Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Атака на отказ в обслуживании методом slow HTTP POST

Информационная безопасность *
Из песочницы
Доброго времени суток, уважаемые хабровчане!
Я хочу рассказать вам об относительно новом и интересном, на мой взгляд, механизме атаки на отказ в обслуживании — Slow HTTP POST.
Поиск показал отсутствие на хабре информации по теме, что несколько удивило меня, и я решил восполнить это досадное упущение. Тема не нова, но, как показали мои небольшие исследования, более чем актуальна. Забегая вперед, скажу, что полученные мной результаты позволяют говорить о существовании широко доступной технологии, позволяющей с одного компьютера с небольшим каналом «укладывать» небольшие и средние сайты, а при использовании нескольких машин с повсеместно распространенным сейчас скоростным доступом в Интернет причинить немало проблем и более серьезным проектам. Всех заинтересовавшихся покорнейше прошу пожаловать под хабракат.
Читать дальше →
Всего голосов 205: ↑194 и ↓11 +183
Просмотры 37K
Комментарии 98

Избранное: ссылки по IT безопасности

Блог компании Digital Security Информационная безопасность *




Давно хотел написать этот пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.




Читать дальше →
Всего голосов 92: ↑86 и ↓6 +80
Просмотры 108K
Комментарии 18

Стартовал краудсорсинговый перевод OWASP Testing Guide 4.0 на 30+ языков (в т. ч. и на русский)

Информационная безопасность *Тестирование веб-сервисов *
image

Сегодня в твиттере проекта OWASP появилась запись, приглашающая всех желающих присоединиться к переводу OWASP Testing Guide 4.0.

Присоединиться к переводу можно здесь.
Что за OWASP такой и немного подробнестей
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 13K
Комментарии 2

Обзор площадки для тестирования веб-уязвимостей OWASP Top-10 на примере bWAPP

Информационная безопасность *Разработка веб-сайтов *
Привет, Хабр!

В этой статье предлагаю читателю ознакомится с уязвимостями веб-приложений (и не только), по классификации OWASP Top-10, и их эксплуатацией на примере bWAPP.

image

Читать дальше →
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 56K
Комментарии 8

OWASP TOP-10: практический взгляд на безопасность веб-приложений

Блог компании SimplePay Информационная безопасность *
Хабр, привет! Мы — Иван Притула и Дмитрий Агапитов, занимаемся разработкой решений, которые делают жизнь людей проще и комфортнее. Сегодня мы хотим представить один из наших новых сервисов – это платежный агрегатор SimplePay. Все что мы делаем продиктовано мучительной невозможностью мириться с несовершенством в целом, и несовершенством конкретных программных решений в частности. Именно в погоне за совершенством и рождаются наши продукты. Стараемся мы изо всех сил, а уж насколько мы близки, судить не нам.

Чтобы Всем было интереснее, мы не будем рекламировать свой сервис (ну если только чуть-чуть). Вместо этого, мы подготовили первую серию публикаций, которая будет посвящена такой увлекательной и крайне актуальной теме, как безопасность Web-приложений. Мы постараемся раскрыть опасности, сопутствующие любому действующему интернет-проекту и простым языком донести всю важность ответственного подхода к рутинным, казалось бы, мелочам в вопросах безопасности данных. Надеемся наши статьи будут не бесполезны для Вас. Уверены, так Вы узнаете нас гораздо лучше.
Читать дальше →
Всего голосов 13: ↑9 и ↓4 +5
Просмотры 137K
Комментарии 7

10 атак на веб-приложения в действии

Блог компании ua-hosting.company Информационная безопасность *Разработка веб-сайтов *
В настоящее время практически все разработанные и разрабатываемые приложения стремятся стать как можно более доступными для пользователя в сети интернет. В сети размещаются различные приложения для более продуктивной работы и отдыха, такие как Google Docs, калькуляторы, электронные почты, облачные хранилища, карты, погода, новости и т.д… В общем все, что нужно для повседневной жизни. Наши смартфоны практически бесполезны без доступа к интернету, так как почти все мобильные приложения подключаются к облаку, сохраняя там наши фотографии, логины и пароли. Даже большинство домашних устройств постоянно подключено к сети.



