16.01.2023 @ 18:55 Немезида ВАФ: итоги 2022 API Firewall, ddos, Nemesida WAF, Pentestit, WAF, Немезида ВАФ «Год был непростым» (c). Эта мысль наверняка первая, которая приходит в голову, проводя Time Recap уходящего года. Еще «вчера» зарубежные вендоры охотно предоставляли свои услуги, в том числе в области информационной безопасности, а сейчас приходится в спешке импортозамещать, выбирая из тех, кто остался. Читать далее Немезида ВАФ: итоги 2022 → Hekpo 7522 Web security Читать дальше >>
16.09.2021 @ 12:43 Nemesida WAF: защита сайта от ботов и паразитного трафика Account Take Over, Brute-force, ddos, Nemesida WAF, Replay attack Атаки ботов могут представлять такую же угрозу, как самые «лютые» уязвимости OWASP — за неделю можно потерять несколько миллионов рублей на обычных формах регистрации/восстановления паролей по СМС. Современные бот-сети, как птица-говорун, отличаются умом и сообразительностью — и валидные куки могут получать, и CSRF-токены, и даже, говорят, способны капчу обходить. В конце-концов боты могут просто «положить» ресурс. С ботнет-атаками сталкиваются, наверное, все владельцы публичных веб-ресурсов: от сайтов до API — пытаются перекрыть вредоносный трафик настройками веб-сервера, созданием правил блокировок или как-то еще. Помните фразу 10-ти летней давности «Хватит это терпеть!»? Вдохновившись ей, мы реализовали в Nemesida WAF продвинутые механизмы, позволяющие по совокупности признаков и поведенческому анализу выявлять и блокировать паразитный ботнет-трафик. Читать далее Nemesida WAF: защита сайта от ботов и паразитного трафика → Romanov Roman 5492 Web security Читать дальше >>
18.01.2021 @ 15:53 Хранимые, отображаемые и DOM-based XSS Nemesida WAF, Pentestit, web security, XSS, XXSer, XXStrike XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса. Существует несколько видов XSS: Хранимые. Вредоносный код сохраняется на сервере и загружается с него каждый раз, когда пользователи запрашивают отображение той или иной страницы. Чаще всего проявляются там, где пользовательский ввод не проходит фильтрацию и сохраняется на сервере: форумы, блоги, чаты, журналы сервера и т.д. Например, скрипт <img src="http://exmple.com/">, оставленный на странице сайта с очень высокой посещаемостью, может спровоцировать DDoS-атаку на указанный веб-ресурс. Отображаемые. Вредоносная строка является частью запроса жертвы к веб-сайту. Сайт принимает и вставляет эту вредоносную строку в отправляемый ответ обратно пользователю. Например, при переходе пользователем по ссылке: http://example.com/q=<href='a' style='font-size:500px'> на странице отобразится гиперссылка, при наведении на которую выполнится скрипт alert(‘XSS’). Но для этого необходимо каким-то образом (например, с использованием социальной инженерии) заставить пользователя ввести эту ссылку в адресной строке. XSS в DOM-модели. Представляет собой вариант как хранимой, так и отображаемой XSS-атаки. В данном случае вредоносная строка не обрабатывается браузером жертвы, пока настоящий JavaScript веб-сайта не выполнится. Читать далее Хранимые, отображаемые и DOM-based XSS → Hekpo 7489 Web security Читать дальше >>
28.10.2020 @ 10:13 Не теребите мой API: обзор OWASP API Security Top 10 API, Nemesida WAF, OWASP API Security Top 10, Pentestit API — это набор способов и правил, по которым различные программы общаются между собой и обмениваются данными. Технически API означает программный интерфейс приложения. Интерфейс — это граница между двумя функциональными системами, на которой происходит их взаимодействие и обмен информацией. Но при этом процессы внутри каждой из систем скрыты друг от друга. API даёт доступ к готовым инструментам, например, к функциям библиотеки для машинного обучения. API позволяет вынести в отдельное приложение функционал, который должен быть защищен. Снижается вероятность некорректного использования этих функций другими программами. С помощью API можно связывать разные системы, например, подключить к сайту платёжную систему или аутентификацию через социальные сети. OWASP API Security Top 10 API используется повсеместно, а вместе с этим растет количество инцидентов, связанных с атаками на его функционал. Авторитетный проект OWASP, сосредоточенный на безопасности веб-приложений, выпустил OWASP API Security Top 10 2019 (PDF-версия) — перечень наиболее опасных и распространенных ошибок при разработке и использовании API: API1:2019 — Недостатки контроля доступа к объектам; API2:2019 — Недостатки аутентификации; API3:2019 — Разглашение конфиденциальных данных; API4:2019 — Отсутствие ограничений на ресурсы и запросы; API5:2019 — Недостатки контроля доступа на функциональном уровне; API6:2019 — Переназначение параметров; API7:2019 — Ошибки настроек безопасности; API8:2019 — Инъекции; API9:2019 — Некорректное управление ресурсами; API10:2019 — Недостаточное журналирование и мониторинг. Читать далее Не теребите мой API: обзор OWASP API Security Top 10 → Hekpo 9165 Web security Читать дальше >>
29.09.2020 @ 11:52 (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника Acunetix, BurpSuite, DirBuster, Nemesida WAF, owasp, Pentestit, SQLmap, ZAP Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин: веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку; веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить; веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными; веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь; благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца. Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten: А1 — Инъекции; А2 — Недостатки аутентификации; А3 — Разглашение конфиденциальных данных; А4 — Внешние сущности XML (XXE); А5 — Недостатки контроля доступа; А6 — Некорректная настройка параметров безопасности; А7 — Межсайтовое выполнение сценариев (XSS); А8 — Небезопасная десериализация; А9 — Использование компонентов с известными уязвимостями; А10 — Недостатки журналирования и мониторинга. Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника → Hekpo 10455 Web security Читать дальше >>
18.05.2020 @ 18:31 Атака на сайт с WordPress через JavaScript и XSS JavaScript, Nemesida WAF, Pentestit, RCE, web security, WordPress, XSS Недавно Nemesida WAF заблокировал довольно занимательную попытку атаки с использованием XSS и JavaScript. Несмотря на то, что я не являюсь JS-разработчиком, ради интереса решил разобраться в сути атаки. Особенность вектора заключается в специфике работы самого WordPress — возможность редактировать файлы тем через админ-панель, позволяя незаметно для администратора внедрить вредоносный код. Пейлоад, представленный в виде JS, размещается на сайте через XSS-уязвимость, после чего ждет своего исполнения. Отработанный на стороне администратора веб-ресурса, код модифицирует содержимое файла темы WordPress (header.php), позволяя злоумышленнику закрепиться в системе и полностью скомпрометировать веб-приложение. Читать далее Атака на сайт с WordPress через JavaScript и XSS → Hekpo 8763 Web security Читать дальше >>
27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний. NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать. Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода. Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также: минимальные требования к аппаратным ресурсам; обновление из репозитория; установка и настройка за несколько минут; обработка содержимого всех типов HTTP-запроса; простота в обслуживании. Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free → Hekpo 9991 Web security Читать дальше >>