Корпоративные лаборатории: я твой web SHAтал
,

Корпоративные лаборатории Pentestit — программа подготовки в области информационной безопасности для ИБ-специалистов, пентестеров, системных администраторов и разработчиков, желающих получить качественную практическую подготовку в области ИБ или подтянуть уже имеющиеся навыки за короткое время.

Программа подготовки построена по принципу: 20% теоретическая подготовка, а остальные 80% — практическая подготовка в специализированных лабораториях, в которых присутствует десятки разнообразных уязвимых веб-приложений, сетевых сервисов и ошибок конфигураций. В конце обучения предусмотрена экзаменационная работа в виде тестирования на проникновение по принципу «Black Box». Начиная с середины 2019 года мы выдаем сертификат только при выполнении 70% практический заданий в лаборатории.

Читать далее Корпоративные лаборатории: я твой web SHAтал

Бесплатный аудит веб-приложения на уязвимости

Одна из основных проблем, связанных с компрометацией веб-приложений, является недооцененность как самой атаки, так и ее последствий. Многие думают, что хакеров интересуют только крупные ресурсы вроде Google или Facebook, а условный интернет-магазин стройматериалов или автозапчастей хакеров совершенно не интересует. На самом деле все, что становится доступным в Интернете, может быть атаковано, вне зависимости от типа объекта: почтовый сервер, веб-сайт или IoT.

Вторая проблема — отсутствие информации о защищенности веб-ресурса (вернее, отсутствие информации о наличие уязвимостей). Не каждая компания может себе позволить заказать полноценный анализ защищенности веб-приложения, а многие разработчики игнорируют или просто не знают о лучших практиках безопасной разработки. Это приводит к появлению на сайте уязвимостей, и в конечном итоге — к его компрометации. Инъекции (SQLi, NoSQL, RCE и другие) занимают 1 место в списке OWASP Top 10 и часто являются основной причиной компрометации веб-приложения (персональных данных или другой пользовательской или конфиденциальной информации, заражение других посетителей сайта и т.д.). Читать далее Бесплатный аудит веб-приложения на уязвимости

Не PCI мой DSS: насколько страшны требования регуляторов
, , ,


Вопросы безопасности и защищенности персональных данных сегодня наиболее обострены. И далеко не последнюю роль в этом сыграли такие документы, как GDPR, PCI DSS, Федеральный закон № 152-ФЗ «О персональных данных». Рассмотрим более подробно каждый из перечисленных документов, выделим круг субъектов, попадающих под их действие, а также общие требования к защите данных.

Читать далее Не PCI мой DSS: насколько страшны требования регуляторов

Пентест веб-приложения с использованием Kali Linux: разведка и сбор информации
, , ,

Любой поиск уязвимостей начинается с разведки и сбора информации. Разведка может быть активной: перебор файлов и директорий сайта, использование сканеров уязвимостей, ручной анализ приложения; или пассивной: с использованием различных поисковых систем и интернет-сервисов. В этой статье мы рассмотрим инструменты Kali Linux, а также онлайн-ресурсы, которые можно использовать для анализа защищенности веб-приложений. Читать далее Пентест веб-приложения с использованием Kali Linux: разведка и сбор информации

История о том, как сисадмин пентестера похекал
,

Эта история — художественный вымысел. Все совпадения с реальностью случайны. Не нарушайте законодательство.

Процветает в городе Н-ске одна компания, которая занимается аудитом в финансовой сфере и попутно оказывает юридические услуги. Работает в этой компании сисадмин Василий, большую часть времени проводя в своём маленьком подвальчике с почётным названием «Серверная». Это и вправду был подвал, или, как модно говорить, цокольный этаж, но помимо двенадцати серверов там ещё располагались стеллажи с архивными документами и всяким хламом вроде новогодних украшений, одноразовой посуды, старых офисных принадлежностей и неработающей техники. Читать далее История о том, как сисадмин пентестера похекал

How to c[RU].sh или как была взломана Test lab 14
, ,

10-го декабря 2019 г. мы запустили четырнадцатую по счёту лабораторию. На девятый день в режиме нон-строп трем участникам удалось скомпрометировать узлы лаборатории, определив победителей этого сезона. Для всех остальных, кто пытался, пытается и будет пытаться пропентестить Test lab 14 мы решили опубликовать ее прохождение.

