21-22 ноября 2019 года в городе Алматы состоятся авторский семинар PCI DSS Training и воркшоп по практической безопасности Practical Security Village.
Вебинар «Грозовые облака: риски безопасности облачных сервисов»
2 min
Идея облачных вычислений впервые прозвучала в далёких 1960-х, но уже позже, с распространением интернета облачные технологии получили настоящее развитие. В 2006 году мир увидел первый IaaS сервис – Amazon Web Services. В 2010 появился Azure от Microsoft, и Google Compute Engine в 2012.
Вебинар «Палитра современного пентеста: Purple Team VS Red Team»
1 min
28 мая в 11:00 (МСК) приглашаем на вебинар Digital Security «Палитра современного пентеста: Purple Team VS Red Team». Расскажем про пентест во всех красках: сравним подходы, посоветуем, как выбрать наиболее целесообразный тип тестирования.
Онлайн-встреча по информационной безопасности
3 min
10 июня приглашаем на Digital Security ON AIR, онлайн-встречу по информационной безопасности. Поговорим про фаззинг, реверс-инжиниринг и пентест, сыграем в online CTF и замутим Kahoot с призами. Стартуем в 17:00, а закончить планируем в 21:00. Вход свободный.
Открыт набор атакующих для участия в кибербитве The Standoff
1 min
Для синих и красных команд The Standoff начнется 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласили напрямую, минуя отборочный тур. Оставшиеся 10 слотов могут занять команды из любой точки мира. Не упустите возможность!
Пентестер нашел в открытом доступе планы коммуникаций здания и проник в закрытую зону дата-центра через туалет
1 min
ИБ-эксперт, инженер и тестировщик физических систем защиты Эндрю Тирни (Andrew "Cybergibbons" Tierney) рассказал, как смог пройти в закрытую зону дата-центра по лежащим в свободном доступе чертежам здания. Он обнаружил инженерные коммуникации с коридорчиком, где можно было решать проблемы со сливом от писсуаров и чинить механизмы скрытых бачков унитазов в кабинках.
Positive Technologies стартовала первую в России программу bug bounty, нацеленную на реализацию недопустимых событий
3 min
Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа[1], которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Мы готовы выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.
Взгляд на аудит сквозь призму стандарта PCI DSS
21 min
Стремительно растет количество операций с использованием пластиковых карт: онлайн-платежи, безналичный расчет в торгово-сервисных предприятиях, манипуляции с банковским счетом в системах онлайн-банкинга и прочие платежные приложения от поставщиков услуг. Соответственно, расширяется инфраструктура, в которой циркулируют информация о держателях карт и критичные аутентификационные данные. В случае попадания этой информации или ее части в руки к злоумышленникам финансовые потери несут как банки-эмитенты, так и конечные пользователи.
Что такое системы управления уязвимостями на примере облачной платформы QualysGuard
3 min
Почему я решил написать этот текст.
Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.
С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.
Что под капотом у vk.com
5 min
Данный пост — небольшой отчет о процессе реверсивного проектирования и анализа работы самой популярной соц. сети в СНГ — vk.com. В основном анализ проводился со стороны безопасности (хотя сама соц. сеть весьма привлекательна как high-load проект, безусловно). Для себя вынес некоторые интересные решения и просто получил удовольствие. Пост получился, возможно, немного сумбурный, так углублялся просто в интересные мне моменты.
Содержание
Обзор
Архитектура
- php 5.2/5.3
- Периоды нагрузки (отключения автоподгрузки ленты)
- Врапперы в сообщениях
- Разный код для мобильной и полной версий
Security
- Фичи
- Авторизация
- Anti-CSRF токены
- Запрет iframe
- Отключенный POST на контент-серверах
- Фиче-баги
- Узнать возраст через поиск
- Баги
- XSS
- Загрузка документов без имени
- Подгрузка по ajax фото из закрытых альбомов (?)
- Не везде anti csrf
Разное
Маленький британский шпион – закладка на Raspberry Pi
9 min
Большой темой майского номера «Хакера» стал Raspberry Pi. Мы пообщались с создателем «малинки», Эбеном Аптоном и узнали, каковы итоги первого года проекта, и что ждет маленький компьютер в следующем. Также мы описали два концепта на основе Raspberry: незаметную закладку, которая в виду размеров может незаметно собирать данные из сети (принимая команды по SMS и скидывая логи в Evernote), а также систему видеонаблюдения, интегрированную с Google Drive. Один из этих концептов мы предлагаем вашему вниманию.
Идея дропбокса проста: если миниатюрный компьютер снабдить батареей и 3G-модемом, то можно получить шпионскую коробочку, которая незаметно подключается к исследуемой сети и передает собранные данные. Этот концепт вполне реализуем на Raspberry Pi.
Идея дропбокса проста: если миниатюрный компьютер снабдить батареей и 3G-модемом, то можно получить шпионскую коробочку, которая незаметно подключается к исследуемой сети и передает собранные данные. Этот концепт вполне реализуем на Raspberry Pi.
Допрос Митника в Хакспейсе
3 min
После выступления перед деловыми людьми, Кивин Митник любезно принял приглашение прийти на неформальную встречу в московском хакспейсе.
