Как стать автором
Обновить

Google выпускает skipfish — сканер безопасности сетевых приложений

Время прочтения 1 мин
Просмотры 213
Информационная безопасность *
imageПолностью автоматизированный инструмент проверки безопасности ваших веб приложений от Google. Основные возможности:

высочайшая скорость: написан на C, оптимизированные HTTP запросы, минимальные требования к CPU — скорость запросов легко достигает 2000 в секунду.

простота использования: эвристика запросов поддерживает как фреймворки так и сайты построенные на смешанных технологиях, система самообучаема, поддерживает словари и автозаполнение форм.

отличная логика безопасности: высокое качество работы, различные способы проверки безопасности.

Поддерживаются операционные системы — Linux, FreeBSD, MacOS X и Windows (требуется Cygwin).

Google skipfish
Всего голосов 77: ↑77 и ↓0 +77
Комментарии 71

Сканер ВС — это не просто еще один дистрибутив linux

Время прочтения 3 мин
Просмотры 18K
*nix *
А что же это тогда, спросите вы. Это дистрибутив linux, который является сертифицированным ФСТЭК средством аналаза защищенности автоматизированных систем, не содержащих государственную тайну. Звучит достаточно солидно, получить сертификат ФСТЭК весьма непросто.
Производит сие чудо инженерной мысли некое НПО Эшелон (осторожно, суровый web 0.9 и анимированная гифка). Если отбросить шутки в сторону компания достаточно известна как разработчик аппаратных средств защиты информации (Защита от ПЭМИН и всякое такое) Теперь заходим на сайт самого сканера. Как только мы налюбуемся на левую треть экрана и посетуем, что не все желаемые темы раскрыты (утонченные особы ещё могут получить удовольствие, посмотрев код, показывающий картинки в исходниках страницы) можно переходить к делу.
и что?
Всего голосов 49: ↑43 и ↓6 +37
Комментарии 62

Это ПО делает жизнь хакеров проще, а нашу с вами — сложнее

Время прочтения 3 мин
Просмотры 6K
Блог компании Symantec
Clone
Раньше хакерам приходилось с нуля создавать угрозы. Из-за сложности процесса кибератаками занимались лишь преступники с высоким уровнем подготовки.

Сегодня готовый инструментарий дает возможность организовать кибератаку даже дилетантам, которые, купив его за несколько сотен долларов, могут, например, создать новую шпионскую программу на основе существующих шаблонов. Так инновации самых изощренных целевых атак постепенно приходят в массы, а количество сигнатур растет в геометрической прогрессии.

Читать дальше →
Всего голосов 5: ↑3 и ↓2 +1
Комментарии 9

Что такое системы управления уязвимостями на примере облачной платформы QualysGuard

Время прочтения 3 мин
Просмотры 8.9K
Информационная безопасность *
Из песочницы

Почему я решил написать этот текст.


Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.

С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.
Читать дальше →
Всего голосов 11: ↑5 и ↓6 -1
Комментарии 9

Студента отчислили за использование сканера веб-уязвимостей

Время прочтения 2 мин
Просмотры 111K
Информационная безопасность *Разработка веб-сайтов *


20-летний студент Ahmed Al-Khabaz (Ахмед Аль-Хабаз) отчислен с факультета компьютерных наук монреальского колледжа. Причиной стало то, что он дважды запустил сканер веб-уязвимостей на сайте учебного заведения — и нашёл-таки опасную уязвимость в учебном портале Omnivox, который используют почти все колледжи и университеты Квебека. Тем самым он якобы «поставил под угрозу» приватные данные 250 тысяч студентов.
Читать дальше →
Всего голосов 199: ↑183 и ↓16 +167
Комментарии 229

Профессиональное тестирование на проникновение: удел настоящих гиков-фанатов командной строки или уже нет?

