01.02.2022 @ 9:42 WebSecOps: веб-безопасность от А до RCE owasp, Pentestit, SQL injection, WAF, WAF bypass, web security Разработка веб-приложений похожа на задачку про два стула, где реализовать функционал, не допустив при этом уязвимость, крайне непросто. Особенно сильно это проявляется при сжатых сроках. Независимо от того, какой язык используется, насколько хорошо написан код, какие задействованы фреймворки — недостатки будут появиться даже в проверенном и легаси коде, важно уметь их оперативно выявлять, устранять и не придерживаться правила: «лучше XSS в проде, чем RCE в деве». Веб-разработка развивается очень быстро, постоянно появляются новые технологии, а с ними и новые угрозы безопасности. Поэтому мы разработали отдельную программу практической подготовки WebSecOps, рассчитанную на тех, кто хочет прокачать навыки в области веб-безопасности. Читать далее WebSecOps: веб-безопасность от А до RCE → Hekpo 3121 Web security Читать дальше >>
01.04.2021 @ 16:19 Test lab 15 writeup: как вам н0в1ч0к? Pentestit, Test lab 15, web security, Информационная безопасность 15-го марта 2021 г. мы запустили пятнадцатую по счёту лабораторию тестирования на проникновение Test lab под кодовым названием названием: Who is the n0v1ch0k? На 12 день в режиме нон-стоп участнику BadBlackHat удалось первому скомпрометировать все узлы лаборатории. Для всех остальных, кто пытался, пытается и будет пытаться пропентестить Test lab 15, мы решили опубликовать ее прохождение. Лаборатории Test lab — бесплатные площадки для проверки и закрепления навыков тестирования на проникновение, представляющая собой корпоративную сеть виртуальной компании из уязвимых и неуязвимых компонентов (серверов, сетевого оборудования и рабочих станций). Итак, пришло время разобрать все задания Test lab 15, чтобы дать возможность тем, у кого не получается, глубже погрузиться в мир информационной безопасности и узнать для себя что-то новое. Содержание получилось довольно объёмным, но, надеемся, что интересным. Читать далее Test lab 15 writeup: как вам н0в1ч0к? → Hekpo 7248 Новости Читать дальше >>
18.01.2021 @ 15:53 Хранимые, отображаемые и DOM-based XSS Nemesida WAF, Pentestit, web security, XSS, XXSer, XXStrike XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса. Существует несколько видов XSS: Хранимые. Вредоносный код сохраняется на сервере и загружается с него каждый раз, когда пользователи запрашивают отображение той или иной страницы. Чаще всего проявляются там, где пользовательский ввод не проходит фильтрацию и сохраняется на сервере: форумы, блоги, чаты, журналы сервера и т.д. Например, скрипт <img src="http://exmple.com/">, оставленный на странице сайта с очень высокой посещаемостью, может спровоцировать DDoS-атаку на указанный веб-ресурс. Отображаемые. Вредоносная строка является частью запроса жертвы к веб-сайту. Сайт принимает и вставляет эту вредоносную строку в отправляемый ответ обратно пользователю. Например, при переходе пользователем по ссылке: http://example.com/q=<href='a' style='font-size:500px'> на странице отобразится гиперссылка, при наведении на которую выполнится скрипт alert(‘XSS’). Но для этого необходимо каким-то образом (например, с использованием социальной инженерии) заставить пользователя ввести эту ссылку в адресной строке. XSS в DOM-модели. Представляет собой вариант как хранимой, так и отображаемой XSS-атаки. В данном случае вредоносная строка не обрабатывается браузером жертвы, пока настоящий JavaScript веб-сайта не выполнится. Читать далее Хранимые, отображаемые и DOM-based XSS → Hekpo 6097 Web security Читать дальше >>
21.07.2020 @ 15:22 Эксплуатация XSS уязвимостей с использованием XSStrike Pentestit, web security, XSS, XSStrike XSS (Cross Site Scripting) — тип атаки, заключающийся во внедрении в выдаваемую веб-приложением страницу вредоносного кода, который будет выполнен на стороне пользователя при открытии им этой страницы. Являясь одним из наиболее популярных нарушением безопасности веб-приложений, атаки с использованием XSS вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые раздела сайта и даже привелегии администратора веб-ресурса Существует несколько видов XSS: Хранимые — вредоносный код сохраняется на сервере и загружается с него каждый раз, когда пользователи запрашивают отображение той или иной страницы; Отображаемые — вредоносная строка является частью запроса жертвы к веб-сайту. Сайт принимает и вставляет эту вредоносную строку в отправляемый ответ обратно пользователю; XSS в DOM-модели — представляет собой вариант как хранимой, так и отображаемой XSS-атаки. В этой XSS-атаке вредоносная строка не обрабатывается браузером жертвы, пока настоящий JavaScript веб-сайта не выполнится. XSStrike — это пакет обнаружения XSS-уязвимостей, оснащенный четырьмя рукописными синтаксическими анализаторами, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и быстрым сканером. Он распознаёт ответ с помощью нескольких анализаторов, и затем обрабатывает полезные данные, которые гарантированно будут работать с помощью контекстного анализа, интегрированного в механизм фаззинга. Читать далее Эксплуатация XSS уязвимостей с использованием XSStrike → Hekpo 10063 Web security Читать дальше >>
