Pull to refresh

Как начать заниматься багхантингом веб-приложений

Positive Technologies corporate blog Information Security *IT systems testing *Web services testing *Mobile applications testing *

Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест, и редтиминг, и bug bounty. Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей. В этой и следующих статьях мы подробно пройдемся по теме bug bounty и расскажем о том, как прокачаться в багхантинге веб- и мобильных приложений.

Первая статья будет особенно интересна самым маленьким начинающим багхантерам. Но и те, кто уже зарабатывал на этом, смогут найти для себя что-то новое.

Под кат
Total votes 3: ↑3 and ↓0 +3
Views 1K
Comments 0

13 дней до Positive Hack Days

Self Promo
image

Таймер, расположенный на сайте phdays.ru отсчитывает минуты приближения, пожалуй, одного из самых значимых для российской индустрии информационной безопасности событий в 2011 году. “Позитивные технологии” собирают вокруг себя элиту подземелий взлома информации и давно вышедших на свет гуру искусства ее защиты.
Читать дальше →
Total votes 9: ↑7 and ↓2 +5
Views 501
Comments 2

root через XSS на ZeroNights от позитива

Lumber room
25 ноября в Петербурге прошла конференция ZeroNights, посвящённая компьютерной безопаности. Один из докладов назывался "root через XSS". Автор Денис Баранов (ведущий эксперт компании Positive Technologies).
Если вкратце:
  1. используем XSS уязвимость в Denwer, чтоб вставить свой сценарий в браузер админа
  2. используем его браузер чтобы обратиться к phpMyAdmin (БД принимает подключения только локально)
  3. получив доступ, заливаем web-шелл, который выполнится с правами локального админа (Denwer с такими правами запускается)

Примечательно, что продемонстрированная XSS имеет очень много общего с обнаруженной мною в далёком 2006 году уязвимостью в Denwer. Но вот в чём фишка: в том 2006 году я писал об этом и на сайт СекЛаба (принадлежит Positive Technologies). Но там заметку об этом не опубликовали. Письма ответного уж не сохранилось, к сожалению. Но примерный текст был такой: «К Denwer по умолчанию запрещены коннекты извне, только локально. Не видим в этом особой опасности». О, времена, о, нравы! Либо действительно время поменяло представление людей на аналогичную ситуацию. Либо, я просто не сумел подать тогда эту новость в нужном соусе.
Total votes 49: ↑40 and ↓9 +31
Views 505
Comments 11

Взлом из «облака», Russian.Leaks, обход WAF, защита VOIP и многое другое!

Positive Technologies corporate blog
Опубликованы материалы вебинаров, проведенных Positive Technologies в рамках образовательной программы «Практическая безопасность».
Программа направлена на повышение осведомленности специалистов о существующих угрозах, методах и подходах к анализу защищенности, а также об управлении соответствием стандартам и контроле эффективности средств защиты. В качестве докладчиков выступают известные эксперты по информационной безопасности — представители компании Positive Technologies и исследовательского центра Positive Research.
За 2011 год было проведено более 10 вебинаров, собравших более 1500 слушателей из различных стран мира. Были представлены доклады по вопросам безопасности Web, облачных вычислений, сетевой инфраструктуры, VOIP-сетей, обзоры по тематике контроля соответствия стандартам, оценки эффективности средств защиты информации и практическому использованию системы контроля защищенности и соответствия стандартам MaxPatrol.

Архив записей выступлений и презентаций докладов доступны по следующему адресу:
http://www.ptsecurity.ru/webinars.asp?t=1

С удовольствием выслушаем пожелания хабролюдей по темам выступлений в 2012 году!
Total votes 5: ↑3 and ↓2 +1
Views 2.1K
Comments 0

Разбор полетов: хакспейс по итогам PHDays CTF Afterparty 2011

Positive Technologies corporate blog Information Security *CTF *
Желаете узнать, как взламывают и защищают информационные системы? Или вы опытный хакер, готовый продемонстрировать свой опыт и преподать урок новичкам? В последний день марта состоится workshop компании Positive Technologies, посвященный итогам PHDays CTF Afterparty 2011.

Формат
На площадке будет развернута виртуальная сеть, аналогичная той, что использовалась на отборочных соревнованиях CTF Afterparty 2011. Вы сможете не только выяснить секреты создания дьявольски сложных эксплойтов, но и порешать задания по ходу действия, поэтому не забудьте захватить ноутбук.

Что?
Эксперты Positive Technologies расскажут о заданиях на конкурсе по защите информации PHDays CTF Afterparty 2011, по косточкам разберут их и оценят полученные решения.

