Как уязвимость платежной системы раскрывала данные кредитных карт

Автор: admin от 27-07-2017, 22:30, посмотрело: 267

Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили (maxkassa.ru).



Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом. ->

Категория: Веб-разработка / Информационная безопасность

 

Мониторинг акторов в Akka.Net, но на F#

Автор: admin от 27-07-2017, 22:30, посмотрело: 205

Сразу скажу, хаба для F# на хабре нет, поэтому пишу в C#.



Для тех кто не знаком с F#, но знаком с C#, рекомендую наисвежайшую статью от Microsoft.

Она поможет Вам испытывать меньше WTF моментов при прочтении, т.к. моя статья не туториал к синтаксису.




Контекст задачи



Есть сервис, написанный на Akka.NET, он вываливает в разные текстовые логи кучу инфы. Отдел эксплуатации грепает эти логи, жарит по ним регекспами, чтобы узнать о кол-ве ошибок (бизнесовых и не очень), о кол-ве входящих в сервис сообщений и кол-ве исходящих. Далее эта информация заливается в ElasticDB, InfluxDB и показывается в Grafana и Kibana в разных срезах и агрегациях.



Звучит сложно, да и парсить текстовые логи сервиса, который генерит несколько десятков ГБ текстового мусора в день — занятие неблагодарное. Поэтому встала задача — сервис должен быть способен поднять ендпоинт, который можно дёрнуть и получить сразу всю инфу о нём.



Решать задачу будем так:




  • Напишем доменную модель для метрик

  • Замапим доменную модель метрик на реализацию App.Metrics и поднимем апишечку

  • Сделаем структурированный доменный логгер, который натянем на внутренний логгер Akka

  • Сделаем обёртку для функциональных акторов, которая спрячет работу с метриками и логгером

  • Соберём всё вместе и запустим

  • ->

    Категория: Программирование

     

    SOAP и REST сервисы с помощью Python-библиотеки Spyne

    Автор: admin от 27-07-2017, 22:30, посмотрело: 478

    Знакомство с библиотекой Spyne


    В данной статье я хочу рассказать о замечательной Python-библиотеке Spyne.
    Мое знакомство с Spyne началось в тот момент, когда передо мной поставили задачу написать Веб-сервис, который будет принимать и отдавать запросы через SOAP-протокол. Немного погуглив я наткнулся на Spyne, которая является форком библиотеки soaplib. А еще я был удивлен, насколько мало русскоязычной информации встречается о данной библиотеке.

    С помощью Spyne можно писать веб-сервисы, которые умеют работать с SOAP, JSON, YAML, а написанный скрипт можно запустить через mod_wsgi Apache. Итак, давайте рассмотрим несколько примеров, напишем работающие скрипты и настроим так, чтобы скрипты работали через apache.

    Категория: Веб-разработка / Linux

     

    Немного о SSL-сертификатах: Какой выбрать и как получить

    Автор: admin от 27-07-2017, 19:55, посмотрело: 786

    20 июля компания Google объявила о том, что браузер Chrome перестает считать доверенными SSL-сертификаты, выданные центром сертификации (CA) WoSign и его дочерним предприятием StartCom. Как пояснили в компании, решение связано с рядом инцидентов, не соответствующим высоким стандартам CA, — в частности, выдаче сертификатов без авторизации со стороны ИТ-гиганта.



    Чуть ранее в этом году также стало известно, что организации, ответственные за выдачу сертификатов, должны будут начать учитывать специальные DNS-записи. Эти записи позволят владельцам доменов определять «круг лиц», которым будет дозволено выдавать SSL/TLS-сертификаты для их домена.



    Все эти решения в какой-то степени связаны с увеличением числа хакерских атак и фишинговых сайтов. Зашифрованные соединения с веб-сайтами по HTTPS приобретают всё большее распространение в интернете. Сертификаты не только позволяют зашифровать данные, пересылаемые между браузером и веб-сервером, но и удостоверить организацию, которой принадлежит сайт. В сегодняшнем материале мы посмотрим, какие виды сертификатов бывают и коснемся вопросов их получения.



    Немного о SSL-сертификатах: Какой выбрать и как получить ->

    Категория: Программирование / Веб-разработка

     

    Метаклассы в C++

    Автор: admin от 27-07-2017, 19:10, посмотрело: 271

    В этой статье мы поговорим о новом предложенном расширении языка С++ — метаклассах. Герб Саттер с коллегами работал над этим предложением около 2 лет и, наконец, этим летом представил его общественности.