Время прочтения 9 мин
Просмотры 42K
Блог компании Эшелон Информационная безопасность *

Когда речь заходит о хакинге, неважно, об этичном или не очень, многие из нас представляют темное помещение с мониторами и очкастым профессионалом с красными от постоянного недосыпания глазами. Действительно ли систему может взломать только гик-профессионал и действительно ли для того, чтобы протестировать защищенность своих систем необходимо привлекать только таких экспертов? А нельзя ли вооружить грамотного ИТ-специалиста хакерскими инструментами и логичной методологией и получить качественный результат? Попробуем разобраться.


Читать дальше →
Всего голосов 22: ↑12 и ↓10 +2
Комментарии 10

Очередной конкурс по этичному хакингу «Эшелонированная оборона 2017»

Время прочтения 1 мин
Просмотры 3.5K
Блог компании Эшелон Информационная безопасность *
Recovery mode

Будущим специалистам по информационной безопасности нужно постоянно наращивать новые знания и опыт, и группа компаний «Эшелон» предоставляет такую возможность молодым специалистам, организуя конкурс «Эшелонированная оборона 2017».

Конкурс традиционно проводится среди студентов и аспирантов ведущих вузов России и стран ближнего зарубежья. В этом году участникам конкурса предлагаются два задания: тестирование защищенности ИТ-инфраструктуры (penetration test) и аудит безопасности кода. Победят те участники, кто обнаружит больше всего уязвимостей, соберет все токены и подготовит самый детальный отчет с подробными рекомендациями по устранению уязвимостей.
Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Комментарии 1

Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров

Время прочтения 14 мин
Просмотры 80K
Блог компании T.Hunter Информационная безопасность *Тестирование веб-сервисов *
Сканеры веб-приложений — довольно популярная сегодня категория софта. Есть платные сканеры, есть бесплатные. У каждого из них свой набор параметров и уязвимостей, возможных для обнаружения. Некоторые ограничиваются только теми, что публикуются в OWASP Top Ten (Open Web Application Security Project), некоторые идут в своем black-box тестировании гораздо дальше.



В этом посте мы собрали восемь популярных сканеров, рассмотрели их подробнее и попробовали в деле. В качестве тренировочных мишеней выбрали независимые точки на двух платформах (.NET и php): premium.pgabank.com и php.testsparker.com.
Читать дальше →
Всего голосов 37: ↑37 и ↓0 +37
Комментарии 11

Управление уязвимостями в CMDB

Время прочтения 6 мин
Просмотры 4K
Информационная безопасность *
Туториал

Управление уязвимостями в маленьких компаниях отличается от управления уязвимостями в многочисленных компаниях. Ситуация может ухудшаться если большая компания является разработчиком множества продуктов, предоставляет услуги аутсорсинга, при этом все это реализуют микро и макрокоманды со своим стеком, своим железом, своими админами.

Мне как безопаснику, который решил взяться за централизованное, удобное для всех и не бесящее устранение уязвимостей с возможностью отчетности для руководства, предстояло изменить само видение процесса устранения уязвимостей.

Статья покажет, как достаточно дешево, без покупки дорогостоящих систем управления уязвимостями на базовом уровне реализовать эффективный процесс управления уязвимостями.

Конечно, можно помимо сканера уязвимостей купить к нему и систему управления уязвимостями и платить десятки тысяч долларов в год за лицензирование данной системы.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 16

4 популярных сканера уязвимостей для безопасности Kubernetes

Время прочтения 6 мин
Просмотры 3.3K
Блог компании FirstVDS Kubernetes *
Туториал

Проект Kubernetes, разработанный в 2014 году силами компании Google, первоначально предполагался для удовлетворения внутренних потребностей компании в сфере управления контейнерами, однако вскоре стал чуть ли не стандартом в области оркестрации. Как и любой другой продукт, Kubernetes не лишён различных проблем с безопасностью. В связи с чем возникает «острый» вопрос в обеспечении её должного уровня. К счастью, было разработано множество инструментов, призванных усовершенствовать безопасность платформы.