Информация о докладчиках и времени/месте проведения под катом.
Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 2.2K
Comments 0

«Большого грузинского брата» разберут по косточкам на PHDays

Positive Technologies corporate blog
Pierre-Marc BureauПару дней назад мир облетела новость — «грузинский» ботнет на базе Win32/Georbot похищает секретные документы, а также делает аудио- и видеозаписи с помощью web-камер. Если вы желаете узнать, как работает Win32/Georbot, хотите научиться им управлять или нейтрализовывать, добро пожаловать на PHDays 30 и 31 мая. Ведущий инженер вирусной лаборатории ESET, специалист по кибервойнам и кибершпионажу Пьер-Марк Бюро (Pierre-Marc Bureau) проведет первый в мире мастер-класс по «гирботу».

Как он делает скриншоты и пишет звук?
Пьер продемонстрирует аудитории многочисленные «таланты» Win32/Georbot. В реальном времени вы увидите, как управляемый канадским специалистом зловред исполнит следующие фокусы:

• совершит кражу документов,
• снимет скриншоты Web-камерой, установленной на компьютере «жертвы»,
• сделает аудио-запись на встроенный микрофон,
• просканирует сеть,
• вызовет отказ в обслуживании.
Читать дальше →
Total votes 13: ↑9 and ↓4 +5
Views 5.3K
Comments 5

Обзор уязвимостей в 2011 году: Opera на коне, Adobe в зоне риска

Positive Technologies corporate blog Information Security *
Где тонко, там и рвется. Исследовательский центр Positive Research совместно с порталом по информационной безопасности SecurityLab.ru проанализировал компьютерные уязвимости за 2011 г. Выяснилось, что серьезные проблемы с безопасностью наблюдались в SCADA-системах, CMS, программах компании Adobe и почти во всех браузерах. Традиционно «отличилось» дружное семейство операционных систем Windows, где одна из уязвимостей была использована легендарным вирусом Duqu.
Читать дальше →
Total votes 43: ↑33 and ↓10 +23
Views 17K
Comments 32

Модный тренд APT — беспечность и как с ней бороться

Positive Technologies corporate blog Information Security *
Компании делятся на две категории: те, которые знают, что они скомпрометированы, — и те, которые еще не в курсе.

Термин APT (advanced persistent threat) был введен Военно-воздушными силами США в 2006 году для описания нового вида атак. Тогда впервые была предпринята попытка проанализировать проведенную атаку, сделать выводы и попытаться противостоять новой угрозе. APT — это не какой-то навороченный эксплойт и не новомодный троян. APT — это парадигма атаки.

Общие принципы, на которых строится APT, давно известны. К примеру, применение социальной инженерии, чтобы спровоцировать пользователя открыть ссылку или прикрепленный файл. Или использование уязвимостей для получения доступа к атакуемой системе. Чем же так страшна APT? Попробуем разобраться.
Читать дальше →
Total votes 25: ↑20 and ↓5 +15
Views 23K
Comments 17

eBay. Что купил твой сосед?

Positive Technologies corporate blog Information Security *


Посещая eBay, я наткнулась на очевидное упущение идеологов. Там есть такая фишка (feedback), которая влияет на рейтинг покупателей и продавцов. После совершения покупки и получения товара вас настоятельно просят оценить продавца («оставить feedback»). Вы переходите на страницу, выставляете оценку по нескольким показателям — и вроде бы все. Но! Тем самым вы оставляете запись на странице продавца, в которой указаны ваше имя пользователя, стоимость оплаченного товара, его наименование, дата. Зайдя на страницу к любому продавцу, мы можем видеть — кто, когда, что и на какую сумму покупал у него.
Читать дальше →
Total votes 79: ↑59 and ↓20 +39
Views 29K
Comments 34

Если ты смелый, ловкий, умелый

Positive Technologies corporate blog
Сколько задач нужно решить, чтобы получить приглашение на форум, где со всего мира соберется элита информационной безопасности? Равняется ли число успешных атак на веб-приложения — количеству выпитых рюмок текилы? Как сразиться с хакерами по всей планете, не вставая с дивана?

Под катом рассказ о конкурсной программе форума по информационной безопасности Positive Hack Days 2012.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 7K
Comments 0

Контроль над облачной инфраструктурой на раз-два-три

Positive Technologies corporate blog Information Security *
Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.
Читать дальше →
Total votes 21: ↑17 and ↓4 +13
Views 4.5K
Comments 1

Дан старт CFP на Positive Hack Days III

Positive Technologies corporate blog Information Security *
Всем привет! Приглашаем вас выступить с докладами в программе международного форума по практической безопасности Positive Hack Days III, который состоится 22-23 мая 2013 года.

