Pull to refresh
  • by relevance
  • by date
  • by rating

Открыта регистрация на PCI DSS Training и Practical Security Village, г. Алматы, Казахстан

Conferences
21-22 ноября 2019 года в городе Алматы состоятся авторский семинар PCI DSS Training и воркшоп по практической безопасности Practical Security Village.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 881
Comments 0

Вебинар «Грозовые облака: риски безопасности облачных сервисов»

Information Security *Cloud services


Идея облачных вычислений впервые прозвучала в далёких 1960-х, но уже позже, с распространением интернета облачные технологии получили настоящее развитие. В 2006 году мир увидел первый IaaS сервис – Amazon Web Services. В 2010 появился Azure от Microsoft, и Google Compute Engine в 2012.
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 1.2K
Comments 4

Вебинар «Палитра современного пентеста: Purple Team VS Red Team»

Information Security *IT systems testing *IT-companies


28 мая в 11:00 (МСК) приглашаем на вебинар Digital Security «Палитра современного пентеста: Purple Team VS Red Team». Расскажем про пентест во всех красках: сравним подходы, посоветуем, как выбрать наиболее целесообразный тип тестирования.
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 634
Comments 0

Онлайн-встреча по информационной безопасности

Information Security *Conferences IT-companies


10 июня приглашаем на Digital Security ON AIR, онлайн-встречу по информационной безопасности. Поговорим про фаззинг, реверс-инжиниринг и пентест, сыграем в online CTF и замутим Kahoot с призами. Стартуем в 17:00, а закончить планируем в 21:00. Вход свободный.
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 796
Comments 1

Взгляд на аудит сквозь призму стандарта PCI DSS

Information Security *
Взгляд на аудит сквозь призму стандарта PCI DSS

Стремительно растет количество операций с использованием пластиковых карт: онлайн-платежи, безналичный расчет в торгово-сервисных предприятиях, манипуляции с банковским счетом в системах онлайн-банкинга и прочие платежные приложения от поставщиков услуг. Соответственно, расширяется инфраструктура, в которой циркулируют информация о держателях карт и критичные аутентификационные данные. В случае попадания этой информации или ее части в руки к злоумышленникам финансовые потери несут как банки-эмитенты, так и конечные пользователи.
Читать дальше →
Total votes 36: ↑32 and ↓4 +28
Views 27K
Comments 14

Что такое системы управления уязвимостями на примере облачной платформы QualysGuard

Information Security *
Sandbox

Почему я решил написать этот текст.


Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.

С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.
Читать дальше →
Total votes 11: ↑5 and ↓6 -1
Views 8.2K
Comments 9

Что под капотом у vk.com

Information Security *Reverse engineering *
Данный пост — небольшой отчет о процессе реверсивного проектирования и анализа работы самой популярной соц. сети в СНГ — vk.com. В основном анализ проводился со стороны безопасности (хотя сама соц. сеть весьма привлекательна как high-load проект, безусловно). Для себя вынес некоторые интересные решения и просто получил удовольствие. Пост получился, возможно, немного сумбурный, так углублялся просто в интересные мне моменты.

Содержание


Обзор

Архитектура

  • php 5.2/5.3
  • Периоды нагрузки (отключения автоподгрузки ленты)
  • Врапперы в сообщениях
  • Разный код для мобильной и полной версий

Security

  • Фичи
    • Авторизация
    • Anti-CSRF токены
    • Запрет iframe
    • Отключенный POST на контент-серверах
  • Фиче-баги
    • Узнать возраст через поиск
  • Баги
    • XSS
    • Загрузка документов без имени
    • Подгрузка по ajax фото из закрытых альбомов (?)
    • Не везде anti csrf

Разное

Читать дальше →
Total votes 117: ↑106 and ↓11 +95
Views 57K
Comments 54

Маленький британский шпион – закладка на Raspberry Pi

Журнал Хакер corporate blog Information Security *
Большой темой майского номера «Хакера» стал Raspberry Pi. Мы пообщались с создателем «малинки», Эбеном Аптоном и узнали, каковы итоги первого года проекта, и что ждет маленький компьютер в следующем. Также мы описали два концепта на основе Raspberry: незаметную закладку, которая в виду размеров может незаметно собирать данные из сети (принимая команды по SMS и скидывая логи в Evernote), а также систему видеонаблюдения, интегрированную с Google Drive. Один из этих концептов мы предлагаем вашему вниманию.




Идея дропбокса проста: если миниатюрный компьютер снабдить батареей и 3G-модемом, то можно получить шпионскую коробочку, которая незаметно подключается к исследуемой сети и передает собранные данные. Этот концепт вполне реализуем на Raspberry Pi.

