на выводе. Не отключайте авто-экранирование вашего фреймворка.
Что такое CVE — общий «игровой номер» для уязвимостей
CVE — это глобально общий идентификатор уязвимости (например, CVE-2025-12345). CVE = имя, CVSS = серьёзность, KEV = эксплуатируется ли она. Это якорь для мониторинга. Отслеживайте машинами, а не вручную.
Что такое RCE (Remote Code Execution) — почему это худший класс багов
RCE позволяет атакующему выполнить произвольный код на вашем сервере — прямой путь к захвату, худший класс. Радиус поражения задаётся привилегиями работающего процесса. Главные средства защиты — быстрые патчи, мониторинг CVE и минимум привилегий.
Что такое CVSS — оценка серьёзности и как её на самом деле выставляют
CVSS оценивает серьёзность от 0.0 до 10.0. Оценка вычисляется из определённых метрик (вектор атаки, сложность, привилегии, взаимодействие пользователя, область, воздействие на CIA) по публичной формуле — а не на глаз. Зная шкалу, вы поймёте, что означает 10.0. И всё же расставляйте приоритеты по KEV (эксплуатируется ли она) и тому, используете ли вы её.
Что такое SSRF (Server-Side Request Forgery)
SSRF злоупотребляет URL из внешнего ввода, чтобы заставить сервер обратиться к внутренним ресурсам (внутренние IP, облачные метаданные). Если вы загружаете URL, нужен allowlist назначений, блокировка внутренних целей и закрытие брешей редиректов/DNS-rebinding. Это была точка входа утечки Capital One.
Утечка Equifax (2017) — как неустановленное исправление Apache Struts привело к утечке данных 147M человек
Причиной стал известный, уже исправленный CVE (CVSS 10.0), оставленный без установки в публичной системе. Истёкший сертификат мониторинга скрывал эксфильтрацию 76 дней. В вашей среде: инвентаризация активов, SLA на патчинг, машинный мониторинг и работоспособное обнаружение.
Heartbleed (CVE-2014-0160) — когда из фундамента шифрованного трафика утекала память
Чтение памяти за границей в OpenSSL могло раскрыть приватные ключи и сессии. Причина: сервер доверял заявленной длине и читал соседнюю память. Урок: действуйте так, будто утекло всё — перевыпускайте сертификаты, ротируйте все секреты — плюс вес фундаментального ПО и безопасности работы с памятью.
Log4Shell (CVE-2021-44228) — ночь, когда мир боялся бага, наличие которого не мог даже подтвердить
Баг CVSS 10.0 в Log4j. Настоящий страх — транзитивная зависимость: быть затронутым через библиотеку, об использовании которой вы не знали. Пассивный путь логирования стал вектором атаки. SBOM, машинный мониторинг, быстрый патчинг и отслеживание последующих CVE — вот уроки.
Бэкдор XZ Utils (CVE-2024-3094) — когда целью было само доверие
Доверенный мейнтейнер внедрил бэкдор в xz — атака на цепочку поставок. «Это работает медленно» одного инженера поймало это прямо перед стабильным релизом. Целью был не код, а люди и доверие. Минимизируйте зависимости, закрепляйте версии, собирайте воспроизводимо, преследуйте аномалии и поддерживайте мейнтейнеров.