Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей

info@vsetut.pro

Стать автором

Вернуться

25.11.2025 05:41:40 | Хабр

Хабы: Блог компании Альфа-Банк, Информационная безопасность

Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника».

Для этого мы используем заведомо уязвимое приложение, на примере которого покажу, как выглядят веб-сайты глазами атакующего: где искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде.

Ранее данный материал был представлен на воркшопе в рамках конференции Positive Hack Days — теперь он адаптирован и дополнен для более широкой аудитории, которая начинает интересоваться темой безопасной разработки.

Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb. Их URL я положил в workshop/urls.txt в репозитории проекта.

Дисклеймер: статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

Подробнее