Не теребите мой API: обзор OWASP API Security Top 10
, , ,

API — это набор способов и правил, по которым различные программы общаются между собой и обмениваются данными. Технически API означает программный интерфейс приложения. Интерфейс — это граница между двумя функциональными системами, на которой происходит их взаимодействие и обмен информацией. Но при этом процессы внутри каждой из систем скрыты друг от друга.

API даёт доступ к готовым инструментам, например, к функциям библиотеки для машинного обучения. API позволяет вынести в отдельное приложение функционал, который должен быть защищен. Снижается вероятность некорректного использования этих функций другими программами. С помощью API можно связывать разные системы, например, подключить к сайту платёжную систему или аутентификацию через социальные сети.

OWASP API Security Top 10

API используется повсеместно, а вместе с этим растет количество инцидентов, связанных с атаками на его функционал. Авторитетный проект OWASP, сосредоточенный на безопасности веб-приложений, выпустил OWASP API Security Top 10 2019 (PDF-версия) — перечень наиболее опасных и распространенных ошибок при разработке и использовании API:

  • API1:2019 — Недостатки контроля доступа к объектам;
  • API2:2019 — Недостатки аутентификации;
  • API3:2019 — Разглашение конфиденциальных данных;
  • API4:2019 — Отсутствие ограничений на ресурсы и запросы;
  • API5:2019 — Недостатки контроля доступа на функциональном уровне;
  • API6:2019 — Переназначение параметров;
  • API7:2019 — Ошибки настроек безопасности;
  • API8:2019 — Инъекции;
  • API9:2019 — Некорректное управление ресурсами;
  • API10:2019 — Недостаточное журналирование и мониторинг.

Читать далее Не теребите мой API: обзор OWASP API Security Top 10

(не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника
, , , , , , ,

Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин:

  • веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку;
  • веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить;
  • веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными;
  • веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь;
  • благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца.

Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten:

  • А1 — Инъекции;
  • А2 — Недостатки аутентификации;
  • А3 — Разглашение конфиденциальных данных;
  • А4 — Внешние сущности XML (XXE);
  • А5 — Недостатки контроля доступа;
  • А6 — Некорректная настройка параметров безопасности;
  • А7 — Межсайтовое выполнение сценариев (XSS);
  • А8 — Небезопасная десериализация;
  • А9 — Использование компонентов с известными
    уязвимостями;
  • А10 — Недостатки журналирования и мониторинга.

Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника

Эксплуатация XSS уязвимостей с использованием XSStrike
, , ,

XSS (Cross Site Scripting) — тип атаки, заключающийся во внедрении в выдаваемую веб-приложением страницу вредоносного кода, который будет выполнен на стороне пользователя при открытии им этой страницы. Являясь одним из наиболее популярных нарушением безопасности веб-приложений, атаки с использованием XSS вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые раздела сайта и даже привелегии администратора веб-ресурса

Существует несколько видов XSS:

  • Хранимые — вредоносный код сохраняется на сервере и загружается с него каждый раз, когда пользователи запрашивают отображение той или иной страницы;
  • Отображаемые — вредоносная строка является частью запроса жертвы к веб-сайту. Сайт принимает и вставляет эту вредоносную строку в отправляемый ответ обратно пользователю;
  • XSS в DOM-модели — представляет собой вариант как хранимой, так и отображаемой XSS-атаки. В этой XSS-атаке вредоносная строка не обрабатывается браузером жертвы, пока настоящий JavaScript веб-сайта не выполнится.

XSStrike — это пакет обнаружения XSS-уязвимостей, оснащенный четырьмя рукописными синтаксическими анализаторами, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и быстрым сканером. Он распознаёт ответ с помощью нескольких анализаторов, и затем обрабатывает полезные данные, которые гарантированно будут работать с помощью контекстного анализа, интегрированного в механизм фаззинга.

Читать далее Эксплуатация XSS уязвимостей с использованием XSStrike

Атака на сайт с WordPress через JavaScript и XSS
, , , , , ,

Недавно Nemesida WAF заблокировал довольно занимательную попытку атаки с использованием XSS и JavaScript. Несмотря на то, что я не являюсь JS-разработчиком, ради интереса решил разобраться в сути атаки. Особенность вектора заключается в специфике работы самого WordPress — возможность редактировать файлы тем через админ-панель, позволяя незаметно для администратора внедрить вредоносный код.

