Pull to refresh

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

DataLine corporate blog Information Security *Website development *Cloud services *


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 947
Comments 0

Ошибка в экспоненциальной форме записи чисел в MySQL сделала клиентов AWS WAF уязвимыми для внедрения SQL

Information Security *MySQL *SQL *

Этичные хакеры из Go Secure обнаружили ошибку в MySQL, угрожающую безопасности. Из-за неё клиенты AWS Web Application Firewall (WAF) остались незащищёнными от внедрения SQL. Ещё одна исследовательская группа дополнительно подтвердила, что это влияет на безопасность, и предоставила один из способов, как исправить эту ошибку.

Читать далее
Total votes 25: ↑25 and ↓0 +25
Views 2.1K
Comments 4

Обзор систем сборки SCons и Waf

Website development *
image

Я — разработчик и в качестве основного языка последние пару лет использую Python. Однако время от времени появляются задачи, когда нужно писать на C/C++. Существуют разные системы, с помощью которых можно собирать такие проекты. Классикой являются make и autotools. Я же хочу заострить внимание на таких альтернативах, как SCons и Waf. Целью поста не является доказательство того, что они лучше или хуже make. Хочется просто провести короткий экскурс, чтобы стало приблизительно понятно что это, зачем это и как с этим начать работать.

Чтобы разговор был предметным, предлагаю рассмотреть системы на практике. Я решил использовать простенький проект, в котором необходимы типовые, но не всегда тривиальные задачи сборки. Будем делать простенький web-сервер, цель которого: выдавать статичную страницу, которая готовится в отдельном html файле, но которая в итоге должна быть встроена в исполняемый файл. То есть на стадии сборки по html-коду должен быть собран исходник с си-кодом. В качестве серверной библиотеки используем mongoose, исходники которого положим внутрь проекта и будем собирать их в статическую библиотеку, которую в последствии будем прилинковывать к исполняемому файлу. Думаю, задача понятна.

Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 15K
Comments 9

[Перевод] Построение документов Latex с помощью Waf

LaTeX *
Sandbox
Это исправленный и дополненный перевод статьи о многофункциональной системе сборки Waf.

С самого начала использования сервиса Dropbox для хранения моих научных исследований и проектов я стал искать решение, которое позволит мне строить документы LaTeX без засорения каталога с документом. В обычных условиях я просто игнорирую такие файлы, но под Dropbox, каждый раз после построения документа файлы начинают синхронизироваться с сервером. Так как в Dropbox нет возможности указать файлы для игнорирования (если кто-то из компании читает это сообщение, пожалуйста, сделайте файл .dropboxignore), то я начал искать другое решение.
Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Views 2.5K
Comments 1

Как работает WebsiteDefender

Information Security *
Несколько недель назад заметил в плагине для Wordpress wp security scan рекламу другого сервиса websitedefender для защиты сайтов. На сайте кроме стандартной маркетинговой шелухи толком ничего полезного не нашел, но несколько заинтриговали слова о революционно ином способе работы этого сервиса, отличающемся от уже существующих. Гугл ничего полезного не выдал о том, как же все-таки работает этот сервис.

Исторически так сложилось, что большинство считает достаточным защиту только от атак извне — SQL, XSS-инъекций, LFI\RFI, CSRF и т.п, забывая про атаки на файлы веб-приложений. Те же WAF, такие как mod_security, phpids — яркий тому пример.

Мне это кажется не очень справледливым, поэтому я захотел рассмотреть возможности сервиса WebsiteDefender, который по описанию должен уметь защищать файлы веб-приложений от модификаций.

Предлагается скачать некий агент – php-file, в котором целый набор функций для шифрования и… конструкция
$success = @eval('?>'.$request->params);

Вопрос, что же делает этот php код, возник еще до его скачивания, а после беглого просмотра и нахождения такого интересного арсенала появляется еще больше вопросов. Хотя компания вроде бы довольно известная — Acunetix, ставить кота в мешке себе на сайт вряд ли кому захочется.