Прошедший в 2012 году форум собрал 1500 специалистов по ИБ со всего мира. Состоялось более 50 докладов, мастер-классов, семинаров и круглых столов. Среди выступавших были виднейшие представители отрасли, такие как Брюс Шнайер и председатель IMPACT Датук Мохд Нур Амин. Александр Гостев из «Лаборатории Касперского» впервые подробно рассказал о шпионской программе Flame, а Хейзем Эль Мир поведал о противостоянии Туниса и Anonymous. На PHDays 2012 успешно взламывали Apple iPhone, Windows XP и FreeBSD, моделировали ситуации похищения финансовых средств из банкоматов и систем ДБО и захват управления над промышленными объектами через АСУ ТП (SCADA).

Если вы хотите поделиться своим опытом, результатами исследований или продемонстрировать свои навыки, то в конце мая 2013 года мы ждем вас в Москве. Без вас это событие не состоится!
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 2.4K
Comments 0

Роутеры, векторы атак и другие приключения Шурика

Positive Technologies corporate blog Information Security *Development for IOT *

Не так давно всего за один месяц свет увидели около 10 уязвимостей, связанных с получением root shell или админских учетных записей на домашних сетевых устройствах. Wi-Fi и 3G-роутеры с админскими учетками вокруг нас. Заплатив 50 $ за платный аккаунт на shodan.io, любой желающий получает доступ к десяткам миллионов IoT-устройств. В их числе роутеры, веб-камеры и прочие гаджеты. С другой стороны, разработчики и поставщики сетевых устройств не придают значения таким понятиям, как «тестирование» и «безопасность». Многие серьезные уязвимости остаются без патчей, а если патчи все-таки выходят, то пользователи не торопятся их применять. Что в результате? Легионы устройств ждут своего часа, чтобы быть взломанными и стать ботами для DDOS-атак.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 16K
Comments 7

Max Patrol 8. Обзор инструмента для управления уязвимостями

TS Solution corporate blog Information Security *IT systems testing *System administration *IT Infrastructure *


Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, какие уязвимости появляются в публичном доступе, очень трудозатратная операция. Помимо этого, после обнаружения уязвимости, нужно её каким-то образом устранить. В итоге весь этот процесс выливается в большое количество человеко-часов, и у любого IT-специалиста сразу закономерно появляется еще один вопрос: «А можно ли автоматизировать процесс управления уязвимостями?»
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 29K
Comments 6

Большая ретроспектива участия RBK.money в The Standoff 2020

Osnova corporate blog Positive Technologies corporate blog Information Security *Open source *Payment systems *
…или как хакеры ломали наш опенсорс платежный процессинг в кибергороде.

Привет! Мы тут недавно с процессингом RBK.money приняли активное участие в киберполигоне The Standoff — это когда делают виртуальную модель целого мегаполиса со всей его инфраструктурой, энергостанциями, магазинами и прочими важными элементами. А потом пускают в этот цифровой двойник города команды blue team (6 команд в этом году) и red team (29 команд в этом году соответственно), первая защищает всю эту инфраструктуру, вторая же активно пытается что-то сломать.


из к/ф “Бегущий по лезвию 2049”

Конечно, мы принесли на мероприятие наш процессинг, о котором вы можете почитать в предыдущих постах нашего блога. Процессинг был частью банка и предоставлял финансовые и платежные сервисы для жителей кибергорода, обслуживал эмиссию платежных карт, давал возможность продавать товары и услуги.

В этом посте я хочу рассказать, как нас ломали хакеры (спойлер: и не сломали), а также как мы сами пару раз стрельнули себе в ногу в процессе подготовки и разворачивания своего решения. И да, главное — для нас это изначально была ситуация win-win: не сломают нас, значит, не зря мы настолько уверены в своем процессинге, что выложили его в опенсорс и теперь отдаем хакерам. Сломают — вообще отлично, увидим, где были слабые места, и станем ещё более защищенными с точки зрения безопасности для наших клиентов.

Внедрялись в кибергород мы в ощутимой спешке: это один из первых наших деплойментов в Kubernetes (до этого мы все разворачивали Salt-стейтами), и нам пришлось использовать новые подходы по инсталляции. И последствия от этой спешки не заставили себя долго ждать.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 1.6K
Comments 0

Как мы мониторили киберполигон Positive Technologies Standoff

Cisco corporate blog Information Security *
“Каждый год мы с друзьями ходим в баню…». Каждый год, когда наши большие друзья, компания Positive Technologies проводит свое глобальное мероприятие для настоявших экспертов в области информационной безопасности – PHDays. И каждый год мой друг и коллега Алексей Лукацкий говорит мне – «Миша, давай что-нибудь технологическое сделаем!». А потом выясняется, что заваленный рутиной, я опять все пропустил. Но этот год, как мы все уже заметили, глубоко особенный. И вместо PHDays было проведено очень эффективное и масштабное мероприятие под названием Standoff. В этот раз я решил послушать Алексея Викторовича и успеть что-то сделать! Тем более, что мероприятие существенно превосходило все, что когда-либо делалось ранее. Посмотреть детали этого впечатляющего киберполигона можно вот тут.

