Pull to refresh
  • by relevance
  • by date
  • by rating

Защита сайта и API от хакерских атак с Nemesida WAF Free

Pentestit corporate blog Information Security *


Тем, кто разрабатывает или поддерживает работу веб-сайтов и API, кто еще не использует WAF или использует, но устал от ложных срабатываний и сложных настроек, а также хочет красивые графики и все бесплатно, посвящается.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 3.6K
Comments 9

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

DataLine corporate blog Information Security *Website development *Cloud services


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 699
Comments 0

Web Application Firewall — защита сайта от хакерских атак

Information Security *


Web Application Firewall— защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня:

  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.

Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей.
Читать дальше →
Rating 0
Views 19K
Comments 1

Краш-тест для CMS

CMS *Website development *
Идея создания модуля Проактивной защиты (Web Application Firewall) пришла в голову очень давно. Но реализовать его удалось только в версии 8.0 этой весной. И сразу возникли идеи, а не проверить ли систему защиты и не устроить ли открытый конкурс.

Меня многие спрашивали — зачем нам это нужно? На что я могу только ответить, что цель всей системы защиты и всего конкурса — сделать наш продукт лучше, дать больше уверенности клиентам и разработчикам. А сделать это можно только на практике.

Почему-то на ум приходит аналогия с автомобилями. В первых автомобилях вообще не думали о безопасности водителя и пассажиров. Потом появились пассивные системы безопасности, т.е. которые защищали людей уже в момент аварии. Это например подушки безопасности в машине. И уже как следующий шаг — появились системы активной защиты — ABS, системы курсовой устойчивости ESP, EBD и т.п. Эти системы уже помогают водителю избежать аварии, подруливают за него, выводят из заноса, спасают жизнь…
Читать дальше →
Total votes 22: ↑13 and ↓9 +4
Views 354
Comments 16

Как работает WebsiteDefender

Information Security *
Несколько недель назад заметил в плагине для Wordpress wp security scan рекламу другого сервиса websitedefender для защиты сайтов. На сайте кроме стандартной маркетинговой шелухи толком ничего полезного не нашел, но несколько заинтриговали слова о революционно ином способе работы этого сервиса, отличающемся от уже существующих. Гугл ничего полезного не выдал о том, как же все-таки работает этот сервис.

Исторически так сложилось, что большинство считает достаточным защиту только от атак извне — SQL, XSS-инъекций, LFI\RFI, CSRF и т.п, забывая про атаки на файлы веб-приложений. Те же WAF, такие как mod_security, phpids — яркий тому пример.

Мне это кажется не очень справледливым, поэтому я захотел рассмотреть возможности сервиса WebsiteDefender, который по описанию должен уметь защищать файлы веб-приложений от модификаций.

Предлагается скачать некий агент – php-file, в котором целый набор функций для шифрования и… конструкция
$success = @eval('?>'.$request->params);

Вопрос, что же делает этот php код, возник еще до его скачивания, а после беглого просмотра и нахождения такого интересного арсенала появляется еще больше вопросов. Хотя компания вроде бы довольно известная — Acunetix, ставить кота в мешке себе на сайт вряд ли кому захочется.

Ответ поддержки на запрос предоставить информацию, что делает их код, и результаты своего исследования работы сервиса под катом.
Читать дальше →
Total votes 54: ↑54 and ↓0 +54
Views 1.8K
Comments 24

Чем защищают сайты, или Зачем нужен WAF?

Positive Technologies corporate blog Information Security *


В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).

В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 74K
Comments 1

Защита сайта от хакерских атак

Information Security *
Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им.
Читать дальше →
Total votes 37: ↑27 and ↓10 +17
Views 32K
Comments 19

Защита веб-приложения: практические кейсы

Information Security *
image


Безопасность веб-приложений находится в первой десятке трендов и угроз информационной безопасности уже свыше 10 лет. Действительно, современные бизнес-процессы и повседневная жизнь — все больше и больше зависит от использования веб-приложений, в разнообразнейших аспектах: от сложных инфраструктурных систем до IoT устройств. Тем не менее специализированных средств защиты веб-приложений довольно мало, по большей части эту задачу возлагают (или надеются что она будет решена) на разработчиков. Это и использование различных фреймворков, средств санации, очистки данных, нормализации и многого другого. Тем не менее, даже с использованием этих средств безопаснее веб не стал, более того, в все уязвимости "классического веба" практически в неизменном виде мигрировали в мобильную разработку. В этой статье будет рассказано не как не допустить уязвимость, а как защитить веб-приложение от ее эксплуатации с использованием Web Application Firewall.

Читать дальше →
Total votes 33: ↑26 and ↓7 +19
Views 24K
Comments 15

Защита сайта от атак с использованием Nemesida WAF: от сигнатур до искусственного интеллекта

Pentestit corporate blog Information Security *


В статье будет рассмотрены практики защиты уязвимого веб-приложения — от сигнатурного метода до искусственного интеллекта с использованием Web Application Firewall (коммерческая и Opensource версии). В качестве коммерческого решения мы будем использовать Nemesida WAF, в качестве некоммерческого — NAXSI. Статья содержит общую и техническую информацию по работе WAF, а также сравнение методов обнаружения атак, разбор их особенностей и недостатков.