Данная статья основана на "воспоминаниях" участников, эти воспоминания могут не иметь никакой связи с действительностью, а быть просто актом социальной инженерии.
(при написании данного текста ни один Сноуден не пострадал)
Данная статья основана на "воспоминаниях" участников, эти воспоминания могут не иметь никакой связи с действительностью, а быть просто актом социальной инженерии.
(при написании данного текста ни один Сноуден не пострадал)
Пентест WordPress своими руками
3 min
К сожалению, нигде не нашел упоминания в постах на Хабре о замечательной утилите — WPScan, которая просто безумно помогает с пентестом блогов на WordPress. Этот пост о ней и еще одной утилите, которые помогут даже ничего не знающему в безопасности IT'шнику провести пентест блога на WordPress.
# ./wpscan.rb
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.1r1c1a6d2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________
Избранное: ссылки по IT безопасности
3 min
Давно хотел написать этот пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.
Подборка трюков при анализе защищенности веб приложений
5 min
Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.
Как мы ломали docshell.ru
2 min
Привет, Хабр!
BugHunt – это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.
Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.
Социальная инженерия на практике: «физический доступ» на закрытую конференцию Кевина Митника
8 min
«Физический доступ — это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно. Пишу об этом — и меня уже пробивает холодный пот.» Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера»
Еще в студенческое время, когда проводились олимпиады и конференции по информационной безопасности меня бесило то, что не принимались методы и работы, включающие в себя социальную инженерию (СИ). Как так! Ведь легендарный уже в те времена Митник говорит, что 99% взлома происходит с использованием СИ.
Не могу передать, какова была моя радость, когда я узнал в прошлом сентябре, что Митник приезжает в Москву, но еще большую радость мне доставил «рассказ одного моего знакомого», который попал на закрытую конференцию для бизнес-аудитории. Не знаю, может это он выдумал, но все же опубликую «текст перевода его письма», который он прислал мне с «анонимного почтового ящика».
Под катом отрывок из книги Митника про физический доступ и история про проникновение на конференцию Митника в Москве 2013.
Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов
1 min
Должен признаться, сам был удивлен подобной ситуацией. Я вообще ни разу не сисадмин, не пишу код и даже работаю в сфере, очень далекой от IT. Короче, я менеджер. По продажам промышленного оборудования. Однако люблю поковыряться в Linux (не могу не признаться в любви к calculate-linux) и поиграть в Windows.
Анализ защищенности терминалов общего пользования
7 min
Игра Watch Dogs прекрасно описывает недалекое будущее: вокруг всевозможные девайсы, средства выдачи и приема наличных, а также разнообразные имеющие доступ в интернет устройства, нашпигованные уязвимостями, эксплуатация которых позволяет хакеру извлечь определенную выгоду. Например, в игре главный герой при помощи смартфона может скомпрометировать систему видеонаблюдения, получив тем самым возможности вести слежку и добывать дополнительную информацию.
3 Атаки на TACACS+ от Cisco
6 min
Мне хотелось бы поведать сегодня итоги своего небольшого исследования, связанного с протоколом TACACS+, причём именно с пентестерской точки зрения. Использовать протокол по прямому мне не приходилось, так что каких-то тонкостей могу не упомянуть.
Terminal Access Controller Access-Control System Plus (TACACS+) — специальный протокол от Cisco для AAA (authentication, authorization, and accounting). То есть это протокол для централизованного управления доступом – чаще всего доступом именно к Cisco, но можно прикрутить что-то еще.
Итак, обычно поднимается один-два сервера с TACACS+ сервисом на 49 порту протокола TCP, а на всех устройствах настраивают его использование. Таким образом, когда пользователь хочет аутентифицироваться на свитче, роутере или другом устройстве, устройство пересылает его аутентификационные данные на TACACS+ сервер, где их проверяют, и принимается решение о разрешении доступа, о чём и сообщается в ответных пакетах
Удобно, централизовано. Можно настроить различные привилегии для различных пользователей на различных устройствах. Есть логирование доступа и действий на серверной стороне. Можно прикрутить поверх другую централизацию доступа, типа AD или LDAP'а. Есть open source реализации сервера (Cisco когда-то официально выложила код).
Что такое TACACS+
Terminal Access Controller Access-Control System Plus (TACACS+) — специальный протокол от Cisco для AAA (authentication, authorization, and accounting). То есть это протокол для централизованного управления доступом – чаще всего доступом именно к Cisco, но можно прикрутить что-то еще.
Итак, обычно поднимается один-два сервера с TACACS+ сервисом на 49 порту протокола TCP, а на всех устройствах настраивают его использование. Таким образом, когда пользователь хочет аутентифицироваться на свитче, роутере или другом устройстве, устройство пересылает его аутентификационные данные на TACACS+ сервер, где их проверяют, и принимается решение о разрешении доступа, о чём и сообщается в ответных пакетах
Удобно, централизовано. Можно настроить различные привилегии для различных пользователей на различных устройствах. Есть логирование доступа и действий на серверной стороне. Можно прикрутить поверх другую централизацию доступа, типа AD или LDAP'а. Есть open source реализации сервера (Cisco когда-то официально выложила код).