Приятная подача материала, хорошо спланированная лекция. Все показанное, кроме трюка с zip, знаю, понимаю, использую или опасаюсь. Спасибо за хорошее видео, получил удовольствие от просмотра. За троллинг с логином и паролем отдельный респект! Тем не менее, Вы показали плохой пример начинающим. Антон, во всех своих примерах Вы использовали DefaultServeMux от net/http в неявном виде при назначении маршрутов, а затем при вызове ListenAndServe передавали nil вместо ServeMux, что приводит к использованию DefaultServeMux в явном виде. Это дыра в безопасности сервера, так как позволяет любой подключаемой зависимости менять маршруты и хэндлеры в вашей системе роутинга. Для защиты от такого вмешательства нужно: переменную с ServeMux создавать явно, передавать её в листенер вместо nil и переменная должна быть приватной, даже если она является частью какой-то структуры. Я так понимаю, это и есть ошибка на 30к таллеров. Где я могу получить денюшку?
Вроде все знакомо, но в целом собрать все в кучу иногда полезно, даже в базовых вещах. Будет круто второй видос сделать с чем то более интересным. Понятно что на стороне приложения не от всего можно защититься, но вы так же затронули и защиту со стороны инфраструктуры все равно это было бы очень интересно. Атаки dns, различные варианты атаки амплификацией, затопления, подмена рутового сертификата, и тд и тп. В любом случае спасибо! PS Все же у Чичваркина серьга круче! Всем добра!
1:04:02 стоило все-таки упомянуть что в классическом понимании zip bomb это не просто сжатый слайс нулей, а архив, который при распаковке приводит к экспоненциальному росту размера результата. ну и в целом видео не завязано ни коем образом именно на go специфику (кликбейт), просто обзор базовых уязвимостей уровня junior+ на 1.5 часа.
58:45 совет не доверять либам c бэкдорами хороший, но хотелось бы конкретных примеров. в каких популярных библиотеках находили что-то, хоть отдаленно похожее?
29:35 "мы отравляем его в, допустим, Let's Encrypt и спрашиваем, а действительно ли этот public key соответствует вот этому домену" - вообще-то нет. мы никуда его не отправляем. Мы используем локальные копии CA сертификатов чтобы проверить действительно ли сертификат сервера подписан, скажем, Let's Encrypt-ом и что мы можем доверять его, сертификата сервера, метадате - домену, датам валидности и т.п.
а есть какие-то статические анализаторы мощные, которые бы эти уязвимости детектили ещё на этапе линтера? gosec наругался только на необработанные ошибки, остальное просвистело мимо
там в брауезере вшиты асиметричные ключи расшифровки ответов от CA; предпологается, что человек посередине не знает асимтричный ключ шифрования от CA. Если у CA утекли его ключи - тогда печаль-беда.
добрейшего вечера, коллега! сложилось впечатление, что ваш вопрос адресован автору ролика и так вышло, что человек на видео - это я, поэтому постараюсь ответить: это видео сразу из 2007ого и из 2010ого, а если погуглить последний отчет owasp top 10, то станет понятно, что оно даже из 2022ого, ведь, как говорили классики, «война никогда не меняется». индустрия растет и в нее продолжают приходить новые люди, а знания об уязвимостях пока еще не передаются по наследству. безусловно, благодаря титаническим усилиям комьюнити, когда повсеместно внедряются новые безопасные протоколы и стандарты, какие-то ошибки стало совершить намного сложнее, а то и вовсе невозможно, но выстрелить себе в ногу можно все еще бесконечным количеством способов, некоторые из которых, возможно, никогда не исчезнут. поэтому мы надеемся, что это видео будет полезным для аудитории канала и повысит осведомленность. P.S. тема довольно большая и все рассказать за раз невозможно. поэтому напомню, что как я и сказал в конце ролика, если у вас есть интересные кейсы иб, то не стесняйтесь их кидать в комменты и возможно мы наберем материала на второе видео.
Умеют же люди за несколько минут успеть надругаться над Русским и Английским языками. Не первый раз встречаю спикеров со специфическим словарным запасом и опытом работы в VK
Побольше таких видео! Сделайте серию видео о безопасности, и как можно подробнее. Большое спасибо!
Отличное видео. Антону огромное спасибо за качественный и полезный контент!
Дякую, все дуже зрозуміло, чітко і ясно.
Приятная подача материала, хорошо спланированная лекция. Все показанное, кроме трюка с zip, знаю, понимаю, использую или опасаюсь. Спасибо за хорошее видео, получил удовольствие от просмотра.
За троллинг с логином и паролем отдельный респект!
Тем не менее, Вы показали плохой пример начинающим. Антон, во всех своих примерах Вы использовали DefaultServeMux от net/http в неявном виде при назначении маршрутов, а затем при вызове ListenAndServe передавали nil вместо ServeMux, что приводит к использованию DefaultServeMux в явном виде. Это дыра в безопасности сервера, так как позволяет любой подключаемой зависимости менять маршруты и хэндлеры в вашей системе роутинга.
