01.02.2022 @ 9:42 WebSecOps: веб-безопасность от А до RCE owasp, Pentestit, SQL injection, WAF, WAF bypass, web security Разработка веб-приложений похожа на задачку про два стула, где реализовать функционал, не допустив при этом уязвимость, крайне непросто. Особенно сильно это проявляется при сжатых сроках. Независимо от того, какой язык используется, насколько хорошо написан код, какие задействованы фреймворки — недостатки будут появиться даже в проверенном и легаси коде, важно уметь их оперативно выявлять, устранять и не придерживаться правила: «лучше XSS в проде, чем RCE в деве». Веб-разработка развивается очень быстро, постоянно появляются новые технологии, а с ними и новые угрозы безопасности. Поэтому мы разработали отдельную программу практической подготовки WebSecOps, рассчитанную на тех, кто хочет прокачать навыки в области веб-безопасности. Читать далее WebSecOps: веб-безопасность от А до RCE → Hekpo 3171 Web security Читать дальше >>
27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний. NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать. Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода. Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также: минимальные требования к аппаратным ресурсам; обновление из репозитория; установка и настройка за несколько минут; обработка содержимого всех типов HTTP-запроса; простота в обслуживании. Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free → Hekpo 8990 Web security Читать дальше >>
18.04.2017 @ 17:37 Использование SQLMap SQL injection, SQLmap SQL Injection – это тип атаки, при котором злоумышленник изменяет логику SQL запросов веб-приложения, что позволяет ему читать/изменять/удалять значения в базе данных, а иногда – выполнять произвольный код на стороне сервера. В статье будет рассмотрена популярная утилита sqlmap для проведения sql-инъекций. Читать далее Использование SQLMap → murphy 37581 Web security Читать дальше >>
30.01.2017 @ 14:22 Прохождение test-me.pp.ru — WAF bypass SiXSS, SQL injection, WAF bypass, XSS Добрый день, уважаемый читатель. Представляю твоему вниманию тренировочную площадку http://test-me.pp.ru/ по обходу WAF (WAF bypass) созданную ребятами с Античата. Cостоит она из шести уровней на SQL-инъекции и уязвимости SiXSS (Sql Injection Сross Site Scripting). Читать далее Прохождение test-me.pp.ru — WAF bypass → leksadin 9399 Web security Читать дальше >>
19.10.2016 @ 16:20 Шпаргалка по SQL инъекциям Microsoft SQL Server, MySQL, oracle, PostgreSQL, SQL injection, SQL injection cheat sheet Шпаргалка по SQL-инъекциям создана для сводного описания технических особенностей различных типов уязвимостей SQL-injection. В статье представлены особенности проведения SQL-инъекций в MySQL, Microsoft SQL Server, ORACLE и PostgreSQL. Читать далее Шпаргалка по SQL инъекциям → leksadin 177288 Web security Читать дальше >>
21.01.2016 @ 17:19 DIOS запросы в SQL инъекциях Dump In One Shot, SQL injection Сегодня речь пойдет о небольшом углубление техники эксплуатации SQL инъекций которая получила свое весьма логическое название — «DIOS in SQL injection«. Основы работы с SQL инъекциями в этой статье рассматриваться не будут так как в интернете уйма материала для ознакомления. Читать далее DIOS запросы в SQL инъекциях → Mister_Bert0ni 11269 Web security Читать дальше >>