09.06.2020 @ 15:17 Пентест сетевого периметра с использованием Kali Linux kali linux 2.0, network security, penetration testing, Pentestit, web security Внешний сетевой периметр чаще всего подвергается атакам, определяя перед техническими специалистами задачу — сделать его максимально защищенным и неприступным. Для этого необходимо проводить тестирование на проникновение, одним из этапов которого является сканирование периметра на наличие уязвимостей. Если привлечь сторонних специалистов для проведения работ возможности нет, на базовом уровне можно самостоятельно оценить защищенность сетевых ресурсов бесплатно, без регистрации и СМС. Читать далее Пентест сетевого периметра с использованием Kali Linux → Hekpo 19626 Penetration testing Читать дальше >>
18.05.2020 @ 18:31 Атака на сайт с WordPress через JavaScript и XSS JavaScript, Nemesida WAF, Pentestit, RCE, web security, WordPress, XSS Недавно Nemesida WAF заблокировал довольно занимательную попытку атаки с использованием XSS и JavaScript. Несмотря на то, что я не являюсь JS-разработчиком, ради интереса решил разобраться в сути атаки. Особенность вектора заключается в специфике работы самого WordPress — возможность редактировать файлы тем через админ-панель, позволяя незаметно для администратора внедрить вредоносный код. Пейлоад, представленный в виде JS, размещается на сайте через XSS-уязвимость, после чего ждет своего исполнения. Отработанный на стороне администратора веб-ресурса, код модифицирует содержимое файла темы WordPress (header.php), позволяя злоумышленнику закрепиться в системе и полностью скомпрометировать веб-приложение. Читать далее Атака на сайт с WordPress через JavaScript и XSS → Hekpo 7730 Web security Читать дальше >>
15.10.2019 @ 18:50 «Мамкин» безопасник: защита сайта от хакерских атак Pentestit, WAF bypass, web security Популярность веб-приложений (к которым относятся сайты, интернет-магазины, личные кабинеты, API и т.д.), большой стек применяемых технологий, дефицит опытных разработчиков, а доступность различного инструментария и знаний в области тестирования на проникновения приводит к ожидаемым последствиям — компрометации веб-приложения. Давайте попробуем повысить его защищенность. Читать далее «Мамкин» безопасник: защита сайта от хакерских атак → Romanov Roman 6764 Web security Читать дальше >>
27.05.2019 @ 22:57 Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free naxsi, Nemesida WAF, Pentestit, SQL injection, WAF, WAF bypass, web security, XSS Сегодня мы хотим протестировать и сравнить работу двух бесплатных WAF: NAXSI и Nemesida WAF Free. В сравнении будут учитываться простота использования, качество предустановленных сигнатур, количество пропусков атак и частота ложных срабатываний. NAXSI расшифровывается как Nginx Anti XSS & SQL Injection. Работает по принципу: всё, что не разрешено — запрещено. Каждый HTTP-запрос (GET|PUT|POST) проверяется на соответствие шаблонам запрещающих правил, заданных по умолчанию в файле naxsi_core.rules. Эти правила охватывают 99% всех возможных вариантов зловредных запросов. Например, по умолчанию запрещены все запросы, в URI которых содержится символ двойной кавычки. Если для нормальной работы приложения такой символ необходим, то вручную нужно внести соответствующие исключения в белый список. Но есть и обратная сторона медали — если разрешающие правила будут проработаны плохо, то NAXSI будет блокировать еще и часть легитимных запросов. Поэтому ответственность за конечный результат разработчики модуля целиком и полностью возлагают на администратора системы. Как и большинство модулей для Nginx, NAXSI из репозитория недоступен, поэтому его придется вручную скачивать и компилировать. Nemesida WAF Free — бесплатная версия Nemesida WAF, представляющая собой динамический модуль для Nginx и обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного метода. Отличительной особенностью Nemesida WAF Free является собственная база сигнатур, выявляющая атаки на веб-приложения при минимальном количестве ложных срабатываний, а также: минимальные требования к аппаратным ресурсам; обновление из репозитория; установка и настройка за несколько минут; обработка содержимого всех типов HTTP-запроса; простота в обслуживании. Читать далее Сравниваем бесплатные версии WAF: NAXSI vs Nemesida WAF Free → Hekpo 8959 Web security Читать дальше >>
31.01.2018 @ 16:37 Cr3dOv3r — проверяем учётные данные на популярных сервисах Cr3dOv3r, Cr3dOv3r v0.3, D4Vinchi, web security В данной статье будет рассмотрена утилита Cr3dOv3r, разработанная D4Vinchi и выложенная им на GitHub. При создании этого инструмента, D4Vinchi преследовал две основные идеи. Первая — это возможность проверить является ли ваша учетная запись скомпрометированной. Второй идеей данной утилиты является возможность проверить, подходят ли известные вам учетные данные к популярным сервисам. Читать далее Cr3dOv3r — проверяем учётные данные на популярных сервисах → Pavel 11770 Web security Читать дальше >>
07.12.2017 @ 11:36 Перевод OWASP Testing Guide. Часть 3.9. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о сохранении паролей. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Обход аутентификации Читать далее Перевод OWASP Testing Guide. Часть 3.9. → abychutkin 14978 Web security Читать дальше >>