Детектирование атак


Первая и основная задача любого WAF — максимально точно определить атаку с минимальным количеством ложных срабатываний (false positive). В NAXSI заложен только сигнатурный механизм определения атак (поведенческий анализ находится в начальном состоянии, поэтому мы его считать не будем), в Nemesida WAF — три: сигнатурный, качественный поведенческий анализ и машинное обучение. Говоря о комплексном методе определения атак мы подразумеваем симбиоз этих трех методов. Почему три? Давайте разберемся.

Сигнатурный метод определения атак


Несмотря на стремительное развитие технологий, большая часть атак выявляется сигнатурным методом, и от того, насколько качественно пишутся сигнатуры, зависит точность работы всех методов, построенных на базе сигнатурного анализа (в том числе машинное обучение). Рассмотрим пример определения атаки на веб-приложение сигнатурным методом:

index.php?id=-1'+union+select+1,2,3,4,5+--+1

В данном случае сигнатурой атаки будет вхождение цепочки «union+select».

Пример атаки, которую пропустит NAXSI:

index.php?id=-1'+Union+Select+1,2,3,4,5+--+1
Total votes 33: ↑31 and ↓2 +29
Views 8.2K
Comments 6

Улучшаем работу искусственного интеллекта в Nemesida WAF

Pentestit corporate blog Information Security *


В предыдущей статье мы рассказали, как искусственный интеллект Nemesida WAF помогает с абсолютной точностью выявлять атаки на веб-приложения при минимальном количестве ложных срабатываний. В этой статье будет рассмотрен новый механизм работы Nemesida AI, позволяющий увеличить точность выявления атак в 2 раза по сравнению с сигнатурным методом, а также снизить количество ложных срабатываний до 0.01%.
Читать дальше →
Total votes 26: ↑26 and ↓0 +26
Views 3.7K
Comments 1

Nemesida WAF Free — бесплатная версия, обеспечивающая базовую защиту веб-приложения от атак

Pentestit corporate blog Information Security *


В прошлом году мы выпустили первый релиз Nemesida WAF, построенного на базе машинного обучения. Мы перепробовали несколько вариантов и остановились на алгоритме обучения «Случайный лес». Основными преимуществами машинного обучения по сравнению с сигнатурным анализом являются повышенная точность определения атак, а также снижение количества ложных срабатываний. С другой стороны, использование модуля машинного обучения требует дополнительных аппаратных ресурсов. Для обеспечения базовой защиты веб-приложения при минимальных аппаратных ресурсах мы выпустили Nemesida WAF Free — бесплатную версию Nemesida WAF, выявляющую атаки на основе их сигнатур.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 5K
Comments 2

NGINX инструкция по установке ModSecurity

Information Security *Nginx *Server Administration *
Sandbox
Tutorial


В этой статье представлена инструкция по установке динамического модуля ModSecurity на веб-сервер NGINX в качестве межсетевого экрана веб-приложения (WAF). NGINX работает в режиме обратного прокси-сервера. Работу выполнено на дистрибутиве Linux – CentOS 7. Модуль установлено в качестве «динамического», что бы сервис оставался гибким в настройке. Использовано официальное руководство NGINX по установке.

Читать дальше →
Total votes 18: ↑13 and ↓5 +8
Views 15K
Comments 16

Web application firewalls

Information Security *Website development *Amazon Web Services *Cyberpunk
Sandbox

Web application firewall


Web application firewalls (WAFs) are a type of intrusion detection and prevention system and might be either a hardware or software solution. It is specifically designed to inspect HTTP(s) and analyse the GET and POST requests using the appalling detection logic explained below. Web application firewall software is generally available as a web server plugin.

WAF has become extremely popular and various companies offer a variety of solutions in different price categories, from small businesses to large corporations. Modern WAF is popular because it has a wide range of covered tasks, so web application developers can rely on it for various security issues, but with the assumption that this solution cannot guarantee absolute protection. A basic WAF workflow is shown below.



Its main function is the detection and blocking of queries in which, according to WAF analysis, there are some anomalies, or an attacking vector is traced. Such an analysis should not make it difficult for legitimate users to interact with a web application, but, at the same time, it must accurately and timely detect any attempted attack. In order to implement this functionality, WAF developers usually use regular expressions, tokens, behavioural analysis, reputation analysis and machine learning, and, often, all these technologies are used together.



