Как-то давно я уже писал об этом, но немного скудно и сумбурно. После я решил расширить список инструментов в обзоре, добавить статье структуры, учесть критику (большое спасибо Lefty за советы) и отправил ее на конкурс на СекЛаб (и опубликовал ссылку, но по всем понятным причинам ее никто не увидел). Конкурс закончен, результаты объявили и я с чистой совестью могу ее (статью) опубликовать на Хабре.

Бесплатные инструменты пентестера веб-приложений

В данной статье я расскажу о наиболее популярных инструментах для пентестинга (тестов на проникновение) веб-приложений по стратегии «черного ящика».
Для этого мы рассмотрим утилиты, которые помогут в данном виде тестирования. Рассмотрим следующие категории продуктов:

1. Сетевые сканеры
2. Сканеры брешей в веб-скриптах
3. Эксплойтинг
4. Автомазация инъекций
5. Дебаггеры (снифферы, локальные прокси и т.п.)

Частично вдохновленный этим постом задумался, почему бы не сделать что-то похожее у себя в городе, добавив немного субкультуры и лайв-демонстраций различных атак.

Итого было решено поделиться знаниями, организовав бесплатные занятия по InfoSec для всех желающих. Под катом программа занятий и подробности.
Для тех, кто не из Томска — можете просто прокомментировать выбранные темы и возможно предложить свои.

Не так давно прочитал на Хабре пост, в котором предлагалось посетить бесплатное мероприятие, посвященное вопросам информационной безопасности. Так как мероприятие проходило в моем городе, я решил, что мне нужно непременно туда сходить. Первое занятие было посвящено уязвимостям на сайтах типа XSS. После занятия я решил, что нужно закрепить полученные знания в реальных условиях. Выбрал для себя несколько сайтов, которые относятся к моему городу и начал во все формы пытаться воткнуть свой скрипт. В большинстве случаев скрипт отфильтровывался. Но бывало так, что «алерт» и срабатывал, и появлялось мое сообщение. О найденной уязвимости сообщал администраторам, и они быстро все исправляли.

В один из таких дней проверяя свежую почту на mail.ru мне на глаза попалась форма для поиска писем в почтовом ящике. Изредка я пользовался этим поиском, чтобы найти что-то нужное в куче своих старых писем. Ну, а так как я в последние пару дней вставлял свой «алерт» практически везде куда только можно было, рука рефлекторно потянулась к этой форме поиска. Набрал код своего скрипта и нажал Enter. Каково же было мое удивление, когда на экране я увидел до боли знакомое сообщение…

Несколько недель назад я писал о бесплатных занятиях по информационной (без)опасности в Томске.
Новость получила довольно широкое распространение, занятия идут, а этот пост — небольшой рассказ, что же проходит на занятиях, как можно «приобщиться» к нам и получать знания, не пребывая в Томске.
У кого нет хабра-аккаунта может прочитать тут

Лирическое отступление

Представим себе ситуацию… Вы простой пользователь интернета. Ежедневно посещаете различные сайты, читаете там новости, общаетесь в социальных сетях, просматриваете почту и т.д. Все как обычно. Но в один прекрасный день в дверь вашей квартиры стучат. На вопрос «кто там?» вам отвечают: «Откройте, полиция!». Берут вас под белы рученьки и сопровождают в ближайший отдел. Вы недоумеваете «за что?». В ответ слышите: «Систематическая публикация в интернете сообщений призывающих к разжиганию межнациональной розни». Как? Почему? Никогда не писал подобного рода сообщений! В ответ на эти претензии вам показывают ряд сообщений на некоторых известных информационных ресурсах которые действительно написаны из под вашего аккаунта и содержание которых явно противоречит законам РФ. Что самое интересно, даже IP-адрес с которого были отосланы сообщения совпадает с вашим домашним. Возможно, это кошка, которая живет с вами, гуляя по клавиатуре, случайно набрала эти сообщения за вас и разослала по разным сайтам. Возможно, вам даже поверят… И срок в 2 года лишения свободы неявно замаячил на горизонте.
Так что же все-таки произошло? А произошло следующее…