Пейлоад, представленный в виде JS, размещается на сайте через XSS-уязвимость, после чего ждет своего исполнения. Отработанный на стороне администратора веб-ресурса, код модифицирует содержимое файла темы WordPress (header.php), позволяя злоумышленнику закрепиться в системе и полностью скомпрометировать веб-приложение.

Читать далее Атака на сайт с WordPress через JavaScript и XSS

Сайт взломают, а вы и ухом не моргнете
, ,

Весна этого года стала тяжелым испытанием для бизнеса. Привычный многим оффлайн формат практически полностью был приостановлен, а высвобожденная нагрузка переместилась на онлайн-площадки (интернет-магазины, обучающие центры, интернет-сервисы и т.д.), добавив работы техническим специалистам, и так перегруженным решением проблем экстренного перевода сотрудников на удаленный режим работы. В такое время вопросы защищенности сетевого периметра и веб-ресурсов переходят на второй план, чем активно пользуются злоумышленники.

Постоянный рост хакерской активности и отсутствие контроля за безопасностью веб-приложений сопровождается массовой компрометацией ресурсов. Как злоумышленник может атаковать сайт на примере интернет-магазина, к каким последствиям это приводит и как противодействовать таким атакам, особенно в период повышенной нагрузки, мы поделимся в этой статье. Читать далее Сайт взломают, а вы и ухом не моргнете

ModSecurity vs Nemesida WAF Free
, , , , ,

В предыдущем обзоре бесплатных WAF для Nginx мы сравнивали NAXSI и Nemesida WAF Free. Теперь настал черед провести еще один, с использованием наиболее популярного решения в своем сегменте — ModSecurity, или Modsec. В обзоре будут учитываться простота установки, качество предустановленных сигнатур (False Positive, False Negative), удобство использования и прочие критерии. Читать далее ModSecurity vs Nemesida WAF Free

Бесплатный аудит веб-приложения на уязвимости

Одна из основных проблем, связанных с компрометацией веб-приложений, является недооцененность как самой атаки, так и ее последствий. Многие думают, что хакеров интересуют только крупные ресурсы вроде Google или Facebook, а условный интернет-магазин стройматериалов или автозапчастей хакеров совершенно не интересует. На самом деле все, что становится доступным в Интернете, может быть атаковано, вне зависимости от типа объекта: почтовый сервер, веб-сайт или IoT.

Вторая проблема — отсутствие информации о защищенности веб-ресурса (вернее, отсутствие информации о наличие уязвимостей). Не каждая компания может себе позволить заказать полноценный анализ защищенности веб-приложения, а многие разработчики игнорируют или просто не знают о лучших практиках безопасной разработки. Это приводит к появлению на сайте уязвимостей, и в конечном итоге — к его компрометации. Инъекции (SQLi, NoSQL, RCE и другие) занимают 1 место в списке OWASP Top 10 и часто являются основной причиной компрометации веб-приложения (персональных данных или другой пользовательской или конфиденциальной информации, заражение других посетителей сайта и т.д.). Читать далее Бесплатный аудит веб-приложения на уязвимости

«Мамкин» безопасник: защита сайта от хакерских атак
, ,

Популярность веб-приложений (к которым относятся сайты, интернет-магазины, личные кабинеты, API и т.д.), большой стек применяемых технологий, дефицит опытных разработчиков, а доступность различного инструментария и знаний в области тестирования на проникновения приводит к ожидаемым последствиям — компрометации веб-приложения. Давайте попробуем повысить его защищенность. Читать далее «Мамкин» безопасник: защита сайта от хакерских атак

ZTE SSL Remote Code Execution
, , , , ,

Я хочу рассказать про уязвимость в ZTE роутерах, доступному по URI router_ip:443/web_shell_cmd.gch. Уязвимость заключается в том, что мы посылаем POST-запрос с ошибкой и ее типом, а в ней — код для выполнения.

Читать далее ZTE SSL Remote Code Execution