15.04.2020 @ 8:38 Сайт взломают, а вы и ухом не моргнете Nemesida WAF Free, Nginx WAF, web application security Весна этого года стала тяжелым испытанием для бизнеса. Привычный многим оффлайн формат практически полностью был приостановлен, а высвобожденная нагрузка переместилась на онлайн-площадки (интернет-магазины, обучающие центры, интернет-сервисы и т.д.), добавив работы техническим специалистам, и так перегруженным решением проблем экстренного перевода сотрудников на удаленный режим работы. В такое время вопросы защищенности сетевого периметра и веб-ресурсов переходят на второй план, чем активно пользуются злоумышленники. Постоянный рост хакерской активности и отсутствие контроля за безопасностью веб-приложений сопровождается массовой компрометацией ресурсов. Как злоумышленник может атаковать сайт на примере интернет-магазина, к каким последствиям это приводит и как противодействовать таким атакам, особенно в период повышенной нагрузки, мы поделимся в этой статье. Читать далее Сайт взломают, а вы и ухом не моргнете → Romanov Roman 4822 Web security Читать дальше >>
07.04.2020 @ 12:20 ModSecurity vs Nemesida WAF Free ModSecurity, nginx, Nginx Free WAF, Pentestit, WAF, WAF Signature Analysis В предыдущем обзоре бесплатных WAF для Nginx мы сравнивали NAXSI и Nemesida WAF Free. Теперь настал черед провести еще один, с использованием наиболее популярного решения в своем сегменте — ModSecurity, или Modsec. В обзоре будут учитываться простота установки, качество предустановленных сигнатур (False Positive, False Negative), удобство использования и прочие критерии. Читать далее ModSecurity vs Nemesida WAF Free → Hekpo 8809 Web security Читать дальше >>
27.02.2020 @ 22:39 Не PCI мой DSS: насколько страшны требования регуляторов GDPR, PCI DSS, Pentestit, Законодательство РФ Вопросы безопасности и защищенности персональных данных сегодня наиболее обострены. И далеко не последнюю роль в этом сыграли такие документы, как GDPR, PCI DSS, Федеральный закон № 152-ФЗ «О персональных данных». Рассмотрим более подробно каждый из перечисленных документов, выделим круг субъектов, попадающих под их действие, а также общие требования к защите данных. Читать далее Не PCI мой DSS: насколько страшны требования регуляторов → pentestit-team 5721 Законодательство Читать дальше >>
14.02.2020 @ 16:23 Пентест веб-приложения с использованием Kali Linux: разведка и сбор информации OSINT, penetration testing, Pentestit, reconnaissance Любой поиск уязвимостей начинается с разведки и сбора информации. Разведка может быть активной: перебор файлов и директорий сайта, использование сканеров уязвимостей, ручной анализ приложения; или пассивной: с использованием различных поисковых систем и интернет-сервисов. В этой статье мы рассмотрим инструменты Kali Linux, а также онлайн-ресурсы, которые можно использовать для анализа защищенности веб-приложений. Читать далее Пентест веб-приложения с использованием Kali Linux: разведка и сбор информации → pentestit-team 22070 Penetration testing Читать дальше >>
15.10.2019 @ 18:50 «Мамкин» безопасник: защита сайта от хакерских атак Pentestit, WAF bypass, web security Популярность веб-приложений (к которым относятся сайты, интернет-магазины, личные кабинеты, API и т.д.), большой стек применяемых технологий, дефицит опытных разработчиков, а доступность различного инструментария и знаний в области тестирования на проникновения приводит к ожидаемым последствиям — компрометации веб-приложения. Давайте попробуем повысить его защищенность. Читать далее «Мамкин» безопасник: защита сайта от хакерских атак → Romanov Roman 7385 Web security Читать дальше >>
10.09.2019 @ 12:05 Информационная безопасность: преступление и наказание law, Pentestit, Законодательство РФ Источник изображения В соответствии с УК РФ преступлением признаётся противоправное, общественно опасное деяние, ответственность за совершение которого предусмотрена УК РФ. В отечественном УК отдельная глава посвящена преступлениям в сфере компьютерной информации, однако на практике грань между преступным и правомерным настолько тонка, что возникают сложности при квалификации тех или иных деяний. В данной статье мы постараемся рассмотреть некоторые составы преступлений на примере конкретных ситуаций. Проводя обучение по программам практической подготовки в области информационной безопасности, мы сталкиваемся с вопросами, которые по сути относятся к теме, но выходят за пределы этих программ. Такие вопросы мы решили разбирать отдельно. Использование «патчей», «активаторов», «кряков» Судебная практика по данному вопросу неоднозначная. В одних случаях, когда дело касается преступлений, связанных с нарушением авторских прав, данное ПО признаётся вредоносным, в других – нет. Это связано с тем, что отсутствуют чёткие критерии «вредоносности» программы. Если обратиться к статье 273 УК РФ, можно выделить два критерия «вредоносности» программы: 1) программа работает несанкционированно; 2) работа программы приводит к одному из правовых последствий: уничтожению, блокированию, модификации, копированию информации, к нарушению работы ЭВМ, системы ЭВМ, сетей ЭВМ. Читать далее Информационная безопасность: преступление и наказание → pentestit-team 7967 Законодательство Читать дальше >>