И сегодня я расскажу о таких популярных сканерах и утилитах безопасности, как Anchore grype, Kube-bench, Kube-hunter и Falco.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 1

Сканер уязвимостей на Python или как написать сканер за 6 часов

Время прочтения 5 мин
Просмотры 6.5K
Информационная безопасность *Python *

Сканер уязвимостей на Python или как написать сканер за 6 часов

Недавно мне довелось участвовать в хакатоне по информационной безопасности на научной конференции в прекрасном городе Санкт-Петербург в СПбГУТ. Одно из заданий представляло из себя написание собственного сканера уязвимостей на любом ЯП с условиями, что использование проприетарного ПО и фреймворков запрещено. Можно было пользоваться кодом и фреймворками существующих сканеров уязвимости с открытым кодом. Это задание и мое решение с моим коллегой мы и разберем в этой публикации.

Читать далее
Всего голосов 7: ↑5 и ↓2 +3
Комментарии 4

Эффективный патч-менеджмент на базе отчетов со сканера уязвимостей или как не утонуть в бесконечных таблицах

Время прочтения 5 мин
Просмотры 1.2K
Блог компании Ростелеком-Солар Информационная безопасность *

Сложно выстроить эффективную защиту ИТ-инфраструктуры, игнорируя процесс контроля уязвимостей (Vulnerability Management, VM). Он включает поиск и учет всех информационных активов, оценку уровня защищенности сетевой инфраструктуры и веб-приложений, разработку рекомендаций по исправлению обнаруженных уязвимостей и проверку выполнения этих рекомендаций. С одной стороны, этот процесс автоматизирован – слабые места ищет сканер. С другой – это ручная работа, так как на основе сканирования ИБ-специалисты приоритизируют множество найденных уязвимостей и устраняют в короткие сроки самые критичные. Именно поэтому крайне важно, чтобы экспертам было удобно читать и обрабатывать данные, которые выдает сканер. А как этого добиться – разберемся ниже.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 0

Обзор OWASP ZAP. Сканер для поиска уязвимостей в веб-приложениях

Время прочтения 9 мин
Просмотры 3.4K
Блог компании FirstVDS Информационная безопасность *Open source *Системное администрирование *
Обзор

Сегодня почти у каждой организации есть собственный веб-сайт. Вместе с ростом интернета возрастают и атаки на веб-сайты, становясь все более серьезнее и масштабнее. Однако существует обширный список инструментов, которые могут производить сканирование и находить уязвимости в веб-приложениях. Одним из таких инструментов является сканер уязвимостей под названием OWASP ZAP.

OWASP ZAP — сканер веб-приложений, основанный на методике DAST (Dynamic Application Security Testing). В русском варианте этот метод принято называть методом тестирования «черного ящика». Методика позволяет обнаруживать проблемы безопасности в работающем приложении или веб-сайте при помощи их сканирования на известные уязвимости.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Комментарии 2

В поисках утраченного сканера: почему найти альтернативу Qualys оказалось непростой задачей

Время прочтения 6 мин
Просмотры 2K
Блог компании Ростелеком-Солар Информационная безопасность *
Кейс

Прошлый год проходил под эгидой вынужденного импортозамещения: вендоры ИТ и ИБ уходили, забирая с собой обновления, сигнатуры и лицензии.  А хакеры радовались уязвимостям, которые компании просто не могли закрыть. Словом, патча нет, но вы держитесь! С поиском незакрытых уязвимостей тоже все оказалось непросто. Топовые зарубежные сканеры ушли из России. Многие остались без эффективного инструмента – и мы в том числе, ведь наш облачный сервис контроля уязвимостей (VM, Vulnerability Management) был построен с использованием технологической платформы американского Qualys. В этом посте поговорим о том, как мы выбирали альтернативу Qualys, и что происходит с российским рынком сканеров уязвимостей сейчас. 

Искать с нами
Всего голосов 18: ↑18 и ↓0 +18
Комментарии 2