Ответ поддержки на запрос предоставить информацию, что делает их код, и результаты своего исследования работы сервиса под катом.
Читать дальше →
Total votes 54: ↑54 and ↓0 +54
Views 1.9K
Comments 24

Http Parameter Contamination (more)

Information Security *
Продолжая исследование атаки Http Parameter Contamination (HPC), мною был проведен примитивный фаззинг, в том числе в тех средах, которые не были затронуты Ivan Markovic в его оригинальном исследовании. Стоит сразу отметить, что ничего принципиально нового найдено не было. С другой стороны была выявлена интересная особенность интерпретатора Python, а также, получен боевой сплоит на отказ в обслуживании в отношении сервера Tomcat :) Но по последнему, пока non disclosure.

Полученные результаты представлены на картинке ниже.
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 1.7K
Comments 10

Началась регистрация на онлайн-конкурсы PHDays 2012

Positive Technologies corporate blog Information Security *

Завершились конкурсы, в которых разыгрывались инвайты на форум Positive Hack Days 2012. Победители получили свои приглашения, и уже совсем скоро мы встретимся с ними на площадке московского техноцентра Digital October. Если вы не успели принять участие в этих соревнованиях или не смогли добиться победы — у вас есть шанс выиграть кучу призов в ходе онлайн-сражений, которые начнутся одновременно со стартом форума (регистрация доступна в личном кабинете пользователя на сайте PHDays). Под катом описание конкурсов и условия участия.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 3.6K
Comments 2

Защита для NGINX — NAXSI

Information Security *Website development *

Что такое NAXSI ?


NAXSI = NGINX ANTI XSS & SQL INJECTION
Проще говоря, это файрвол веб-приложений (WAF) для NGINX, помогающий в защите от XSS, SQL-инъекций, CSRF, Local & Remote file inclusions.
Отличительными особенностями его являются быстрота работы и простота настройки. Это делает его хорошей альтернативой например mod_security и апачу.

Зачем нужен NAXSI ?

Очевидно, лучше всего защищаться от вышеперечисленных атак правильно написанным кодом. Но есть ситуации, когда WAF (и в частности naxsi), поможет:
  • Низкое качество кода сайта, при отсутствии возможности/ресурсов все выкинуть и переписать нормально.
  • “Закрытый” код, в котором невозможно исправить ошибки.
  • Неизвестное качество кода в важном для бизнеса участке.


Читать дальше →
Total votes 102: ↑100 and ↓2 +98
Views 34K
Comments 60

На пути к созданию безопасного веб-ресурса. Часть 1 — серверное ПО

Information Security *
Tutorial
Я уже довольно долгое время хочу формализовать все свои мысли, опыт, ежедневно применяемый на практике, и многое другое в одном месте и предоставить их общественности. Уверен, многим этот материал будет полезен. Он посвящен различным моментам в конфигурации серверного ПО Linux и безопасным подходам к созданию сайтов/приложений на php (все же это до сих пор одна из самых популярных связок, хоть её успешно и подвигают другие технологии. Но советы так же легко применимы и к веб-ресурсам на других технологиях).

Т.е. речь идет о типичной ситуации. Проект (стартап), купили под него сервер и разворачиваем на нем сайт. Бизнесу не нужно тратить лишних денег на сервера (поэтому будут выбраны наиболее производительные связки ПО), а так же нужно, чтобы все было безопасно, при чем бесплатно :)
Много текста. По-другому никак
Total votes 170: ↑159 and ↓11 +148
Views 97K
Comments 47

Новые доклады на PHDays III: от безопасности АСУ ТП до анализа эксплойтов нулевого дня в Java

Positive Technologies corporate blog Information Security *
Как создать собственный Stuxnet? Так ли уж безопасны сами средства защиты ПО? Насколько легко следить за людьми и почему физическая безопасность — основа любой безопасности? Сегодня мы представляем вашему вниманию некоторые из более чем 30 докладов основной технической программы форума Positive Hack Days III.
Читать дальше →
Total votes 6: ↑4 and ↓2 +2
Views 4.8K
Comments 0

Web Application Firewall (ModSecurity) в действии

Information Security *
Sandbox
Атаки на уровень web-приложений одни из самых распространенных и часто крайне критичны. В данной статье хочу показать насколько способен WAF ModSecurity отражать данные угрозы.

