Как стать автором
Обновить

Компания Pentestit временно не ведёт блог на Хабре

Сначала показывать
  • Новые
  • Лучшие

WebSecOps: изучаем веб-безопасность

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

Безопасность веб-приложений, по разным причинам, в том числе и репутационным, должна быть приоритетной задачей для компании. Однако разработчики, акцентируя внимание на удобстве использования веб-приложения, не всегда задумываются о его защищенности. И иногда это играет с ними злую шутку.

Давайте порассуждаем, почему так происходит, и как найти выход из этой ситуации.

Читать далее
Всего голосов 12: ↑8 и ↓4+4
Просмотры2.1K
Комментарии 3

Новости

Показать еще

Nemesida WAF 2021: защита сайтов и API от хакерских атак

Блог компании PentestitИнформационная безопасность

Активное применение WAF началось более 10 лет назад. Пытаясь решить проблему защищенности веб-приложений, администраторы WAF сталкивались с побочными последствиями - большим количеством ложных срабатываний, сложностью настроек и пропусками (хотя о последнем чаще можно было узнать после успешной атаки). Время шло, в арсенале разработчиков появлялись новые инструменты (например, возможность применения машинного обучения), недостатки устранялись, повышалось удобство пользования. Все равно многие не торопятся использовать WAF или же отказываются от его использования после долгих настроек.

Я расскажу, какие проблемы испытывают администраторы при использовании WAF, как мы их решили и поделюсь нашими достижениями.

Читать далее
Всего голосов 8: ↑5 и ↓3+2
Просмотры993
Комментарии 0

Фишинг: ловись рыбка большая и маленькая

Блог компании PentestitИнформационная безопасность

"Взломать" человека, сидящего перед компьютером, намного проще, чем сам компьютер. Этим активно пользуются злоумышленники. Атакам подвергаются как обычные пользователи, так и крупные компании. Мы не стали исключением, и поэтому сегодня рассмотрим один из примеров фишинговой атаки, которые периодически попадают к нам на корпоративную почту.

Читать далее
Всего голосов 6: ↑5 и ↓1+4
Просмотры3.6K
Комментарии 10

Nemesida WAF: Docker-контейнер

Блог компании PentestitИнформационная безопасность
Tutorial

Nemesida WAF - комплексная защита сайтов, интернет-магазинов, личных кабинетов, порталов, маркетплейсов, API и других веб-приложений от хакерских атак на основе машинного обучения Nemesida AI. Доступна как бесплатная версия - Nemesida WAF Free, так и коммерческий вариант продукта. Сегодня мы рассмотрим как за 30 минут защитить веб-приложение с помощью Docker-образа Nemesida WAF.

Читать далее
Всего голосов 7: ↑7 и ↓0+7
Просмотры2.1K
Комментарии 0

Reverse engineering: обратная разработка приложений для самых маленьких

Блог компании PentestitИнформационная безопасность
Tutorial

Обратная разработка (англ. Reverse Engineering) - метод исследования устройств или программного обеспечения с целью понять принцип его работы или обнаружить недокументированные возможности. В информационной безопасности занимает значительную роль, благодаря ей специалисты в области ИБ могут исследовать вредоносные приложения, разбираться как они работают для последующего, например, составления сигнатур в базы антивирусов и защиты других пользователей от предстоящей цифровой угрозы. Сегодня погрузимся в основы языка Ассемблер и на примере разберем небольшой кейс по обратной разработке.

Читать далее
Всего голосов 25: ↑25 и ↓0+25
Просмотры9.3K
Комментарии 11

Боевой OSINT — разведка и сбор информации из открытых источников

Блог компании PentestitИнформационная безопасность

OSINT (англ. Open source intelligence) или разведка на основе открытых источников включает в себя поиск, сбор и анализ информации, полученной из общедоступных источников. Ключевой целью является поиск информации, которая представляет ценность для злоумышленника либо конкурента. Сбор информации во многом является ключевым элементом проведения пентеста. От того, насколько качественно он был осуществлён, может зависеть, как эффективность пентеста в целом, так и эффективность отработки отдельных векторов атаки (социальная инженерия, брутфорс, атака на Web-приложения и пр.). В этой статье соберем информацию о компании и посмотрим что о ней знает Интернет и потенциальный злоумышленник.

Читать далее
Всего голосов 8: ↑6 и ↓2+4
Просмотры13K
Комментарии 0

Zero Security: A — этичный хакинг для начинающих

Блог компании PentestitИнформационная безопасностьТестирование IT-системТестирование веб-сервисов

Zero Security: A - уникальные курсы этичного хакинга и тестирования на проникновение от компании Pentestit. Разработаны специально для начинающих специалистов в области информационной безопасности, которые хотят связать свою дальнейшую деятельность с ИТ-технологиями и развиваться в этом направлении в качестве профессионалов.