29.08.2019 @ 15:11 Тестирование на проникновение или мы медленно снимаем с себя ответственность contract, legislation, penetration testing, pentest, Pentestit, responsibility Под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т.е. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (внутренний активный аудит защищённости). Тест на проникновение призван подтвердить или опровергнуть возможность несанкционированного доступа к защищаемой информации, используя найденные в процессе тестирования уязвимости. В процессе проведения тестирования на проникновение не исключены ситуации, когда действия пентестера могут причинить ущерб интересам третьих лиц. Например, когда тестирование проводится в облачной среде. Возникает вопрос: кто будет нести ответственность? Давайте разбираться. В первую очередь, основанием проведения тестирования на проникновение является договор. В силу ст. 432 ГК РФ договор считается заключенным, если сторонами достигнуто соглашение по всем существенным условиям. Для договора на оказание услуг существенными являются условия о предмете, цене и сроке оказания услуг. Следовательно, в обязательном порядке в договоре необходимо согласовать следующие моменты: Предмет договора, включающий в себя объект тестирования и перечень действий, которые необходимо произвести. Здесь следует указать количество сетей, подсетей, компьютеров, диапазон IP-адресов в одной сети. Важно чётко обозначить объект тестирования, исключив те объекты, которые проверять не нужно. Срок оказания услуг — период времени, когда будет проводиться тестирование на проникновение. Стоимость проведения тестирования на проникновение. Читать далее Тестирование на проникновение или мы медленно снимаем с себя ответственность → pentestit-team 8939 Penetration testing Читать дальше >>
21.08.2019 @ 22:43 Мамкин брутер: перебор паролей от SSH до Web crunch, hydra, kali, kali linux 2.0, medusa, patator, Pentestit Brute-force (атака полным перебором) обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису. Рассмотрим инструменты, которые можно использовать для выполнения атак методом перебора: Hydra 8.6, Medusa 2.2, Patator 0.7 и Metasploit Framework 4.17.17-dev, входящие в состав Kali Linux 2019.1. В зависимости от поддерживаемых протоколов будем использовать наиболее подходящие инструменты. Словарь паролей и пользователей сгенерируем самостоятельно с использованием Crunch. Читать далее Мамкин брутер: перебор паролей от SSH до Web → Hekpo 49840 Penetration testing Читать дальше >>
04.06.2019 @ 16:56 NSE или обратная сторона Nmap hacking, kali, kali linux 2.0, Nmap, NSE, penetration testing, pentest, Pentestit, безопасность сетевого периметра Кролики — это не только ценный мех, но и три — четыре килограмма диетического, легкоусвояемого мяса. Сегодня мы рассмотрим один из наиболее универсальных инструментов пентестера — Nmap — культовый кроссплатформенный сканер, который расшифровывается как «Network Mapper». Инструмент сам по себе довольно мощный, но его чаще всего используют в связке с другими утилитами, не предполагая, что, помимо способности сканировать сеть, Nmap имеет массу других возможностей. Основная из них — это использование скриптов с помощью NSE (Nmap Scripting Engine) — компонента Nmap, в основе которого лежит скриптовый язык Lua, напоминающий JavaScript. Именно NSE делает Nmap таким универсальным. Допустим, мы просканировали хост и увидели открытые порты: Читать далее NSE или обратная сторона Nmap → Hekpo 13777 Network security Читать дальше >>
27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний. NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать. Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода. Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также: минимальные требования к аппаратным ресурсам; обновление из репозитория; установка и настройка за несколько минут; обработка содержимого всех типов HTTP-запроса; простота в обслуживании. Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free → Hekpo 10056 Web security Читать дальше >>