💣 Zip-бомбы для защиты сервера.
• Вы ведь знаете, что такое Zip-бомбы? Если коротко, то термин «Zip-бомба» был придуман более 20 лет назад, равно как и сами ZIP-бомбы. Принцип работы заключается в следующем: представьте файл в сжатом виде, который никаким образом не вызывает подозрений, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя. К примеру, файл в сжатом виде занимающий всего 42 килобайта, при распаковки может занимать в памяти более 4,5 петабайт.
• Дело в том, что основной объём трафика в вебе возникает из-за ботов (читалки RSS-фидов, поисковые движки, выполняющие краулинг контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM), но помимо всего прочего есть и зловредные боты, которые находят уязвимости и могут встроить в наш сервер зловредный скрипт, а затем превратить машину в ботнет, используемый для DDOS. Таких ботов создают спамеры, скрейперы контента и хакеры.
• В общем и целом, автор этого материала описывает методы, где боту в ответ на запрос страницы передаётся сжатое содержимое, размер которого при распаковке многократно превышает размер переданных по сети данных.
• Происходит следующее: боты получают файл и считывают заголовок, сообщающий им, что файл сжат. Они пытаются распаковать файл размером 1 МБ, чтобы найти в нём тот контент, который ищут. Но файл продолжает распаковываться снова, и снова, и снова, пока у них не заканчивается память и на их сервере не происходит сбой. Файл на 1 МБ распаковывается в 1 ГБ. Этого более, чем достаточно для того, чтобы поломать большинство ботов. Однако для тех надоедливых скриптов, которые не останавливаются, можно использовать файл на 10 МБ. Он распаковывается в 10 ГБ и мгновенно убивает скрипт.
• Если интересно почитать, то статью можно найти вот тут: https://idiallo.com/blog/zipbomb-protection. Либо почитать перевод этого материала на хабре.
#ИБ#Web
👨💻 Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF.
• В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео.
• Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.
➡Пример атаки;
➡BFF не панацея;
➡Поможет ли PKCE;
➡Рекомендации из BCP for OAuth 2.0 Security;
➡Упоминание атаки в FAPI 2.0 Security Profile;
➡Актуальность и применимость атаки;
➡Меры защиты.
#Web#ИБ
web.telegram.orgdiperbarui
Dua versi baru telah tersedia (WebK dan WebZ) di web.telegram.org.
Saat pertama kali Anda mengunjungi situs web, itu akan secara acak memilih dan mengingatkan Anda versi K dan Z, namun Anda dapat memilih versi alternatif atau lama dari web.
Otorisasi hanya tersedia jika ada sesi aktif di perangkat lain. Secara bawaan, situs web akan membiarkan Anda masuk melalui kode QR.
#web#update
Zeno
基于 AI 的 YouTube 视频内容管理平台,能将视频提炼成八张行动卡片,帮助用户快速获取关键见解和实用步骤。可添加视频、浏览精选内容、构建智能学习路径,并通过令牌激励机制提升参与度。平台还提供 AI 聊天、笔记和社交媒体工具,支持无限视频管理,提升学习效率和生产力。
适合创作者和学习者,通过浏览器访问,无需下载安装。
#web#效率