#Разработка #Техника #Security
Тебе, как человеку, занимающемуся разработкой ПО если еще не пришлось, то обязательно придется выбирать технологию или программу, а это может быть потенциальной уязвимостью потом, после запуска твоего творения.
Ошибки могут быть везде, далеко не только в твоем коде. Как минимум еще и в библиотеках, которые ты используешь и даже в программах вроде HTTP, почтового или еще какого-нибудь сервера, который является вспомогательным для твоего ПО. Ведь наверняка же помнишь про критическую уязвимость в log4j.
Поэтому умные люди придумали агрегаторы этих вот уязвимостей и ими пользуются обе стороны: как нападающие на сервера так и защищающиеся от таких нападений. Пример такого сайта на русском - это так называемый SecLab (https://www.securitylab.ru/vulnerability/page1_1.php), здесь ты можешь найти все возможные уязвимости, кроме, пожалуй 0-day уязвимостей. Это когда вредный хакер нашел уязвимость в ПО, никому про нее заранее не сообщили и реже выложил в общем доступе, чаще - продал в даркнете, например, на сайте exploit.in.
К слову про эксплойты. Есть такая штука и это по сути скрипт или набор скриптов для проведения атаки на сервер по той или иной уязвимости. То есть, чтобы тебе не пришлось делать сложные манипуляции, которые потом положат на лопатки сервер (например, отправить специальным образом сформированный запрос из 256 символов или ввести SQL-инъекцию), просто надо будет ввести адрес сервера, на который ты хочешь провести атаку. Другое дело, что использование таких программ не вполне законно и по УК РФ может сулить тебе определенный срок (статьи 272-274), да и цены на такие эксплойты не назовешь низкими. Так что заниматься взломами "по приколу" может себе позволить далеко не каждый, либо надо потратить много времени и сил на обучение.
Моя задача - дать тебе полезную информацию, поэтому я вынужден говорить и про обратную сторону нашего сообщества, к которой, надеюсь, ты не примкнешь.