Перевод и адаптация методологии OWASP на русский язык.

Документ “OWASP Testing Guide” изначально был написан на английском языке международной открытой организацией OWASP (Open web application security project), объединяющей сотни компаний и экспертов по кибербезопасности в их желании расширить понимание проблематики разработки веб-приложений и создать свои методики повышения осведомленности специалистов о потенциальных уязвимостях и недостатках в веб-приложениях. Сложность работы по локализации данного документа заключается не только в большом объеме текста, которое необходимо кропотливо перевести, но и в правильной трактовке смысловой нагрузки и профессиональных терминов, что часто ставит в тупик даже опытных переводчиков.

Максим Мощёнский, специалист по безопасности приложений компании Netcracker.

Автор перевода 1 и 2 главы методологии, описывающей этапы сбора информации. Данная глава описывает методы, способы и инструментарий этапа сбора информации.

Александр Худышкин, кафедра информационной безопасности ВШЭ.

Автор перевода 2 и 3 главы методологии, описывающей этапы сбора информации. Данные главы описывают принципы проведения тестирования, объясняют смысл и общую концепцию управления процессами тестирования безопасности веб-приложений.

Алексей Бычуткин, сотрудник компании Pentestit

Автор перевода 4 главы методологии, описывающей технические аспекты тестирования на проникновение веб-приложений. Данная глава описывает методы, способы и инструментарий тестирования.

Автор: Miroslav Stampar

URL: https://github.com/stamparm/maltrail

Перевод официальной документации Maltrail — системы обнаружения вредоносного трафика. Читать далее Система обнаружения вредоносного трафика Maltrail или идём по следам малвари →

В статье будут рассмотрены практические примеры защиты сайтов от DDoS-атак с использованием opensource-решений на базе Linux: iptables + nginx. О том, как защитить сайт от хакерских атак с использованием opensource, можно почитать в статье обеспечение безопасности сайта.

Развернем два сервера: Frontend (будет выполнять роль фильтрующего сервера: nginx, iptables, naxsi\modsecurity, fail2ban etc) и Backend (защищаемое веб-приложение). В данной статье будет описаны практически примеры фильтрации вредоносного трафика средствами Frontend-сервера.
Читать далее Защита сайта от DDoS-атак средствами iptables и nginx →

Не секрет, что рекогносцировка в контексте тестирования на проникновение, аналогично другим областям, проводится на первоначальном этапе: как для точного попадания в цель необходимо знать её координаты, так и для успешного тестирования на проникновение необходимо знать архитектуру и особенности исследуемой цели – будь это целевой сервер, либо виртуальная проекция человека, например, аккаунт в социальной сети. В данной статье речь пойдёт о программных средствах, позволяющих автоматизировать данный этап. Читать далее Применение некоторых средств автоматизации Open Source Intelligence (OSINT) →

Сегодня речь пойдет о небольшом углубление техники эксплуатации SQL инъекций которая получила свое весьма логическое название — «DIOS in SQL injection«. Основы работы с SQL инъекциями в этой статье рассматриваться не будут так как в интернете уйма материала для ознакомления.

Читать далее DIOS запросы в SQL инъекциях →

Общие моменты

Состояние гонки — ошибка, допущенная при разработки программы, приводящая к нежелательному поведению данной программы в процессе её исполнения из-за временных задержек в работе.

Читать далее Состояния гонки (race conditions). Часть 1. TOCTOU в *nix-системах. →

Ссылка на первую часть статьи.

Сигнатурные методы детектирования в IDS

В данной статье мы рассмотрим методы детектирования, использующие предопределенные правила, в которых содержатся сигнатуры — признаки определенного события. Сигнатурный подход к детектированию берет начало с самых ранних реализаций систем обнаружения вторжений и используется до сих пор.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 2 →

Рассмотрим пример реализации защиты сетевого периметра с использованием Opensource-решений на базе:
— Snort — система обнаружения\предотвращения вторжения (в контексте данной статьи будет рассматриваться как IDS);
— OSSEC — хостовая IDS (Host-based intrusion detection system);
— Prelude\Prewikka — SIEM-система для обработки и управления событиями (Security information and event management).

В предыдущих статьях, посвященных обеспечению безопасности веб-сайта и сетевого периметра были рассмотрены инструменты nginx-naxsi (web application firewall), fail2ban (сервис блокировки доступа) и snort (IDS). Давайте попробуем соединить все подсистемы воедино, снарядив в довесок SIEM, позволяющей просматривать и анализировать события в удобном виде. Кроме этого, использование подобной системы позволит подготовиться к соответствию со стандартом PCI DSS.

Далее в примерах будут использоваться 3 сервера:
Сервер R — сетевой шлюз;
Сервер WAF — веб-сервер с установленным Nginx-Naxsi и Fail2ban;
Сервер SIEM — сервер просмотра и обработки событий.

Итак, приступим!

Читать далее Обеспечение безопасности сетевого периметра с использованием Snort, OSSEC и Prelude SIEM →

Недавно, при обсуждении в одном чате вопроса: как из Wireshark вытащить файл, всплыла утилита NetworkMiner. Пообщавшись с коллегами и по гуглив в Интернете, я сделал вывод, что об этой утилите знает не так много народу. Так как утилита в разы упрощает жизнь исследователя/пентестера, то исправляю этот недостаток и расскажу сообществу о том, что же такое NetworkMiner.

Читать далее Анализ сетевого трафика с помощью утилиты NetworkMiner →

Обеспечение безопасности веб-сайта на базе ОС Linux (в примере будет использован Linux Debian), nginx, naxsi, iptables и fail2ban:

• nginx — веб-сервер;
• naxsi — web application firewall;
• также нам потребуется fail2ban и iptables.

Установка и первичная настройка nginx и naxsi

Компилируем и устанавливаем nginx с модулем naxsi. Я использую следующий скрипт для автоматической компиляции:
Читать далее Обеспечение безопасности сайта →