    Итак, что же такое «метакласс» с точки зрения Герба Саттера? Давайте вспомним наш С++ — самый прекрасный в мире язык программирования, в котором, однако, веками десятилетиями существуют примерно одни и те же сущности: переменные, функции, классы. Добавление чего-то фундаментально нового (вроде enum classes) занимает очень много времени и рассчитывать дождаться включения чего-то нужного вам здесь и сейчас в стандарт — не приходится. А ведь кое-чего и правда не хватает. Например, у нас всё ещё нет (да, наверное, и не будет) интерфейсов как таковых (приходится эмулировать их абстрактными классами с чисто виртуальными методами). Нет properties в полном их понимании, нет даже value-типов (чего-то такого, что можно было бы определить как набор переменных простых типов и сразу использовать во всяких там контейнерах/сортировках/словарях без определения для них разных там операций сравнения, копирования и хеширования). Да и вообще постоянно чего-то кому-то не хватает. Разработчикам Qt вот не хватает метаданных и кодогенерации, что заставляет их использовать moc. Разработчикам C++/CLI и C++/CX не хватило способов взаимодействия со сборщиком мусора и своими системами типов. Ну и т.д.



    А давайте на секунду представим, что мы сами можем вводить в язык новые сущности. Ну или пусть не прямо «сущности», а правила проверки и модификации классов.
    ->

    Категория: Программирование

     

    Planning Poker: как сделать процесс постановки задач максимально прозрачным и четким

    Автор: admin от 27-07-2017, 18:00, посмотрело: 339

    В прошлом посте мы рассказали о том, как работаем с бэклогом, а сегодня поделимся подробностями о процессе планирования, который в нашем случае не только полезный, но и увлекательный, поскольку оценку задач мы проводим с помощью «Planning Poker».



    Planning Poker: как сделать процесс постановки задач максимально прозрачным и четким
    ->

    Категория: Программирование / Веб-разработка

     

    Если нет разницы между двумя вариантами кода, выбирай тот, который проще отладить

    Автор: admin от 27-07-2017, 17:30, посмотрело: 212

    В С# существует два способа преобразования объектов: использовать оператор codev_0; или использовать оператор преобразования.



    Если нет разницы между двумя вариантами кода, выбирай тот, который проще отладить


    Какой из этих вариантов выбрать, когда нужно немедленно воспользоваться результатом преобразования?
    ->

    Категория: Компании / Microsoft

     

    Использование устройства на базе STM32 в системе полива для открытого грунта

    Автор: admin от 27-07-2017, 16:05, посмотрело: 501

    Предисловие

    Около года назад я описал в статье систему для полива моего участка — и теперь опишу дальнейшее её развитие.Год — достаточно большое время, и его удалось потратить с пользой. С удовольствием опишу и расскажу вам, что же у меня получилось.


    ->

    Категория: Программирование / iOS

     

    JavaScript без this

    Автор: admin от 27-07-2017, 16:05, посмотрело: 393

    Ключевое слово this в javascript можно назвать одной из наиболее обсуждаемых и неоднозначных особенностей языка. Всё дело в том, что то, на что оно указывает, выглядит по-разному в зависимости от того, где обращаются к this. Дело усугубляется тем, что на this влияет и то, включён или нет строгий режим.



    JavaScript без this



    Некоторые программисты, не желая мириться со странностями this, стараются вовсе не пользоваться этой конструкцией языка. Не вижу тут ничего плохого. На почве неприятия this было создано много полезного. Например — стрелочные функции и привязка this. Как результат, при разработке можно практически полностью обойтись без this.
    ->

    Категория: Программирование / Веб-разработка

     

    Релиз Linux-дистрибутива openSUSE 42.3

    Автор: admin от 27-07-2017, 15:40, посмотрело: 1 002

    Друзья, коллеги, единомышленники!



    После приблизительно 9 месяцев от даты выхода предыдущей версии, состоялся выпуск третьей редакции выпуска популярного Linux-дистрибутива openSUSE Leap 42-й серии. Итак, встречаем — openSUSE Leap 42.3.



    Релиз Linux-дистрибутива openSUSE 42.3


    Дистрибутив openSUSE Leap, в отличии от openSUSE Tumbleweed (rolling-release, постоянно обновляемый дистрибутив в стиле Arch Linux), периодически выпускается и является регулярным, рекомендуется для начинающих и опытных пользователей Linux, разработчиков, администраторов и поставщиков программного обеспечения, так как в итоге получается удобный и пригодный к использованию дистрибутив и стабильная операционная система.
    ->

    Категория: Системное администрирование / Linux

     
    Назад Вперед