Прикладной уровень является самой надежной защитой. Уязвимости, с которыми мы тут встретимся, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью систем обнаружения вторжений. Этот уровень — самый доступный извне. Для нормального функционирования приложения должен быть доступ через порт 80 (HTTP) или порт 443 (HTTPS).
Читать дальше →
Всего голосов 25: ↑20 и ↓5 +15
Просмотры 48K
Комментарии 1

Где пообщаться «по ИБ»: OWASP Russia Meetup #6 пройдет в офисе Positive Technologies

Блог компании Positive Technologies Информационная безопасность *


Первая в 2017 году встреча российского отделения OWASP состоится 2 марта в московском офисе Positive Technologies. Мы не только предоставим пространство для проведения встречи, но и сами поделимся опытом в сфере веб-безопасности.
Читать дальше →
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 3.4K
Комментарии 0

Отчет с OWASP Russia Meetup #6: видео и презентации докладов

Блог компании Positive Technologies Информационная безопасность *


На прошлой неделе в московском офисе Positive Technologies состоялась первая в 2017 году встреча российского отделения OWASP (международного сообщества специалистов по информационной безопасности). Сегодня мы публикуем отчет об этом митапе, а также видео и презентации представленных на нем докладов.
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 4.3K
Комментарии 1

OWASP Top 10 2017 RC

Блог компании OWASP Информационная безопасность *


Обновился список Топ-10 уязвимостей от OWASP — наиболее критичных рисков безопасности веб-приложений.

На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире.
Читать дальше →
Всего голосов 20: ↑20 и ↓0 +20
Просмотры 24K
Комментарии 5

Hacksplaining — интерактивный курс по веб-уязвимостям

Блог компании OWASP Информационная безопасность *
image
 
Hacksplaining представляет каталогизированный и наглядный онлайн-туториал по основным веб-уязвимостям. По каждой уязвимости представлено подробное описание, насколько часто встречается, как сложно ее эксплуатировать и уровень ее критичности. К каждой уязвимости приложено подробное описание, вектор эксплуатации, уязвимый код и рекомендации по устранению и защите. В качестве примера в статье приведен разбор одного из заданий по взлому виртуального онлайн-банкинга с помощью эксплуатации sql-инъекции.
Читать дальше →
Всего голосов 36: ↑33 и ↓3 +30
Просмотры 35K
Комментарии 6

Краткое введение в безопасность приложений

Информационная безопасность *
Из песочницы
Перевод статьи Scott Arciszewski «A Gentle Introduction to Application Security».

У меня есть печальные новости для программистов, читающих эту заметку. Но, как вы знаете, нет худа без добра.

Новость первая: если вы являетесь веб-разработчиком или только размышляете о том, чтобы начать изучать веб-разработку, то, вероятнее всего, вы не думаете о себе как о специалисте по безопасности. Может быть, вы принимаете во внимание некоторые угрозы безопасности, например, при валидации пользовательских данных. Но, скорее всего, вы все же не являетесь экспертом в этой области.

И вторая новость: если ваш код выполняется на боевом сервере, он находится на первой линии обороны всей системы и, возможно, всей сети. Поэтому логично, что приложение, которое вы разрабатываете, обязано быть безопасным.
Читать дальше →
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 8K
Комментарии 3

OWASP Automated Threat: автоматизированные угрозы веб-приложений

Блог компании OWASP Информационная безопасность *
image

 
В методологии OWASP Automated Threat Handbook представлена информация защите веб-приложений от автоматизированных угроз. Эти угрозы связаны с использованием автоматизированных средств, отказа от обслуживания, нарушения логики работы приложения, "брошенные корзины", незавершенные транзакции и т.д.