Читать дальше →
Total votes 80: ↑59 and ↓21 +38
Views 93K
Comments 29

Допрос Митника в Хакспейсе

Information Security *
После выступления перед деловыми людьми, Кивин Митник любезно принял приглашение прийти на неформальную встречу в московском хакспейсе.



Данная статья основана на "воспоминаниях" участников, эти воспоминания могут не иметь никакой связи с действительностью, а быть просто актом социальной инженерии.

(при написании данного текста ни один Сноуден не пострадал)
Читать дальше →
Total votes 25: ↑15 and ↓10 +5
Views 17K
Comments 9

Избранное: ссылки по IT безопасности

Digital Security corporate blog Information Security *




Давно хотел написать этот пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.




Читать дальше →
Total votes 92: ↑86 and ↓6 +80
Views 108K
Comments 18

Подборка трюков при анализе защищенности веб приложений

Digital Security corporate blog Information Security *
Всем привет! Этот топик посвящен разным трюкам при анализе защищенности (пентесте) веб приложений. Периодически сталкиваешься с ситуацией, когда надо обойти какую-нибудь защиту, выкрутиться в данных ограничениях или просто протестировать какое-то неочевидное место. И этот пост как раз об этом! Добро пожаловать под кат.
Читать дальше →
Total votes 87: ↑81 and ↓6 +75
Views 34K
Comments 16

Как мы ломали docshell.ru

BugHunt corporate blog Information Security *
Привет, Хабр!

BugHunt – это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.
Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.
Читать дальше →
Total votes 30: ↑18 and ↓12 +6
Views 11K
Comments 8

Социальная инженерия на практике: «физический доступ» на закрытую конференцию Кевина Митника

Information Security *
«Физический доступ — это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно. Пишу об этом — и меня уже пробивает холодный пот.» Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера»



Еще в студенческое время, когда проводились олимпиады и конференции по информационной безопасности меня бесило то, что не принимались методы и работы, включающие в себя социальную инженерию (СИ). Как так! Ведь легендарный уже в те времена Митник говорит, что 99% взлома происходит с использованием СИ.

Не могу передать, какова была моя радость, когда я узнал в прошлом сентябре, что Митник приезжает в Москву, но еще большую радость мне доставил «рассказ одного моего знакомого», который попал на закрытую конференцию для бизнес-аудитории. Не знаю, может это он выдумал, но все же опубликую «текст перевода его письма», который он прислал мне с «анонимного почтового ящика».

Под катом отрывок из книги Митника про физический доступ и история про проникновение на конференцию Митника в Москве 2013.
Читать дальше →
Total votes 237: ↑233 and ↓4 +229
Views 122K
Comments 81

Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов

Information Security *
Sandbox
Должен признаться, сам был удивлен подобной ситуацией. Я вообще ни разу не сисадмин, не пишу код и даже работаю в сфере, очень далекой от IT. Короче, я менеджер. По продажам промышленного оборудования. Однако люблю поковыряться в Linux (не могу не признаться в любви к calculate-linux) и поиграть в Windows.
Читать дальше →
Total votes 42: ↑25 and ↓17 +8
Views 25K
Comments 47

Анализ защищенности терминалов общего пользования

Журнал Хакер corporate blog Information Security *


Игра Watch Dogs прекрасно описывает недалекое будущее: вокруг всевозможные девайсы, средства выдачи и приема наличных, а также разнообразные имеющие доступ в интернет устройства, нашпигованные уязвимостями, эксплуатация которых позволяет хакеру извлечь определенную выгоду. Например, в игре главный герой при помощи смартфона может скомпрометировать систему видеонаблюдения, получив тем самым возможности вести слежку и добывать дополнительную информацию.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 20K
Comments 6

3 Атаки на TACACS+ от Cisco

Digital Security corporate blog Information Security *
Мне хотелось бы поведать сегодня итоги своего небольшого исследования, связанного с протоколом TACACS+, причём именно с пентестерской точки зрения. Использовать протокол по прямому мне не приходилось, так что каких-то тонкостей могу не упомянуть.

Что такое TACACS+


Terminal Access Controller Access-Control System Plus (TACACS+) — специальный протокол от Cisco для AAA (authentication, authorization, and accounting). То есть это протокол для централизованного управления доступом – чаще всего доступом именно к Cisco, но можно прикрутить что-то еще.