In addition, WAF can also provide other functionality: protection from DDoS, blocking of IP-addresses of attackers, tracking of suspicious IP-addresses, adding an HTTP-only flag to the cookie, or adding the functionality of CSRF-tokens. Each WAF is individual and has a unique internal arrangement, but there are some typical methods used for analysis.
Read more →
Total votes 15: ↑13 and ↓2 +11
Views 2.8K
Comments 0

WAF through the eyes of hackers

Digital Security corporate blog Information Security *
Today we’re going to talk about one of the modern security mechanism for web applications, namely Web Application Firewall (WAF). We’ll discuss modern WAFs and what they are based on, as well as bypass techniques, how to use them, and why you should never entirely rely on WAF. We’re speaking from the pentesters’ perspective; we’ve never developed WAFs and only collected data from open sources. Thus, we can only refer to our own experience and may be unaware of some peculiarities of WAFs.
Read more →
Total votes 13: ↑9 and ↓4 +5
Views 25K
Comments 0

Новый билд Nemesida WAF Free для NGINX

Pentestit corporate blog Information Security *Nginx **nix *Web services testing *

В прошлом году мы выпустили Nemesida WAF Free — динамический модуль для NGINX, блокирующий атаки на веб-приложения. В отличие от коммерческой версии, основанной на работе машинного обучения, бесплатная версия анализирует запросы только сигнатурным методом.

Особенности релиза Nemesida WAF 4.0.129


До текущего релиза динамический модуль Nemesida WAF поддерживал только Nginx Stable 1.12, 1.14 и 1.16. В новом релизе добавлена поддержка Nginx Mainline, начиная с 1.17, и Nginx Plus, начиная с 1.15.10 (R18).

Зачем делать еще один WAF?

Читать дальше →
Total votes 27: ↑19 and ↓8 +11
Views 4.1K
Comments 2

Как жить с WAF, чтобы не было мучительно больно

Ростелеком-Солар corporate blog Information Security *Network technologies *

Здесь не будет очередной статьи, описывающей возможности межсетевого экрана уровня приложений. Таких уже полно. Сегодня мы будем объяснять подводные камни при работе с этим решением, чтобы вы знали о них еще до старта проекта и правильно прокладывали курс.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 6K
Comments 5

И целого WAF’а мало: как мы проапгрейдили сервис защиты веб-сайтов 

DataLine corporate blog Information Security *Website development *Cloud services
Привет! Меня зовут Кирилл, и в центре киберзащиты DataLine я развиваю сервис защиты веб-приложений (WAF): общаюсь со специалистами по ИБ и ИТ от клиента, выясняю их задачи, отвечаю за корректную работу сервиса. За неполный год настройки WAF я убедился: если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете.

Мы несколько раз дорабатывали решение: лучше изучали векторы атак и поведение атакующих, добавляли и настраивали новые средства защиты, улучшали регламенты взаимодействия с клиентом. Расскажу, как развивался наш сервис на базе FortiWeb и о чем нужно позаботиться, чтобы защитить свое веб-приложение.    


Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 2.2K
Comments 2

Web Application Firewall: работа на опережение

Билайн Бизнес corporate blog Information Security *Network technologies *
В одном из предыдущих постов мы рассказывали об отражении DDoS-атак при помощи анализа трафика по протоколу Netflow. Само собой, DDoS — далеко не единственная проблема, с которой может столкнуться ресурс. Воображение злоумышленников весьма и весьма велико, да и технических средств у них хватает. Плюс не стоит забывать о том, что какой-то из ваших ресурсов вполне может работать на ПО с zero-day-уязвимостями.

Вот и получается, что веб-приложение может подвергнуться атаке сразу с нескольких фронтов — тут вам и межсайтовый скриптинг, и SQL-инъекции, и обход авторизации, и удаленное выполнение кода, в общем, вы знаете. В извечной борьбе щита и меча против подобного и был придуман защитный экран для веб-приложений, отлавливающий подобные активности и блокирующий их ещё до выполнения на вашем сайте.

В этом посте мы расскажем, как работает WAF от Билайн Бизнес, какие у него есть преимущества и как его оперативно подключить для своей компании.

Зачем вообще нужен WAF

Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 3.2K
Comments 6

Что нам стоит WAF настроить

Pentestit corporate blog Information Security *


Занимаясь разработкой или обслуживанием веб-приложений, в какой-то момент времени приходится сталкиваться с необходимостью использовать WAF (Web Application Firewall). Если опыта работы с такого класса решением у вас нет или устали от постоянных ложных срабатываний, я расскажу, как упростить задачу, а также поделюсь советами и фишками. В качестве инструмента будем использовать Nemesida WAF Free — бесплатную версию Nemesida WAF.
Total votes 7: ↑7 and ↓0 +7
Views 3.3K
Comments 6

Nemesida WAF 2021: защита сайтов и API от хакерских атак

Pentestit corporate blog Information Security *

Активное применение WAF началось более 10 лет назад. Пытаясь решить проблему защищенности веб-приложений, администраторы WAF сталкивались с побочными последствиями - большим количеством ложных срабатываний, сложностью настроек и пропусками (хотя о последнем чаще можно было узнать после успешной атаки). Время шло, в арсенале разработчиков появлялись новые инструменты (например, возможность применения машинного обучения), недостатки устранялись, повышалось удобство пользования. Все равно многие не торопятся использовать WAF или же отказываются от его использования после долгих настроек.

Я расскажу, какие проблемы испытывают администраторы при использовании WAF, как мы их решили и поделюсь нашими достижениями.

Читать далее
Total votes 8: ↑5 and ↓3 +2
Views 1.2K
Comments 0