За время обучения рассмотриваются такие темы как: правовые аспекты информационной безопасности; методы социальной инженерии, которыми пользуются хакеры во время своих атак; инструментарий, используемый для тестирования на проникновение, а также различные виды уязвимостей (SQLi, XSS, LFI/RFI) и способы их поиска и эксплуатации.

Читать далее
Всего голосов 14: ↑13 и ↓1+12
Просмотры3.3K
Комментарии 0

TWAPT — пентестим по-белому в домашних условиях

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

"Чтобы поймать преступника, нужно мыслить как преступник". В эпоху Интернета киберпреступников можно назвать неуловимыми злодеями, которым для совершения преступлений не требуется показывать своего лица, и даже не обязательно находиться в одной стране с жертвой атаки, а все их действия могут остаться анонимными. Чтобы понять как действует злоумышленником, нужно самому стать им. Но как быть в этом случае специалисту по информационной безопасности, если нарушать законодательство - плохая идея, а понять как мыслит злоумышленник все же необходимо?

Читать далее
Всего голосов 16: ↑16 и ↓0+16
Просмотры5.9K
Комментарии 1

OS Command Injection: ось под контролем

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

Выполнение произвольных команд операционной системы является разновидностью инъекций, к которым относятся также SQL-инъекции, RCE, LDAP-инъекции и т.д. Инъекции являются одним из самых распространенных классов уязвимостей согласно классификации OWASP Top 10.

В этой статье рассмотрим, почему возникает уязвимость, как и какими инструментами можно ее обнаружить, и составим список рекомендаций по защите.

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Просмотры3K
Комментарии 1

Test lab 15 writeup: как вам н0в1ч0к?

Блог компании PentestitИнформационная безопасностьТестирование IT-систем
Tutorial

15-го марта 2021 г. мы запустили пятнадцатую по счёту лабораторию тестирования на проникновение Test lab под кодовым названием названием "who is the n0v1ch0k". На 12 день в режиме нон-стоп участнику BadBlackHat удалось первому скомпрометировать все узлы лаборатории. Для всех остальных, кто пытался, пытается и будет пытаться пропентестить Test lab 15, мы решили опубликовать ее прохождение.

Лаборатории Test lab — бесплатные площадки для проверки и закрепления навыков тестирования на проникновение, представляющая собой корпоративную сеть виртуальной компании из уязвимых и неуязвимых компонентов (серверов, сетевого оборудования и рабочих станций).

Итак, пришло время разобрать все задания Test lab 15, чтобы дать возможность тем, у кого не получается, глубже погрузиться в мир информационной безопасности и узнать для себя что-то новое. Содержание получилось довольно объёмным, но, надеемся, что интересным.

Читать далее
Всего голосов 18: ↑12 и ↓6+6
Просмотры5K
Комментарии 3

Чек-лист устранения SQL-инъекций

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

По всему миру происходят атаки с использованием SQL-инъекций, которые продолжают представлять угрозу информационной безопасности. Успешная атака с использованием таких уязвимостей может привести к компрометации персональных данных и несанкционированному доступу к серверу. А это, в свою очередь, влечет необратимые последствия. В данной статье мы более подробно рассмотрим методы и инструменты выявления SQLi и предложим рекомендации по их предотвращению.

Читать далее
Всего голосов 11: ↑9 и ↓2+7
Просмотры7.8K
Комментарии 19

Пентест-лаборатория Test lab 15 — ху из зэ н0в1ч0к?

Блог компании PentestitИнформационная безопасностьТестирование IT-системТестирование веб-сервисов

Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.

В статье мы вспомним, какие задания встречались в предыдущей лаборатории, и поможем подготовиться к предстоящей Test lab 15.

Читать далее
Всего голосов 10: ↑10 и ↓0+10
Просмотры5.4K
Комментарии 0

SQL-инъекции' union select null,null,null --

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

Согласно OWASP Top-10, SQL-инъекции считаются наиболее опасными уязвимостями. Успешная атака с их использованием может не только привести к компрометации данных, таких, как: пароли, данные кредитной карты или личная информация пользователя, но и, при определенных условиях, самого сервера. В этой статье мы рассмотрим предпосылки к появлению SQL-инъекций, ознакомимся с их видами и составим список рекомендаций для защиты веб-приложений от подобных недостатков.

Читать далее
Всего голосов 28: ↑18 и ↓10+8
Просмотры13K
Комментарии 24

Я твой WAF payload шатал

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

Пару недель назад команда Vulners опубликовала сравнение нескольких популярных WAF. Поймав себя на мысли - "а как оценивать качество его работы?", я решил разобрать подробнее тему security-тестов и критериев оценки Web Application Firewall. Статья пригодится, в первую очередь, тем, кому интересна тема веб-безопасности, ровно как и счастливым обладателям WAF.

