Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность. При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider, проверяем работу токенов — и готово. Но дьявол, как всегда, кроется в деталях. Зачастую приходится решать нестандартные задачи. Например, как быть, если у вас две равноправных организации-партнера со своими требованиями к безопасности, и каждый хочет контролировать аутентификацию пользователей, но при этом пользователи одного партнера должны ходить в систему другого?

В этой статье я расскажу, как мы с Даниилом Золотаревым, инженером нашей практики защиты приложений, проводили разработку кастомного аутентификатора для Keycloak, который позволил элегантно решить техническую задачу, стоявшую перед головной и дочерней организациями. Покажу, как мы обошли ограничения штатной функциональности, не нарушая требований безопасности обеих сторон. В процессе вы увидите технические детали реализации, примеры кода и практические советы по созданию собственных аутентификаторов.

Думаю, статья будет полезна архитекторам, разработчикам и всем, кто интересуется тонкостями реализации сценариев SSO на базе Keycloak.

Сегодня расскажем вам о нестандартном подходе к защите веб-приложений
с помощью PTAF PRO. Мы с коллегами столкнулись с интересной задачей:
как защитить уязвимое приложение от вредоносных JSON-запросов, если WAF официально не поддерживает их обработку в пользовательских правилах?

В этой статье пройдем путь от постановки проблемы до ее решения, используя регулярные выражения и нестандартные настройки PTAF PRO. Руслан Ануфренка, инженер в группе технической поддержки информационной безопасности
в К2 Кибербезопасность расскажет, как:

1. Настроить систему для работы с внешним агентом PT AF PRO;
2. Закрыть уязвимость Zero Stars в Juice Shop;
3. Создать и применить пользовательское правило с помощью регулярных выражений;
4. Оценить эффективность и ограничения такого решения.

Статья будет полезна специалистам по информационной безопасности, разработчикам и всем, кто интересуется тонкостями настройки WAF и защиты веб-приложений.

Облачный WAF (web application firewall) — быстрый и эффективный способ защиты веб-приложений от кибератак. Доказано на практике: за два дня можно надежно прикрыть уязвимости простого сервиса. Для более сложных приложений за это время реально настроить WAF, запустить базовую фильтрацию и начать разработку кастомных политик фильтрации запросов.

Недавно к нам в «К2 Кибербезопасность» обратился клиент, которому нужно было быстро защитить достаточно простое веб-приложение, и мы с инженером практики защиты приложений Даниилом Золотаревым осуществили экспресс-развертывание PT Cloud Application Firewall. На примере этого проекта разберем варианты реализации, возможные ограничения, важные условия и полезные рекомендации по внедрению WAF.

Всем привет. Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений. Уже больше 15 лет занимаюсь ИБ и три из них – защитой веб-приложений. За это время я часто сталкивался с неоднозначным отношением коллег к Web Application Firewall. В ИБ-сообществе мнения относительно защиты веб-приложений с помощью наложенных средств варьируются в диапазоне от «‎просто необходимы» до «нецелесообразная трата ресурсов, вполне можно обойтись встроенными средствами приложения».

Кто же прав? Чем полезен WAF, и какие у него недостатки? Давайте разберемся. Предупреждаю: тема непростая, но felix, qui potuti rerum cogoscere causas.

Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную уязвимость, проэксплуатировать ее, посмотреть что видно на WAF в режиме мониторинга, а затем настроить WAF, чтобы он начал обнаруживать и блокировать данную уязвимость. Конечно, уязвимости при этом выбираются не такие, чтобы сразу по сигнатуре можно было бы ее обнаружить.

В этой статье младший системный инженер “К2 Кибербезопасность” Даниил Золотарев поделится задачей, которая выпала ему.

В ходе работы Даниилу пришлось защищать Juice Shop средствами платформы «Вебмониторэкс» и столкнуться с  некоторыми аспектами негативной и позитивной моделей данного WAF. Далее мы рассмотрим примеры создания пользовательских правил, для блокировки атак Improper Input Validation (Неправильная проверка ввода). Таким образом наглядно продемонстрируем одну из ключевых возможностей WAF – закрытие дыр приложения в проде до фикса.

Всем привет.

Сегодня мы покажем вам простой пример, как в Keycloak можно добавить кастомный аутентификатор.

Как вы все знаете, Keycloak – это система адаптивной аутентификации, позволяющая реализовать фактические любой процесс аутентификации (ограниченный только навыками разработки на Java) и выступать в качестве Identity Provider для клиентов по протоколам OIDC и SAML.

В стандартном наборе представлено много типовых аутентификаторов. Но что делать, когда стандартных аутентификаторов недостаточно и необходимо реализовать свою логику? Официальная документация дает ответ: разработать аутентификатор самому.

Что мы вместе с нашим системным инженером направления кибербезопасности К2Тех Егором Туркиным в итоге и сделали.

Когда мы развернули SolidWall для наших клиентов, у нас появилась мысль посмотреть, как будут обнаруживаться и блокироваться атаки на тестовый сервис, например на Juice Shop.

Мы хотели сделать разбор всех простых загадок Juice Shop с одной звездой, но с учетом скриншотов в формат статьи влезла только одна: «Zero Stars Give a devastating zero-star feedback to the store. Improper Input Validation». Она интересна тем, что от нее сложно защититься негативной моделью (сигнатурами), но легко - позитивной моделью, хорошо развитой у SolidWall.