Читать дальше →
Всего голосов 34: ↑34 и ↓0 +34
Просмотры 6.4K
Комментарии 0

OWASP TOP 10 Project: введение

Блог компании Газинформсервис Информационная безопасность *
Это первый материал из цикла статей про OWASP Top 10 Project — проекта, который начинался как задумка энтузиастов, а стал самым авторитетным источником классификации векторов атак и уязвимостей веб приложений.

В этой статье мы кратко разберем все основные уязвимости из перечня OWASP Top 10, а также посмотрим, почему так важно знать о типовых уязвимостях, чтобы разрабатывать безопасные приложения.
Читать дальше →
Всего голосов 11: ↑8 и ↓3 +5
Просмотры 15K
Комментарии 0

Отключение проверок состояния среды исполнения в Android-приложении

Информационная безопасность *Разработка под Android *Аналитика мобильных приложений *


В прошлой статье я делал обзор на OWASP Mobile TOP 10 и тогда у меня не было годного кейса для демонстрации необходимости защиты исходного кода. Интересный кейс для демонстрации появился только недавно и кому интересно посмотреть на наш опыт обхода проверок состояния среды, давайте под кат.
Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 4.3K
Комментарии 20

Уязвимости из OWASP Top 10. A1: 2017 – Injections (Часть 1)

Блог компании Газинформсервис Информационная безопасность *SQL *
Описание уязвимостей — это одно, а вот попробовать найти уязвимость и поработать с ней — совсем другое дело. Именно для этих целей создаются и развиваются специальные приложения, в которых намеренно оставлены уязвимости. Если набрать в поисковой системе запрос «Purposely vulnerable app», вы найдете ни один десяток ссылок.

В этом цикле мы начнем разбирать уязвимости из OWASP Top 10, и в качестве полигона я буду использовать такое намеренно уязвимое приложение. В моем случае это будет OWASP Mutillidae II. Это не то, чтобы самый лучший вариант, но в нем уязвимости структурированы именно так, как нужно для образовательных целей.

Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 6.5K
Комментарии 2

Спецкурс Group-IB: “Безопасность мобильных приложений”

Блог компании Group-IB Информационная безопасность *Разработка мобильных приложений *Тестирование мобильных приложений *Аналитика мобильных приложений *
Tutorial
image

Всем привет!

Специалисты Group-IB, одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, подготовили осенний двухмесячный курс про уязвимости мобильных приложений. Мы приглашаем всех, кто интересуется информационной безопасностью мобильных технологий, подать заявку на обучение.

Курс стартует 4 октября 2018 года. Прием заявок до 15 сентября.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 4.5K
Комментарии 9

A1: 2017 – Injections (Часть 2)

Блог компании Газинформсервис Информационная безопасность *SQL *
В прошлой статье я предположил, что читатель знает, как устроен язык запросов SQL в подробностях, а также механизм работы протокола HTTP. Но это, как правило, не так. И я сразу вспомнил историю, описанную в одной из моих любимых книг «Недоверчивые умы» Роба Бразертона. В ней описан следующий эксперимент. Психолог Ребекка Лоусон спросила у группы испытуемых, катались ли они в своей жизни хоть раз на велосипеде? Большинство ответило утвердительно. Далее она спросила, знают ли они, как устроен велосипед? Утвердительных ответов было уже поменьше, но всё равно подавляющее большинство. А затем она предложила следующее изображение и попросила дополнить его так, чтобы на этом велосипеде можно было ездить.


А дальше произошло самое интересное – более половины людей не смогли этого сделать. Эта обманчиво простая задача показывает, что большинство людей просто не представляет как устроен велосипед. Но самое интересное, что они не понимают, что они этого не знают, а начинают понимать это только в момент, когда им предстоит продемонстрировать эти знания.

