Интересны ли будут хабру пост(ы) про веб уязвимости?
Приветствую! Если писать не про новые векторы атаки, как обычно это делают, а про реальные кейсы разнообразных уязвимостей в разных компаниях включая крупные, иногда даже с небольшой информацией как у них там всё внутри устроено.
Целью ставлю обратить внимание на частые ошибки и в каких ситуациях они проявляются'
В целом рекомендации/советы для разработчиков, только не в стиле «что такое инъекция и как её можно фильтровать», а в стиле «одной из популярных уязвимостей на сайтах это форма восстановления пароля» или например как наносят финансовые убытки из-за простой смс-нотификации, описание с примерами. ЯП и БД будут в примерах разные, примеров много.
У меня с кармой всё в порядке, так что не в тему. Вопрос в том, стоит ли тратить своё время на это, если это действительно никому здесь не интересно, я об этом давно пишу заметки и кому интересно читают меня на фейсбуке. Хабр всё таки не про безопасность (а если и пишут то про зеродей), здесь больше про стартапы и космос любят, поэтому я и задал данный вопрос.
UPD: Создал черновик, начал составлять план, чтобы это не был сухой набор ошибок, постараюсь в одном повествовании их связывать по разделам. Постараюсь как можно скорее опубликовать пост.
Спасибо всем за комментарии.
Щекотливая тема, никогда не пишите об уязвимостях 0day, до исправления разработчиком или уязвимостях, которые могут привести к поголовным взломам и тем самым для многих принести убытки. А так эта тема конечно интересна.
Надеюсь, что нет, всё таки все примеры уже по происшествию времени будут описаны. Ни про кого в плохом ключе писать не собираюсь, сложно винить программиста или тестировщика в том, что они не обдумали корыстные возможности своего функционала :)
Я хоть и не разработчик, но приходится заниматься пин-тестированием серверов, будет очень интересно, всецело поддерживаю. Как уже сказали выше только не SQL инъекции и XSS.
Средний
Средний