Как стать автором
Обновить

Компания Pentestit временно не ведёт блог на Хабре

Сначала показывать

Новости

Состоялся релиз Kali Linux 2022.2

Блог компании Pentestit Информационная безопасность *

Состоялся релиз Kali Linux 2022.2, который содержит много обновлений и нововведений: обновление графических сред, новые инструменты, поддержка создания снимков и поддержка Kali NetHunter для умных часов.

Читать далее
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 7.3K
Комментарии 5

Spring4Shell RCE — критическая уязвимость в Java Spring Framework

Блог компании Pentestit Информационная безопасность *Java *Apache *

Не успел мир отойти от Apache Log4j2, как в сети появились сообщения о новых 0-day уязвимостях. В Spring Framework для Java обнаружено сразу несколько уязвимостей "нулевого дня", позволяющих, в том числе, выполнять произвольный код (RCE).

Читать далее
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 14K
Комментарии 11

Защита веб-приложения в 2022: что должен уметь современный WAF

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

Модуль машинного обучения в Nemesida WAF - это не маркетинг, призванный повышать продажи за счет популярной концепции, а мощный инструмент, с помощью которого нам удалось перекрыть недостатки сигнатурного анализа и повысить точность выявления атак до 99.98% на боевом трафике. Что ж, пришло время пояснить за ML, DDoS L7, ATO и атаки ботов.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 3.6K
Комментарии 6

Nemesida WAF: защита сайта и API от атак и паразитного трафика

Блог компании Pentestit Информационная безопасность *API *DevOps *

Сталкиваясь с атаками на веб-ресурсы, администраторы пытаются перекрыть вредоносный трафик настройками веб-сервера, установкой Rate Limit, созданием правил блокировок или ограничением доступа по IP из списка стран. Эти действия требуют навыков и не всегда приводят к ожидаемым последствиям.

В статье расскажу, как обеспечить быструю и качественную защиту веб-приложений и API от большей части угроз OWASP Top-10 с использованием бесплатной версии Nemesida WAF Free.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 5.2K
Комментарии 3

WebSecOps: изучаем веб-безопасность

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

Безопасность веб-приложений, по разным причинам, в том числе и репутационным, должна быть приоритетной задачей для компании. Однако разработчики, акцентируя внимание на удобстве использования веб-приложения, не всегда задумываются о его защищенности. И иногда это играет с ними злую шутку.

Давайте порассуждаем, почему так происходит, и как найти выход из этой ситуации.

Читать далее
Всего голосов 12: ↑8 и ↓4 +4
Просмотры 4.1K
Комментарии 3

Nemesida WAF 2021: защита сайтов и API от хакерских атак

Блог компании Pentestit Информационная безопасность *

Активное применение WAF началось более 10 лет назад. Пытаясь решить проблему защищенности веб-приложений, администраторы WAF сталкивались с побочными последствиями - большим количеством ложных срабатываний, сложностью настроек и пропусками (хотя о последнем чаще можно было узнать после успешной атаки). Время шло, в арсенале разработчиков появлялись новые инструменты (например, возможность применения машинного обучения), недостатки устранялись, повышалось удобство пользования. Все равно многие не торопятся использовать WAF или же отказываются от его использования после долгих настроек.

Я расскажу, какие проблемы испытывают администраторы при использовании WAF, как мы их решили и поделюсь нашими достижениями.

Читать далее
Всего голосов 8: ↑5 и ↓3 +2
Просмотры 2.2K
Комментарии 0

Фишинг: ловись рыбка большая и маленькая

Блог компании Pentestit Информационная безопасность *

"Взломать" человека, сидящего перед компьютером, намного проще, чем сам компьютер. Этим активно пользуются злоумышленники. Атакам подвергаются как обычные пользователи, так и крупные компании. Мы не стали исключением, и поэтому сегодня рассмотрим один из примеров фишинговой атаки, которые периодически попадают к нам на корпоративную почту.

Читать далее
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 5.2K
Комментарии 10

Nemesida WAF: Docker-контейнер

Блог компании Pentestit Информационная безопасность *
Туториал

Nemesida WAF - комплексная защита сайтов, интернет-магазинов, личных кабинетов, порталов, маркетплейсов, API и других веб-приложений от хакерских атак на основе машинного обучения Nemesida AI. Доступна как бесплатная версия - Nemesida WAF Free, так и коммерческий вариант продукта. Сегодня мы рассмотрим как за 30 минут защитить веб-приложение с помощью Docker-образа Nemesida WAF.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 4K
Комментарии 0

Reverse engineering: обратная разработка приложений для самых маленьких

Блог компании Pentestit Информационная безопасность *
Туториал

Обратная разработка (англ. Reverse Engineering) - метод исследования устройств или программного обеспечения с целью понять принцип его работы или обнаружить недокументированные возможности. В информационной безопасности занимает значительную роль, благодаря ей специалисты в области ИБ могут исследовать вредоносные приложения, разбираться как они работают для последующего, например, составления сигнатур в базы антивирусов и защиты других пользователей от предстоящей цифровой угрозы. Сегодня погрузимся в основы языка Ассемблер и на примере разберем небольшой кейс по обратной разработке.

Читать далее
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 27K
Комментарии 11

Боевой OSINT — разведка и сбор информации из открытых источников

Блог компании Pentestit Информационная безопасность *

OSINT (англ. Open source intelligence) или разведка на основе открытых источников включает в себя поиск, сбор и анализ информации, полученной из общедоступных источников. Ключевой целью является поиск информации, которая представляет ценность для злоумышленника либо конкурента. Сбор информации во многом является ключевым элементом проведения пентеста. От того, насколько качественно он был осуществлён, может зависеть, как эффективность пентеста в целом, так и эффективность отработки отдельных векторов атаки (социальная инженерия, брутфорс, атака на Web-приложения и пр.). В этой статье соберем информацию о компании и посмотрим что о ней знает Интернет и потенциальный злоумышленник.

