Пока генералиссимус Singleton Security Егор Богомолов возвращался с продуктивных сессий ЦИПРа, Матвей Сердюков, старший специалист группы анализа защищённости приложений, выступил на конференции «Периметр» от Метаскан
Матвей разобрал, какие уязвимости чаще всего находят при пентесте внешнего периметра и веб-приложений. В основе доклада — выборка из 88 проектов 2025 и 2026 года.
Главный фокус не на отдельных CVE, а на повторяющихся паттернах:
1️⃣ ошибки контроля доступа: недостаточные проверки авторизации, доступ к админским функциям, утечки данных и секретов;
2️⃣ мисконфигурации веб-серверов и прокси: случайно открытые конфиги, бэкапы, служебные скрипты и файлы;
3️⃣ ошибки в SSO/OAuth: особенно слабая проверка
4️⃣ атаки на цепочки поставок: например, Dependency Confusion, когда приложение может подтянуть вредоносный пакет из публичного репозитория;
5️⃣ хранимые XSS: особенно в таблицах, админках, личных кабинетах и при загрузке файлов вроде SVG.
Короче, внешний периметр часто ломается не из-за экзотических атак, а из-за хорошо известных, но недосмотренных вещей — забытых файлов, слабых настроек, непроверенных redirect URI, небезопасных зависимостей и недостаточной фильтрации пользовательского ввода.
Матвей разобрал, какие уязвимости чаще всего находят при пентесте внешнего периметра и веб-приложений. В основе доклада — выборка из 88 проектов 2025 и 2026 года.
Главный фокус не на отдельных CVE, а на повторяющихся паттернах:
1️⃣ ошибки контроля доступа: недостаточные проверки авторизации, доступ к админским функциям, утечки данных и секретов;
2️⃣ мисконфигурации веб-серверов и прокси: случайно открытые конфиги, бэкапы, служебные скрипты и файлы;
3️⃣ ошибки в SSO/OAuth: особенно слабая проверка
redirect_uri, из-за которой можно перехватить авторизационный код и получить доступ к аккаунту;4️⃣ атаки на цепочки поставок: например, Dependency Confusion, когда приложение может подтянуть вредоносный пакет из публичного репозитория;
5️⃣ хранимые XSS: особенно в таблицах, админках, личных кабинетах и при загрузке файлов вроде SVG.
Короче, внешний периметр часто ломается не из-за экзотических атак, а из-за хорошо известных, но недосмотренных вещей — забытых файлов, слабых настроек, непроверенных redirect URI, небезопасных зависимостей и недостаточной фильтрации пользовательского ввода.
👍6🔥4❤1
Недавно у нашего директора по развитию бизнеса Петра Покаместова был День рождения — и надо отметить, что ему удалось не только родиться самостоятельно, но и произвести на свет нашего теперь уже постоянного маскота-призрака Боба.
Рассказываем его историю в статье и принимаем заявки на мерч 😏
История Боба: https://telegra.ph/Otkuda-prizrak-v-komande-Singleton-Security-ili-kto-takoj-Boboslav-06-09
Рассказываем его историю в статье и принимаем заявки на мерч 😏
История Боба: https://telegra.ph/Otkuda-prizrak-v-komande-Singleton-Security-ili-kto-takoj-Boboslav-06-09
Telegraph
Откуда призрак в команде Singleton Security или кто такой Боб(ослав)
Привет! Я Петр Покаместов, занимаюсь в Singleton Security развитием бизнеса и проектами, работой с партнерами и креативом. Например, делал наш первый стикерпак для конференций.
🔥7👍4