1. Межсетевой экран уровня web-приложений Modsecurity


1.1 Проект ModSecurity


ModSecurity создан Иваном Ристиком (Ivan Ristic) в 2003 году и представляет собой firewall Web-приложений, который может использоваться как модуль Web-сервера Apache, либо работать в автономном режиме и позволяющий защитить Web-приложения как от известных, так и неизвестных атак. Его использование прозрачно, как установка, так и удаление не требует изменения настройки сервисов и сетевой топологии. Кроме того, при обнаружении уязвимого места теперь не обязательно впопыхах изменять исходный код, делая новые ошибки, достаточно на первых порах добавить новое правило, запрещающее вредную комбинацию. Modsecurity может защищать одновременно несколько Web-серверов, в том числе и отличных от Apache [1].
Читать дальше →
Total votes 14: ↑8 and ↓6 +2
Views 34K
Comments 9

Разбор заданий конкурса WAF Bypass на PHDays IV

Positive Technologies corporate blog Information Security *
В этом году на Positive Hack Days проходил конкурс WAF Bypass, участники которого могли попробовать свои силы в обходе PT Application Firewall. Для нас проведение такого конкурса было отличным шансом проверить продукт в бою, ведь на конференции собрались лучшие специалисты в области информационной безопасности.

Для конкурса мы подготовили набор заданий. Каждое представляло собой сценарий с типовой уязвимостью: с ее помощью нужно было добыть флаг. Все задания имели решение, но решения не всегда были очевидными. Участникам был доступен отчет о сканировании исходных кодов заданий с помощью другого продукта нашей компании — Application Inspector. В этом посте мы расскажем о заданиях, обходах и полученном опыте.
Поехали!
Total votes 28: ↑26 and ↓2 +24
Views 9.6K
Comments 6

«Умный Дом» и система MySensors: Часть 0

DIY
В первой части я немного рассказал о моем опыте создания устройств на основе системы MySensors. Должен признать, описание получилось не полным — без начала и без конца.

В этот раз займемся «началом», значит это будет Часть 0.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 29K
Comments 9

Защита корпоративных приложений: как стать разработчиком PT Application Firewall

Positive Technologies corporate blog Information Security *Python *C++ *


Два года подряд во время международного форума Positive Hack Days проходил конкурс WAF Bypass по обходу межсетевого экрана PT Application Firewall. Мы публиковали в блоге разбор заданий этого соревнования (2014 год и 2015 год).

За год популярность соревнования значительно выросла: этой весной для участия зарегистрировалось 302 человека (годом ранее — 101), которые за время конкурса отправили 271390 запросов (вдвое больше, чем в предыдущем году).

При этом многие участники соревнования и гости PHDays интересовались не только самим соревнованием и его заданиями, но и экраном, который нужно было обходить. Поэтому мы решили немного подробнее рассказать об этом инструменте и пригласить поучаствовать в его разработке тех хабраюзеров, которые интересуются темой WAF не только в рамках конкурсов.
Читать дальше →
Total votes 21: ↑16 and ↓5 +11
Views 15K
Comments 13

Исследование: Почти все популярные межсетевые экраны пропускают XSS-атаки

Positive Technologies corporate blog Information Security *


Исследователь безопасности Мазин Ахмед (Mazin Ahmed) опубликовал результаты анализа способов обхода XSS-защиты в популярных межсетевых экранах уровня приложения (Web application firewalls, WAF).