Читать далее
Всего голосов 8: ↑7 и ↓1+6
Просмотры4.4K
Комментарии 0

Хранимые, отображаемые и DOM-based XSS: выявление и блокирование

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисов

В статье расскажем про хранимые, отображаемы типы XSS и XSS в DOM-объектах, проведем обзор фреймворков для их поиска (XXSer и XXStrike) и узнаем, как точно Nemesida WAF Free блокирует попытки эксплуатации XSS.

<script>alert('Читать дальше')</script>
Всего голосов 10: ↑9 и ↓1+8
Просмотры6.9K
Комментарии 9

Что нам стоит WAF настроить

Блог компании PentestitИнформационная безопасность


Занимаясь разработкой или обслуживанием веб-приложений, в какой-то момент времени приходится сталкиваться с необходимостью использовать WAF (Web Application Firewall). Если опыта работы с такого класса решением у вас нет или устали от постоянных ложных срабатываний, я расскажу, как упростить задачу, а также поделюсь советами и фишками. В качестве инструмента будем использовать Nemesida WAF Free — бесплатную версию Nemesida WAF.
Читать дальше →
Всего голосов 7: ↑7 и ↓0+7
Просмотры2.9K
Комментарии 6

Невидимый гость: вскрываем беспроводную сеть компании с Kali Linux и Raspberry Pi

Блог компании PentestitИнформационная безопасность


Сегодня рассмотрим, как относительно незаметно протестировать безопасность беспроводной сети компании. В качестве основы будет использоваться Raspberry Pi, который поддерживает установку Kali Linux. Установка дистрибутива довольно проста:

  • Загрузить официальный образ с сайта kali.org;
  • Записать его на SD-диск с помощью Win32image для Windows и Gparted для Linux;
  • Запустить Raspberry Pi с установленной в него SD-картой.

После установки, по желанию, можно обновить пакеты, если они будут доступны. Но для полноценной работы больше не требуется никаких действий. Требуемый размер карты памяти — 8Гб и выше. Чтобы система нормально функционировала, желательно использовать больший объем.
Читать дальше →
Всего голосов 13: ↑4 и ↓9-5
Просмотры14K
Комментарии 5

Безопасность веб-приложений: от уязвимостей до мониторинга

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисовDevOps


Уязвимости веб-приложений возникают тогда, когда разработчики добавляют небезопасный код в веб-приложение. Это может происходить как на этапе разработки, так и на этапе доработки или исправления найденных ранее уязвимостей. Недостатки часто классифицируются по степени критичности и их распространенности. Объективной и наиболее популярной классификацией уязвимостей считается OWASP Top 10. Рейтинг составляется специалистами OWASP Project и актуализируется каждые 3-4 года. Текущий релиз выпущен в 2017 году, а следующий ожидается в 2020-2021.
Читать дальше →
Всего голосов 20: ↑12 и ↓8+4
Просмотры8.8K
Комментарии 0

Проверка сайта на уязвимости своими силами с использованием Wapiti

Блог компании PentestitИнформационная безопасностьТестирование веб-сервисовDevOps

image
В прошлой статье мы рассказали о Nemesida WAF Free — бесплатном инструменте для защиты сайтов и API от хакерских атак, а в этой решили сделать обзор популярного сканера уязвимостей Wapiti.


Сканирование сайта на уязвимости — необходимая мера, которая, вкупе с анализом исходного кода, позволяет оценить уровень его защищенности от угроз компрометации. Выполнить сканирование веб-ресурса можно с помощью специализированно инструментария.


Nikto, W3af (написан на Python 2.7, поддержка которого закончилась) или Arachni (с февраля более не поддерживается) — наиболее популярные решения, представленные в бесплатном сегменте. Разумеется, есть и другие, например, Wapiti, на котором мы решили остановимся.

Читать дальше →
Всего голосов 10: ↑8 и ↓2+6
Просмотры11K
Комментарии 2

Комфортный DevOpsSec: Nemesida WAF Free для NGINX с API и личным кабинетом

Блог компании PentestitИнформационная безопасностьNginxТестирование веб-сервисов


Nemesida WAF Free — бесплатная версия Nemesida WAF, обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного анализа. Nemesida WAF Free имеет собственную базу сигнатур, выявляет атаки на веб-приложения при минимальном количестве ложных срабатываний, обновляется из Linux-репозитория, устанавливается и настраивается за несколько минут, не требует компиляции и может быть подключена к уже установленному NGINX версии 1.12.2 или выше.


Что может произойти, если не следить за безопасностью и не использовать WAF

Некоторое время назад мы анонсировали поддержку Nemesida WAF Free для NGINX Mainline и Plus версий (раньше поддерживалась только Stable ветка). Решив на этом не останавливаться, мы добавили во Free-версию функционал отправки выявленных атак в личный кабинет.
Читать дальше →
Всего голосов 16: ↑16 и ↓0+16
Просмотры6.7K
Комментарии 13