Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких «бриллиантов короны» — основа эффективной стратегии защиты от киберугроз. Цифровая бизнес-модель, по сути, полностью зависит от доверия. Если взаимодействия с клиентами защищены слабо, то риск может стать существенным.
Web Application and API Protection (WAAP): эволюция WAF (Web Application Firewall)
![](https://habrastorage.org/r/w1560/getpro/habr/upload_files/dfa/927/9d2/dfa9279d255b64288a4ccce5ab7c8627.png)
WAAP (Web Application and API Protection) является брандмауэром веб-приложений следующего поколения WAF (Web Application Firewall). Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся web-сервисов. Так как в мире CI/CD, динамики и API first компаний, функций традиционного WAF (Web Application Firewall) уже недостаточно.
WAAP - это совокупность методов и технологий, которые используются для защиты веб-приложений и сервисов от атак и уязвимостей. WAAP включает в себя технологии, такие как WAF-NG, сканер уязвимостей, автоматическое обнаружение и блокирование атак 0-дня (в том числе с помощью виртуального патчинга), выявление аномалий с помощью технологий Machine Learning и смарт-капчи.
Bug Bounty vs Penetration testing
![](https://habrastorage.org/r/w1560/getpro/habr/upload_files/811/b03/b29/811b03b29dd7fe50db624dda51df030c.png)
Информационная безопасность сейчас одна из наиболее горячих тем для обсуждения, которая вышла далеко за пределы ИБ-сообщества. Количество инцидентов и утечек возросло многократно, что стало дополнительным стимулом усиливать безопасность инфраструктуры и приложений, а уход иностранных вендоров только усугубил этот процесс. Одним из новых трендов стало проведение багбаунти программ. В этой статье я раскрою основные плюсы и минусы таких подходов как Bug Bounty и penetration testing.
OWASP Web Security Testing Guide: как улучшить защищённость web-приложений
![](https://habrastorage.org/r/w1560/getpro/habr/upload_files/83f/68b/9cd/83f68b9cd524e903e587d30cb891793f.png)
Open Web Application Security Project (OWASP) — одна из самых известных организаций, целью которой является улучшение защищённости приложений. Большинство специалистов в области информационной безопасности знакомы с OWASP Top Ten. У OWASP есть множество других проектов для различных этапов жизненного цикла разработки программного обеспечения (SDLC).
В предыдущей статье на Хабр я рассказывал о стандарте OWASP ASVS, в котором перечислены требования к безопасности web-приложений. А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос даёт Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности web-приложений, перевод которого я хотел бы представить вашему вниманию.
Перевод стандарта OWASP ASVS 4.0. Часть 2
![](https://habrastorage.org/r/w1560/getpro/habr/upload_files/c10/a79/09b/c10a7909b1ff866c4c653044f4fd29d5.png)
Говорят, обещанного три года ждут, но не прошло и двух, с появления первой части перевода, как я решил не ждать продолжения и перевести OWASP Application Security Verification Standard самостоятельно. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем, кто его читал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, — возможно, вы откроете для себя что-то новое. Всем остальным предлагаю несколько слайдов в качестве быстрого погружения.
Перевод OWASP API Security Top 10
![](https://habrastorage.org/r/w1560/getpro/habr/upload_files/5ef/787/9fb/5ef7879fb889bd14d32156be84e565bf.png)
Эта статья - перевод OWASP API Security Top 10, опубликованного в 2019 году. Проект состоит из десяти наиболее актуальных рисков безопасности API. Полная версия документа на русском языке опубликована здесь.
Шпаргалки по безопасности: сброс пароля
Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru.
Перевод стандарта ASVS 4.0. Часть 1
![](https://habrastorage.org/r/w1560/getpro/habr/upload_files/d22/bca/9bb/d22bca9bbc51d2c792c56c097965b6fa.png)
Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для основных функций ПО, таких как, аутентификация, управления сеансами, контроль доступа и др. Последующие группы расширяют список требований для каждой из функций.
В статье описывается концепция стандарта ASVS, способы его применения, также переведена первая группа требований к архитектуре и моделированию угроз.
Консорциум OWASP обновил Web Security Testing Guide
![](https://habrastorage.org/webt/dv/ks/qi/dvksqiidkrekftgx_6zrdqudbno.png)
Проект «Руководство по тестированию веб-безопасности» (Web Security Testing Guide — WSTG) является основной методологией тестирования безопасности для разработчиков веб-приложений и специалистов по информационной безопасности и разрабатывается международным консорциумом OWASP.
OWASP Moscow 2020/1 записи докладов
![](https://habrastorage.org/webt/pz/4s/k7/pz4sk72l3lof-dw0nrmyk0ogdm8.jpeg)
5 марта 2020 года в московском офисе компании OZON прошла очередная встреча Московского отделения сообщества OWASP. В этой статье будут представлены материалы с прошедшей встречи.