Ахмед использовал несколько виртуальных машин, на которых запускались популярные браузеры Google Chrome, Opera, Mozilla Firefox и Internet Explorer.

Исследователь изучал коммерческие и открытые продукты: F5 Big IP, Imperva Incapsula, AQTRONIX WebKnight, PHP-IDS, Mod-Security, Sucuri, QuickDefence, Barracuda WAF. Для каждого продукта был представлен хотя бы один XSS-вектор, позволявший осуществить обход защиты.
Читать дальше →
Total votes 14: ↑11 and ↓3 +8
Views 16K
Comments 1

Чем защищают сайты, или Зачем нужен WAF?

Positive Technologies corporate blog Information Security *


В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).

В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 85K
Comments 4

Конкурс WAF Bypass на Positive Hack Days VI

Positive Technologies corporate blog Information Security *
В рамках международного форума по практической безопасности Positive Hack Days в очередной раз состоялся конкурс WAF Bypass. Как и прежде, задачей участников было решение заданий путем обхода проверок PT Application Firewall, защищавшего уязвимые веб-приложения. Каждое из заданий подразумевало заложенные нами варианты обхода, которые были возможны из-за специально допущенных ошибок в конфигурации. Цель каждого задания — получить флаг, который мог храниться в базе данных, в файловой системе или в Cookie, выдаваемых специальному боту. Описание заданий и способы их решения под катом.

Читать дальше →
Total votes 19: ↑16 and ↓3 +13
Views 4.6K
Comments 0

Топ ключевых угроз, сильных трендов и многообещающих технологий. Прогнозы Gartner на ближайшие несколько лет

Ростелеком-Солар corporate blog Research and forecasts in IT *Studying in IT Reading room
Мы постоянно отслеживаем новые тенденции, мнения и публикации по информационной безопасности. Весь этот объем информации систематизируется и «раскладывается» по продуктовым нишам. В результате формируется единая картина того, как аналитики видят наше с вами будущее. Мы решили поделиться очередной сводкой по самым интересным и сильным трендам, о которых говорит в своих отчетах и презентациях Gartner. Кому-то эта информация пригодится для выступлений, кому-то – для обоснования бюджетов, а кому-то просто позволит «сверить часы» с индустрией и быть в курсе того, что сейчас считается самими «горячими» темами.

Итак, куда же, по мнению Gartner, движется отрасль?


Читать дальше →
Total votes 20: ↑20 and ↓0 +20
Views 11K
Comments 8

Как выбрать поставщика услуг информационной безопасности

Qrator Labs corporate blog High performance *Information Security *System Analysis and Design *IT Standards *


Что важно при выборе провайдера услуг по нейтрализации DDoS-атак и защиты сетевого периметра?

«Ширина канала к серверу» — скажете вы. Ну, и добавите: «Защита от разных векторов атак». Возможно в вашем списке ещё есть активный сканер уязвимостей. Что тут сложного?

Многим кажется, что DDoS-mitigation решения, это просто «быстрый и масштабный бан плохих IP», что недалеко от правды, но всё-таки не до конца верно. Учитывая, что только за прошедший год количество DDoS-атак увеличилось в полтора раза и вышло на передовицы СМИ из-за разрушительного эффекта, новостной волной хотят воспользоваться не только чистоплотные и высокопрофессиональные компании из области информационной безопасности.

Для того чтобы не гадать, а знать наверняка, на какие основные параметры обращать внимание при выборе такой важной вещи, как защита сетевой инфраструктуры от атак на отказ в обслуживании, мы в Qrator, совместно с Wallarm и CDN-провайдером NGENIX подготовили специальную страницу, где собраны наиболее важные критерии, на которые требуется обращать внимание в момент выбора конкретного решения, услуги, сервиса, продукта — неважно.
Читать дальше →
Total votes 26: ↑23 and ↓3 +20
Views 5.8K
Comments 2