Для защиты от такого вмешательства нужно: переменную с ServeMux создавать явно, передавать её в листенер вместо nil и переменная должна быть приватной, даже если она является частью какой-то структуры.
Я так понимаю, это и есть ошибка на 30к таллеров. Где я могу получить денюшку?
Блин, крутой видос. Что-то помнил, что-то слышал, что-то не знал, но очень интересно)
Спасибо за видео. Коммент в поддержку!
Это просто офигенно
да, я хочу продолжения, и да я не знаю о чем спрашивать, наверное если бы знал, то не просил продолжения
Вроде все знакомо, но в целом собрать все в кучу иногда полезно, даже в базовых вещах. Будет круто второй видос сделать с чем то более интересным. Понятно что на стороне приложения не от всего можно защититься, но вы так же затронули и защиту со стороны инфраструктуры все равно это было бы очень интересно. Атаки dns, различные варианты атаки амплификацией, затопления, подмена рутового сертификата, и тд и тп. В любом случае спасибо! PS Все же у Чичваркина серьга круче! Всем добра!
1:04:02 стоило все-таки упомянуть что в классическом понимании zip bomb это не просто сжатый слайс нулей, а архив, который при распаковке приводит к экспоненциальному росту размера результата. ну и в целом видео не завязано ни коем образом именно на go специфику (кликбейт), просто обзор базовых уязвимостей уровня junior+ на 1.5 часа.
Огромная благодарность, все понятно, интересно!
Спасибо, очень полезное видео
58:45 совет не доверять либам c бэкдорами хороший, но хотелось бы конкретных примеров. в каких популярных библиотеках находили что-то, хоть отдаленно похожее?
Братан, хорош, давай, давай, вперёд! Контент в кайф, можно ещё? Вообще красавчик!
ну Антон конечно приколист)
Спасибо за видос! Троллинг с логином и паролем на стикере 😂
Какие плагины используете для VSCode? И почему не Goland?
Спасибо
Это все хорошо, только вот непонятно причем тут Go?
спасибо, интересно, полезно.
на ноуте стикер приклеен с логин/паролем, они настоящие? ))
Просто чувак с юмором)
это конечно же пасхалка, но спасибо, что заметили)
29:35 "мы отравляем его в, допустим, Let's Encrypt и спрашиваем, а действительно ли этот public key соответствует вот этому домену" - вообще-то нет. мы никуда его не отправляем. Мы используем локальные копии CA сертификатов чтобы проверить действительно ли сертификат сервера подписан, скажем, Let's Encrypt-ом и что мы можем доверять его, сертификата сервера, метадате - домену, датам валидности и т.п.
а есть какие-то статические анализаторы мощные, которые бы эти уязвимости детектили ещё на этапе линтера? gosec наругался только на необработанные ошибки, остальное просвистело мимо
Супер видео, а есть ссылочка на репу?
Да, в описании видео все есть)
А если man in the middle по дороге к CA и он присылает ответ, что да, серт соответствует ?😂
там в брауезере вшиты асиметричные ключи расшифровки ответов от CA; предпологается, что человек посередине не знает асимтричный ключ шифрования от CA. Если у CA утекли его ключи - тогда печаль-беда.
53:45 нашедшему 30к а автора коммита линчуют?)
это советы из 2007 или 2010 года?
Дай совет из 2022 года
добрейшего вечера, коллега!
сложилось впечатление, что ваш вопрос адресован автору ролика и так вышло, что человек на видео - это я, поэтому постараюсь ответить:
это видео сразу из 2007ого и из 2010ого, а если погуглить последний отчет owasp top 10, то станет понятно, что оно даже из 2022ого, ведь, как говорили классики, «война никогда не меняется». индустрия растет и в нее продолжают приходить новые люди, а знания об уязвимостях пока еще не передаются по наследству. безусловно, благодаря титаническим усилиям комьюнити, когда повсеместно внедряются новые безопасные протоколы и стандарты, какие-то ошибки стало совершить намного сложнее, а то и вовсе невозможно, но выстрелить себе в ногу можно все еще бесконечным количеством способов, некоторые из которых, возможно, никогда не исчезнут. поэтому мы надеемся, что это видео будет полезным для аудитории канала и повысит осведомленность.
P.S. тема довольно большая и все рассказать за раз невозможно. поэтому напомню, что как я и сказал в конце ролика, если у вас есть интересные кейсы иб, то не стесняйтесь их кидать в комменты и возможно мы наберем материала на второе видео.
@@sSpacedOut было бы интересно послушать про уязвимости за которые вк заплатил 30 тысяч долларов 😁 хотя бы одну
@@sSpacedOut Да уж по аватару догадались что это Вы))
Умеют же люди за несколько минут успеть надругаться над Русским и Английским языками. Не первый раз встречаю спикеров со специфическим словарным запасом и опытом работы в VK
файлик, байтик, хэшик - это что за детсад?
я начал волноваться, когда функция rand.Read(salt) "испортила" нашу заготовку для соли
Разве есть sql базы, которые позволяют использовать строки без кавычек? Вот такое же не будет работать: SELECT * FROM XXX WHERE YYY=привет