C HTTP и SQL происходит примерно то же самое. SQL-запросы писали 90% ИТ-специалистов, хотя бы на лабораторных в своих учебных заведениях, с HTTP люди работают каждый день как пользователи, а те же ИТ-специалисты время от времени настраивают веб-серверы, которые собственно с HTTP и работают. Но когда приходится ответить на конкретный вопрос, регулярно наступает ступор.
Читать дальше →
Всего голосов 19: ↑12 и ↓7 +5
Просмотры 4.2K
Комментарии 4

A1: 2017 – Injections (Часть 3 и последняя)

Блог компании Газинформсервис Информационная безопасность *SQL *
В моей любимой компьютерной игре Quest for Glory 2: Trial by Fire, когда мир в очередной раз оказывается в опасности, главный герой попадает в Университет волшебников. После успешного прохождения вступительных испытаний бородатые мудрые волшебники предлагают поступить в этот Университет, потому что, окончив его, мы разберемся во всех тонкостях магии, изучим все заклинания и тогда уже точно спасем своих друзей и победим мировое зло. Проблема только в том, что учиться предстоит 15-20 лет, а за это время силы зла успеют победить и не один раз.

Я каждый раз невольно вспоминаю этот эпизод, когда передо мной оказывается очередная интересная книга или кипа технической документации. Про тайм-менеджмент написана куча книг, но для меня это сводится к простой формуле: разобрался в основах, разобрал примеры – дальше только автоматизация!

Теперь, когда мы примерно представляем, как работают инъекции, так почему бы не попробовать упростить себе жизнь и еще раз разобрать какой-нибудь прошлый пример, но уже с помощью дополнительного программного обеспечения. Нам потребуется два инструмента:
Sqlmap – инструмент, которой позволяет автоматизировать поиск и эксплуатацию уязвимостей в SQL и ZAP Proxy – локальный прокси-сервер, который нужен для анализа трафика между браузером в веб-сервером.

Опять нужно упомянуть, что это не единственные подобные инструменты, и наверняка в соседнем блоге вам убедительно докажут, что вместо sqlmap нужно разобраться с sqlninja, а на ZAP тратить время не нужно, когда есть Burp. Спорить ни с кем не стану.

Облегчать жизнь мы себе начнем с перехвата трафика между клиентом и веб-сервером. Полученные данные будут использованы в качестве параметров для sqlmap. По большому счету, в качестве такого параметра может выступать и URL уязвимого приложения, но сейчас данные с прокси будут для нас нагляднее.

Работать будем всё с тем же примером из A1, который мы разбирали в предыдущей статье («SQLi – Extract Data» > «User Info (SQL)»).

Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 3.4K
Комментарии 0

NGINX инструкция по установке ModSecurity

Информационная безопасность *Nginx *Серверное администрирование *
Recovery mode
Из песочницы
Tutorial


В этой статье представлена инструкция по установке динамического модуля ModSecurity на веб-сервер NGINX в качестве межсетевого экрана веб-приложения (WAF). NGINX работает в режиме обратного прокси-сервера. Работу выполнено на дистрибутиве Linux – CentOS 7. Модуль установлено в качестве «динамического», что бы сервис оставался гибким в настройке. Использовано официальное руководство NGINX по установке.

Читать дальше →
Всего голосов 18: ↑13 и ↓5 +8
Просмотры 16K
Комментарии 16

Web Security Testing Starter Kit

Блог компании Semrush Информационная безопасность *Тестирование веб-сервисов *
Всем привет!

Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь, на просторах Хабра. Итак, начнем.

Однажды я нашел уязвимость на серверах небезызвестной компании Facebook. Ребята забыли обновить ImageMagick (библиотеку по обработке изображений) и поплатились за это:) Этим примером я хотел показать, что все мы люди, и все можем допускать ошибки, неважно, в каких компаниях и на каких должностях мы работаем. Проблема только в том, что эти ошибки могут приводить к разного рода рискам.
Чем сложнее у вас приложение/сайт/инструмент, тем больше вероятность того, что что-то может пойти не так.
Проверять на уязвимости нужно. Глупо не делать этого совсем.
Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры 19K
Комментарии 8