Лаборатория Test lab — бесплатная площадка для проверки и закрепления навыков тестирования на проникновение, представляющая собой корпоративную сеть виртуальной компании из уязвимых и неуязвимых компонентов (серверов, сетевого оборудования и рабочих станций).

Итак, пришло время разобрать все задания Test lab 14, чтобы дать возможность тем, у кого не получается, глубже погрузиться в мир информационной безопасности и узнать для себя что-то новое. Содержание получилось довольно объёмным, описание — лаконичным, но, надеемся, что интересным. Читать далее How to c[RU].sh или как была взломана Test lab 14

Just crush it: лаборатория тестирования на проникновение Test lab 14
,

Запуск 14-й лаборатории состоится 10 декабря 2019 года. Специалисты в области ИБ смогут легально оценить силы в поиске и эксплуатации уязвимостей, закрепить навыки и определить лидеров этого сезона.

Читать далее Just crush it: лаборатория тестирования на проникновение Test lab 14

История о том, как гуманитарий «Zero Security: A» проходил
,


Скриншот вебинар-площадки

Работая в Pentestit и не являясь при этом техническим специалистом, я часто сталкиваюсь с «пограничными» ситуациями, когда необходимо разбираться в тонкостях информационной безопасности. Например, чтобы раскрыть с юридической точки зрения вопросы проведения пентеста или использования специализированных инструментов. Нужно было наложить стройные юридические формулировки на неоднозначную реальность. Сложности возникали порой даже с простыми понятиями и терминами. Чтобы восполнить эти пробелы, я решила пройти курс «Zero Security: A», так как он разработан специально для начинающих и включает в себя базовую подготовку. Читать далее История о том, как гуманитарий «Zero Security: A» проходил

«Мамкин» безопасник: защита сайта от хакерских атак
, ,

Популярность веб-приложений (к которым относятся сайты, интернет-магазины, личные кабинеты, API и т.д.), большой стек применяемых технологий, дефицит опытных разработчиков, а доступность различного инструментария и знаний в области тестирования на проникновения приводит к ожидаемым последствиям — компрометации веб-приложения. Давайте попробуем повысить его защищенность. Читать далее «Мамкин» безопасник: защита сайта от хакерских атак

Информационная безопасность: преступление и наказание
, ,


Источник изображения

В соответствии с УК РФ преступлением признаётся противоправное, общественно опасное деяние, ответственность за совершение которого предусмотрена УК РФ. В отечественном УК отдельная глава посвящена преступлениям в сфере компьютерной информации, однако на практике грань между преступным и правомерным настолько тонка, что возникают сложности при квалификации тех или иных деяний. В данной статье мы постараемся рассмотреть некоторые составы преступлений на примере конкретных ситуаций.

Проводя обучение по программам практической подготовки в области информационной безопасности, мы сталкиваемся с вопросами, которые по сути относятся к теме, но выходят за пределы этих программ. Такие вопросы мы решили разбирать отдельно.

Использование «патчей», «активаторов», «кряков»
Судебная практика по данному вопросу неоднозначная. В одних случаях, когда дело касается преступлений, связанных с нарушением авторских прав, данное ПО признаётся вредоносным, в других – нет. Это связано с тем, что отсутствуют чёткие критерии «вредоносности» программы. Если обратиться к статье 273 УК РФ, можно выделить два критерия «вредоносности» программы:
1) программа работает несанкционированно;
2) работа программы приводит к одному из правовых последствий: уничтожению, блокированию, модификации, копированию информации, к нарушению работы ЭВМ, системы ЭВМ, сетей ЭВМ.
Читать далее Информационная безопасность: преступление и наказание