Итак, обычно поднимается один-два сервера с TACACS+ сервисом на 49 порту протокола TCP, а на всех устройствах настраивают его использование. Таким образом, когда пользователь хочет аутентифицироваться на свитче, роутере или другом устройстве, устройство пересылает его аутентификационные данные на TACACS+ сервер, где их проверяют, и принимается решение о разрешении доступа, о чём и сообщается в ответных пакетах

image

Удобно, централизовано. Можно настроить различные привилегии для различных пользователей на различных устройствах. Есть логирование доступа и действий на серверной стороне. Можно прикрутить поверх другую централизацию доступа, типа AD или LDAP'а. Есть open source реализации сервера (Cisco когда-то официально выложила код).
Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 13K
Comments 10

Анализ трафика Android-приложений: обход certificate pinning без реверс-инжиниринга

Information Security *
Иногда нужно исследовать работу бэкенда мобильного приложения. Хорошо, если создатели приложения не заморачивались и все запросы уходят по «голому» HTTP. А что, если приложение для запросов использует HTTPS, и отказывается принимать сертификат вашего корневого удостоверяющего центра, который вы заботливо внедрили в хранилище операционной системы? Конечно, можно поискать запросы в декомпилированом приложении или с помощью реверс-инжиниринга вообще отключить применение шифрования, но хотелось бы способ попроще.

image
Читать дальше →
Total votes 25: ↑25 and ↓0 +25
Views 39K
Comments 11

Пентест в Global Data Security — прохождение 10-й лаборатории Pentestit

Pentestit corporate blog Information Security *


Лаборатории компании Pentestit уже стали традицией для многих. Каждый май и ноябрь открывается очередная лаборатория, и тысячи энтузиастов по всему миру не спят сутками чтобы первыми скомпрометировать сеть нового виртуального банка, разработчиков ПО или провайдера услуг в области ИБ.

25-го ноября запустилась очередная, на этот раз 10-я лаборатория, где участникам было предложено прорваться в сеть вымышленной компании Global Data Security — разработчика ПО в области информационной безопасности.

6-го декабря, ровно через 11 суток, лаборатория была пройдена первыми участниками, которые смогли получить доступ к каждому уязвимому узлу сети компании Global Data Security и нашли на них специальные токены — комбинации букв и цифр, которые нужно ввести в панель управления на сайте Pentestit.

Для тех, кто еще не успел заняться лабораторией — она будет активна до мая 2017-го года, после чего ее заменит уже объявленная 11-я лаборатория. А пока, эта статья предлагает описание всех этапов прохождения текущей лаборатории для всех, кто хочет развить свои навыки пентеста и узнать больше об актуальных уязвимостях на конец 2016-го года. Статья получилась длинная, но, надеюсь, интересная.
Читать дальше →
Total votes 43: ↑42 and ↓1 +41
Views 31K
Comments 13

Так ли безопасно использование абсолютного пути в *nix системах, как мы привыкли считать?

BI.ZONE corporate blog Information Security *Development for Linux *

image


Идея редактирования переменных окружения пользователя для повышения прав при тестировании на проникновение стара как мир. По этой теме написано множество статей, и даже в книгах начали появляться советы по использованию абсолютного пути вместо относительного. Вот пример такого совета из довольно известной книги Unix и Linux. Руководство системного администратора (4 издание):


…
Рекомендуем взять за правило при вводе команды указывать полное имя, например /bin/su или /usr/bin/su, а не просто su. Это послужит определенной защитой от тех программ с именем su, которые преднамеренно были прописаны в переменной среды path злоумышленником, намеревавшимся собрать хороший “урожай” паролей.
…

Но так ли это безопасно? Если вы тоже задавались этим вопросом, то добро пожаловать под кат.


Читать дальше →
Total votes 82: ↑75 and ↓7 +68
Views 25K
Comments 139

Пентест-лаборатория «Pentestit Test lab v.11» — полное прохождение

Pentestit corporate blog Information Security *


30-го июня вновь запустилась пентест лаборатория компании Pentestit. Уже много лет эти лаборатории дают возможность проверить себя в роли пентестера в виртуальной компании со своими бизнес-процессами, серверами, сотрудниками и проблемами, узнать и опробовать современные уязвимости и отточить свои навыки в аудитах приложений и пентесте, максимально приближенном к реальному.

Эта лаборатория уже 11-я по счету. Описания десятой, девятой, восьмой, седьмой и шестой лабораторий тоже доступны, и могут пригодиться в подготовке к участию, если вы этого еще не сделали.

Как и в прошлый раз, спустя 11 суток лаборатория была пройдена первыми участниками, собравшими 12 токенов, которые подтверждают полное решение очередной задачи, будь то получение доступа в БД, проникновение и повышение привилегий на Linux-сервере или успешное выполнение MiTM-атаки на ноутбук директора виртуальной компании Test.Lab.

Эта статья описывает все этапы прохождения пентест-лаборатории Test.Lab 11 для всех, кому интересно погрузиться в область пентеста или узнать, как решалась конкретная задача.
Читать дальше →
Total votes 43: ↑43 and ↓0 +43
Views 59K
Comments 41