OWASP Moscow 2020/1
![image](https://habrastorage.org/webt/uv/6k/y-/uv6ky-u6mohyswltiuoaloriwo4.png)
5 марта 2020 года в московском офисе компании OZON пройдёт очередная встреча Московского отделения сообщества OWASP, на которой соберутся специалисты по информационной безопасности.
OWASP Moscow Meetup #9: записи выступлений
![image](https://habrastorage.org/getpro/habr/post_images/4f7/6d5/091/4f76d5091dc09ce1f2185d9b3d7ed74e.png)
6 декабря 2019 года в московском офисе BI.ZONE прошел очередной OWASP Meetup — встреча Московского отделения сообщества. В под катом представлены выступления и презентации докладчиков.
OWASP Moscow Meetup #9
![image](https://habrastorage.org/getpro/habr/post_images/4f7/6d5/091/4f76d5091dc09ce1f2185d9b3d7ed74e.png)
6 декабря 2019 года в московском офисе BI.ZONE пройдёт очередной OWASP Meetup — встреча Московского отделения сообщества, на которой соберутся специалисты по информационной безопасности.
OWASP Moscow (Russia) meetup 12/19 CFP
![image](https://habrastorage.org/webt/uv/6k/y-/uv6ky-u6mohyswltiuoaloriwo4.png)
Последняя в этом году встреча российского отделения OWASP пройдет 6 декабря 2019 года в московском офисе компании BI.ZONE.
Вас ждут интересные доклады и обсуждения, программа и планы сообщества на 2020 год, участие в активностях сообщества и реорганизация локальных OWASP chapters.
OWASP API Security Top 10 RC
![image](https://habrastorage.org/getpro/habr/post_images/ba2/c47/d6f/ba2c47d6f8234091b3eb90f6d0ed4cf2.png)
Этот проект предназначен для постоянно растущего числа организаций, которые внедряют потенциально чувствительные API в рамках своих программных решений. API используются для внутренних задач и для взаимодействия со сторонними сервисами. К сожалению, многие API не проходят тщательного тестирования безопасности, которое сделало бы их защищенными от атак, увеличивая ландшафт угроз для веб-приложения.
Проект безопасности OWASP API Security Top 10 предназначен подчеркнуть потенциальные риски в небезопасных API и предложить меры снижения таких рисков.
Массовый взлом ВКонтакте [XSS-червь]
![](https://habrastorage.org/webt/1o/pi/mt/1opimto0gflwzrrgtnc7un6ap8u.png)
В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя.
В данный момент уязвимость устранена.
Полезные нагрузки для тестирования веб-приложений
![image](https://habrastorage.org/getpro/habr/post_images/677/213/7e1/6772137e12233946c69ccf0f5661e923.jpg)
Использование полезных нагрузок (пейлоадов) позволяет проводить фаззинг веб-приложения, для выявления аномалий/признаков уязвимостей. В этой статье я рассмотрю несколько вариантов пейлоадов для тестирования веб-приложений.
ZalgoFuzzing: использование нестандартных методов размытия пейлоадов
![](https://habrastorage.org/webt/dr/oa/mk/droamkrokttgofy59zw91mpgpeq.png)
Использование нестандартных техник обфускации пейлоада (полезной нагрузки) при проведении тестирования на проникновение веб-приложений может позволить обходить фильтрацию защитных средств и способствовать реализации вектора атаки. В этой статье я расскажу про т.н. Z̴a҉̠͚l͍̠̫͕̮̟͕g͚o̯̬̣̻F̮̫̣̩͓͟ͅu̯z̡͉͍z̪͈̞̯̳̠ͅi̴̜̹̠̲͇n̰g̱͕̫̹͉͓ как метод обфускации (размытия) пейлоадов.
Обход авторизации SAML
![image](https://habrastorage.org/getpro/habr/post_images/8f1/67f/129/8f167f1292f00bd9a6fd10405a8edbd1.png)
Обнаружена критичная уязвимость в SAML (Security Assertion Markup Language), с помощью которой
можно осуществить обход авторизации. Уязвимости подвержены решения различных SSO-провайдеров и несколько библиотек, использующих SAML SSO (Single Sign-On).
OWASP Automated Threat: автоматизированные угрозы веб-приложений
![image](https://habrastorage.org/getpro/habr/post_images/fe9/d79/52d/fe9d7952d61c3cdedbf7054b5208d6b6.png)
В методологии OWASP Automated Threat Handbook представлена информация защите веб-приложений от автоматизированных угроз. Эти угрозы связаны с использованием автоматизированных средств, отказа от обслуживания, нарушения логики работы приложения, "брошенные корзины", незавершенные транзакции и т.д.
Информация
- Сайт
- owasp.org
- Дата регистрации
- Дата основания
- Численность
- 1 001–5 000 человек
- Местоположение
- Россия
- Представитель
- Лука Сафонов