11.07.2017 @ 17:41 RDPInception — атака через подключенные диски empire, powershell, RDP, windows Протокол RDP на сегодняшний день является одним из основных протоколов удаленного доступа к машинам под управлением ОС Windows. Помимо взаимодействия с удаленным компьютером он позволяет подключить к удаленной машине локальные диски, порты и другие устройства. На основании этого становится возможна атака, которая получила название RDPInception, позволяющая захваченному RDP серверу атаковать клиентские машины. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, становится возможным атаковать все машины в цепочке. Читать далее RDPInception — атака через подключенные диски → antgorka 15208 Network security Читать дальше >>
29.06.2017 @ 10:41 Перевод OWASP Testing Guide. Часть 3.7. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о механизме блокировки учетных записей. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Определение правил генерации имен пользователей Изучение передачи пользовательских данных Тестирование учетных данных по умолчанию Читать далее Перевод OWASP Testing Guide. Часть 3.7. → abychutkin 9170 Новости Читать дальше >>
22.06.2017 @ 12:05 Перевод OWASP Testing Guide. Часть 3.6. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о учетных данных по умолчанию. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Определение правил генерации имен пользователей Изучение передачи пользовательских данных Читать далее Перевод OWASP Testing Guide. Часть 3.6. → abychutkin 11588 Web security Читать дальше >>
06.06.2017 @ 10:56 Перевод OWASP Testing Guide. Часть 3.5. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о передаче пользовательских данных. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Определение правил генерации имен пользователей Читать далее Перевод OWASP Testing Guide. Часть 3.5. → abychutkin 9088 Web security Читать дальше >>
10.05.2017 @ 16:58 The Bug Hunters Methodology. Часть 2, 3. bug-bounty, bug-hunter, Methodology, pentest, web security The Bug Hunters Methodology: обнаружение цели и о составление карты архитектуры веб-приложения. Предыдущие статьи: Философия Читать далее The Bug Hunters Methodology. Часть 2, 3. → xb 9110 Penetration testing Читать дальше >>
26.04.2017 @ 0:19 Kali Linux 2017.1 kali linux, Kali Linux 2017.1 Долгожданный релиз Kali Linux 2017.1! Состоялся rolling-release Kali Linux 2017.1 , который содержит множество интересных обновлений и функций: обновленные пакеты , обновленное ядро, которое обеспечивает более качественную аппаратную поддержку, а также обновленные инструменты и нововведения. Читать далее Kali Linux 2017.1 → Romanov Roman 16389 Новости Читать дальше >>
18.04.2017 @ 17:37 Использование SQLMap SQL injection, SQLmap SQL Injection – это тип атаки, при котором злоумышленник изменяет логику SQL запросов веб-приложения, что позволяет ему читать/изменять/удалять значения в базе данных, а иногда – выполнять произвольный код на стороне сервера. В статье будет рассмотрена популярная утилита sqlmap для проведения sql-инъекций. Читать далее Использование SQLMap → murphy 39880 Web security Читать дальше >>
12.04.2017 @ 18:40 Port Scan Attack Detector (PSAD) ids, IPS, psad PSAD — представляет собой набор из трех легких системных демонов, которые работают на Linux и анализируют логи iptables для обнаружения сканирования портов и наличие подозрительного трафика. Читать далее Port Scan Attack Detector (PSAD) → n0odel 10289 Network security Читать дальше >>
27.02.2017 @ 14:13 Аудит Web-приложения – систематизируем тестирование Methodology, pentest, web security В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов. Читать далее Аудит Web-приложения – систематизируем тестирование → leksadin 9840 Penetration testing Читать дальше >>
21.02.2017 @ 11:03 Обзор IPS: The Artillery Project honeypot, ids, IPS, the artillery project В данной статье будет коротко рассмотрен инструмент The Artillery Project компании Binary Defense Systems, целью которого является защита операционной системы от сетевых атак. Читать далее Обзор IPS: The Artillery Project → antgorka 7034 Network security Читать дальше >>