Вкратце скажу, что он эмулировал собой полноценный, и весьма немаленький город, в котором было практически все – начиная от аэропорта, и заканчивая финансовыми организациями и парком аттракционов! Это давало злоумышленникам возможность проявить свои навыки взлома, а защитникам – свои навыки обнаружения и отражения угроз.

Итак, возник вопрос, как же нам «понаблюдать» за этой битвой, с точки зрения информационной безопасности? Собственно, эта статья именно о подробностях построении такого процесса наблюдения и полученных нами результатах.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 1.9K
Comments 4

Официальное заявление Positive Technologies по санкциям США

Positive Technologies corporate blog

Мы, как компания, отвергаем безосновательные обвинения, выдвинутые в наш адрес министерством финансов США: за почти двадцатилетнюю историю нашей работы нет ни одного факта использования результатов исследовательской деятельности Positive Technologies вне традиций этичного обмена информацией с профессиональным ИБ-сообществом и прозрачного ведения бизнеса.

Читать далее
Total votes 76: ↑66 and ↓10 +56
Views 17K
Comments 78

Открытое письмо исследовательскому сообществу

Positive Technologies corporate blog

Всем привет!

Произошедшие события обернулись для нас в первую очередь огромным количеством слов поддержки. Мы видим поддержку в комментариях к сообщениям в соцсетях, в личных сообщениях, звонках. Вы не представляете, насколько мы вам за это благодарны.

За годы работы мы обнаружили и помогли исправить огромное количество уязвимостей в приложениях и аппаратных системах, разработанных практически всеми известными вендорами, включая Cisco, Citrix, Intel, Microsoft, Siemens, VMware.

Мы бы не смогли этого сделать без привлечения лучших исследователей в области информационной безопасности, а также без активной позиции вендоров и готовности работать с исследовательскими центрами наподобие нашего для исправления всех этих уязвимостей. Нам в этом очень помогало разделение принципов ответственного разглашения (responsible disclosure), согласно которым все данные об обнаруженных уязвимостях уходят во внешний мир только по согласованию с вендором и после того, как вендор эту уязвимость исправит и доставит исправления своим клиентам.

В результате наших с вами действий мир становится чуточку лучше и безопаснее.

Для того чтобы сплотить наше с вами комьюнити, мы организовали крупнейший в России международный форум по информационной безопасности — Positive Hack Days, и смогли привлечь к диалогу на этой площадке как специалистов по ИБ из разных компаний и руководителей бизнеса, небезразличных к кибербезу, так и «парней в футболках» — белых (white hat) хакеров и исследователей, реально понимающих, как тестировать системы на проникновение, и готовых делиться своим опытом.

Читать далее
Total votes 30: ↑23 and ↓7 +16
Views 4.4K
Comments 2

Компания «Positive Technologies» подвела итоги прошлого года по кибербезопасности и дала свои прогнозы на 2022 год

Information Security *Research and forecasts in IT *IT-companies

Эксперты «Positive Technologies» рассказали об угрозах и атаках в различных областях в 2021 году, а также поделились своими прогнозами в плане новых угроз, противодействия им и в целом развития кибербезопасности в 2022 году.

Читать далее
Total votes 15: ↑15 and ↓0 +15
Views 3.5K
Comments 0

Переход к безопасной разработке. Зачем это нужно? Какие преимущества даст DevSecOps?

Information Security *Agile *DevOps *

Сегодня организации сталкиваются с угрозами кибербезопасности, которые становятся все более разнообразными, сложными и изощренными. В тоже время, не каждая компания обладает отделом специалистов по кибербезопасности. Но любая современная IT-компания должна задумываться над безопасностью своих продуктов. Решением могут стать инструменты для автоматизации процессов обеспечения безопасности, чтобы развертывать решения безопасности быстрее и не держать большой отдел по кибербезопасности.

На практике основными причинами появления нарушений безопасности являются недостатки реализации механизмов защиты, уязвимости в коде приложения, недостатки конфигурации. Очень часто контроль со стороны службы информационной безопасности проводится на последних этапах жизненного цикла приложения. Такой сценарий несовместим с современными методиками DevOps и Agile, которые сокращают сроки циклов поставки ПО до нескольких недель.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Views 3K
Comments 1