Читать далее
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 48K
Комментарии 0

Zero Security: A — этичный хакинг для начинающих

Блог компании Pentestit Информационная безопасность *Тестирование IT-систем *Тестирование веб-сервисов *

Zero Security: A - уникальные курсы этичного хакинга и тестирования на проникновение от компании Pentestit. Разработаны специально для начинающих специалистов в области информационной безопасности, которые хотят связать свою дальнейшую деятельность с ИТ-технологиями и развиваться в этом направлении в качестве профессионалов.

За время обучения рассмотриваются такие темы как: правовые аспекты информационной безопасности; методы социальной инженерии, которыми пользуются хакеры во время своих атак; инструментарий, используемый для тестирования на проникновение, а также различные виды уязвимостей (SQLi, XSS, LFI/RFI) и способы их поиска и эксплуатации.

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 5.3K
Комментарии 0

TWAPT — пентестим по-белому в домашних условиях

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

"Чтобы поймать преступника, нужно мыслить как преступник". В эпоху Интернета киберпреступников можно назвать неуловимыми злодеями, которым для совершения преступлений не требуется показывать своего лица, и даже не обязательно находиться в одной стране с жертвой атаки, а все их действия могут остаться анонимными. Чтобы понять как действует злоумышленником, нужно самому стать им. Но как быть в этом случае специалисту по информационной безопасности, если нарушать законодательство - плохая идея, а понять как мыслит злоумышленник все же необходимо?

Читать далее
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 8.1K
Комментарии 1

OS Command Injection: ось под контролем

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

Выполнение произвольных команд операционной системы является разновидностью инъекций, к которым относятся также SQL-инъекции, RCE, LDAP-инъекции и т.д. Инъекции являются одним из самых распространенных классов уязвимостей согласно классификации OWASP Top 10.

В этой статье рассмотрим, почему возникает уязвимость, как и какими инструментами можно ее обнаружить, и составим список рекомендаций по защите.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 7K
Комментарии 1

Test lab 15 writeup: как вам н0в1ч0к?

Блог компании Pentestit Информационная безопасность *Тестирование IT-систем *
Туториал

15-го марта 2021 г. мы запустили пятнадцатую по счёту лабораторию тестирования на проникновение Test lab под кодовым названием названием "who is the n0v1ch0k". На 12 день в режиме нон-стоп участнику BadBlackHat удалось первому скомпрометировать все узлы лаборатории. Для всех остальных, кто пытался, пытается и будет пытаться пропентестить Test lab 15, мы решили опубликовать ее прохождение.

Лаборатории Test lab — бесплатные площадки для проверки и закрепления навыков тестирования на проникновение, представляющая собой корпоративную сеть виртуальной компании из уязвимых и неуязвимых компонентов (серверов, сетевого оборудования и рабочих станций).

Итак, пришло время разобрать все задания Test lab 15, чтобы дать возможность тем, у кого не получается, глубже погрузиться в мир информационной безопасности и узнать для себя что-то новое. Содержание получилось довольно объёмным, но, надеемся, что интересным.

Читать далее
Всего голосов 18: ↑12 и ↓6 +6
Просмотры 8.9K
Комментарии 3

Чек-лист устранения SQL-инъекций

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

По всему миру происходят атаки с использованием SQL-инъекций, которые продолжают представлять угрозу информационной безопасности. Успешная атака с использованием таких уязвимостей может привести к компрометации персональных данных и несанкционированному доступу к серверу. А это, в свою очередь, влечет необратимые последствия. В данной статье мы более подробно рассмотрим методы и инструменты выявления SQLi и предложим рекомендации по их предотвращению.

Читать далее
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 19K
Комментарии 19

Пентест-лаборатория Test lab 15 — ху из зэ н0в1ч0к?

Блог компании Pentestit Информационная безопасность *Тестирование IT-систем *Тестирование веб-сервисов *

Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.

В статье мы вспомним, какие задания встречались в предыдущей лаборатории, и поможем подготовиться к предстоящей Test lab 15.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 6.6K
Комментарии 0

SQL-инъекции' union select null,null,null --

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

Согласно OWASP Top-10, SQL-инъекции считаются наиболее опасными уязвимостями. Успешная атака с их использованием может не только привести к компрометации данных, таких, как: пароли, данные кредитной карты или личная информация пользователя, но и, при определенных условиях, самого сервера. В этой статье мы рассмотрим предпосылки к появлению SQL-инъекций, ознакомимся с их видами и составим список рекомендаций для защиты веб-приложений от подобных недостатков.

Читать далее
Всего голосов 28: ↑18 и ↓10 +8
Просмотры 23K
Комментарии 24

Я твой WAF payload шатал

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

Пару недель назад команда Vulners опубликовала сравнение нескольких популярных WAF. Поймав себя на мысли - "а как оценивать качество его работы?", я решил разобрать подробнее тему security-тестов и критериев оценки Web Application Firewall. Статья пригодится, в первую очередь, тем, кому интересна тема веб-безопасности, ровно как и счастливым обладателям WAF.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 6.5K
Комментарии 0

Хранимые, отображаемые и DOM-based XSS: выявление и блокирование

Блог компании Pentestit Информационная безопасность *Тестирование веб-сервисов *

В статье расскажем про хранимые, отображаемы типы XSS и XSS в DOM-объектах, проведем обзор фреймворков для их поиска (XXSer и XXStrike) и узнаем, как точно Nemesida WAF Free блокирует попытки эксплуатации XSS.

<script>alert('Читать дальше')</script>
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 11K
Комментарии 9