Как стать автором
Поиск
Профиль
Обновить
Поиск
Публикации Хабы Компании Пользователи Комментарии

Защита сайта и API от хакерских атак с Nemesida WAF Free

Время на прочтение 5 мин
Количество просмотров 4K
Блог компании Pentestit Информационная безопасность *


Тем, кто разрабатывает или поддерживает работу веб-сайтов и API, кто еще не использует WAF или использует, но устал от ложных срабатываний и сложных настроек, а также хочет красивые графики и все бесплатно, посвящается.
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Комментарии 9

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

Время на прочтение 1 мин
Количество просмотров 1K
Блог компании DataLine Информационная безопасность *Разработка веб-сайтов *Облачные сервисы *


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 0

Web Application Firewall — защита сайта от хакерских атак

Время на прочтение 2 мин
Количество просмотров 23K
Информационная безопасность *


Web Application Firewall — защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения, в том числе и с использованием уязвимостей нулевого дня:

  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.

Основное предназначение WAF — защита веб-приложения от несанкционированного доступа, даже при наличии критичных уязвимостей.
Читать дальше →
Рейтинг 0
Комментарии 1

Краш-тест для CMS

Время на прочтение 4 мин
Количество просмотров 792
CMS *Разработка веб-сайтов *
Идея создания модуля Проактивной защиты (Web Application Firewall) пришла в голову очень давно. Но реализовать его удалось только в версии 8.0 этой весной. И сразу возникли идеи, а не проверить ли систему защиты и не устроить ли открытый конкурс.

Меня многие спрашивали — зачем нам это нужно? На что я могу только ответить, что цель всей системы защиты и всего конкурса — сделать наш продукт лучше, дать больше уверенности клиентам и разработчикам. А сделать это можно только на практике.

Почему-то на ум приходит аналогия с автомобилями. В первых автомобилях вообще не думали о безопасности водителя и пассажиров. Потом появились пассивные системы безопасности, т.е. которые защищали людей уже в момент аварии. Это например подушки безопасности в машине. И уже как следующий шаг — появились системы активной защиты — ABS, системы курсовой устойчивости ESP, EBD и т.п. Эти системы уже помогают водителю избежать аварии, подруливают за него, выводят из заноса, спасают жизнь…
Читать дальше →
Всего голосов 22: ↑13 и ↓9 +4
Комментарии 16

Как работает WebsiteDefender

Время на прочтение 3 мин
Количество просмотров 1.9K
Информационная безопасность *
Несколько недель назад заметил в плагине для Wordpress wp security scan рекламу другого сервиса websitedefender для защиты сайтов. На сайте кроме стандартной маркетинговой шелухи толком ничего полезного не нашел, но несколько заинтриговали слова о революционно ином способе работы этого сервиса, отличающемся от уже существующих. Гугл ничего полезного не выдал о том, как же все-таки работает этот сервис.

Исторически так сложилось, что большинство считает достаточным защиту только от атак извне — SQL, XSS-инъекций, LFI\RFI, CSRF и т.п, забывая про атаки на файлы веб-приложений. Те же WAF, такие как mod_security, phpids — яркий тому пример.

Мне это кажется не очень справледливым, поэтому я захотел рассмотреть возможности сервиса WebsiteDefender, который по описанию должен уметь защищать файлы веб-приложений от модификаций.

Предлагается скачать некий агент – php-file, в котором целый набор функций для шифрования и… конструкция
$success = @eval('?>'.$request->params);

Вопрос, что же делает этот php код, возник еще до его скачивания, а после беглого просмотра и нахождения такого интересного арсенала появляется еще больше вопросов. Хотя компания вроде бы довольно известная — Acunetix, ставить кота в мешке себе на сайт вряд ли кому захочется.

Ответ поддержки на запрос предоставить информацию, что делает их код, и результаты своего исследования работы сервиса под катом.
Читать дальше →
Всего голосов 54: ↑54 и ↓0 +54
Комментарии 24

Чем защищают сайты, или Зачем нужен WAF?

Время на прочтение 9 мин
Количество просмотров 92K
Блог компании Positive Technologies Информационная безопасность *


В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).

В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.
Читать дальше →
Всего голосов 18: ↑14 и ↓4 +10
Комментарии 5

Защита сайта от хакерских атак

Время на прочтение 6 мин
Количество просмотров 33K
Информационная безопасность *
Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им.
Читать дальше →
Всего голосов 37: ↑27 и ↓10 +17
Комментарии 19

Защита веб-приложения: практические кейсы

Время на прочтение 7 мин
Количество просмотров 27K
Информационная безопасность *
image


Безопасность веб-приложений находится в первой десятке трендов и угроз информационной безопасности уже свыше 10 лет. Действительно, современные бизнес-процессы и повседневная жизнь — все больше и больше зависит от использования веб-приложений, в разнообразнейших аспектах: от сложных инфраструктурных систем до IoT устройств. Тем не менее специализированных средств защиты веб-приложений довольно мало, по большей части эту задачу возлагают (или надеются что она будет решена) на разработчиков. Это и использование различных фреймворков, средств санации, очистки данных, нормализации и многого другого. Тем не менее, даже с использованием этих средств безопаснее веб не стал, более того, в все уязвимости "классического веба" практически в неизменном виде мигрировали в мобильную разработку. В этой статье будет рассказано не как не допустить уязвимость, а как защитить веб-приложение от ее эксплуатации с использованием Web Application Firewall.

Читать дальше →
Всего голосов 33: ↑26 и ↓7 +19
Комментарии 15

Защита сайта от атак с использованием Nemesida WAF: от сигнатур до искусственного интеллекта

Время на прочтение 5 мин
Количество просмотров 8.6K
Блог компании Pentestit Информационная безопасность *


В статье будет рассмотрены практики защиты уязвимого веб-приложения — от сигнатурного метода до искусственного интеллекта с использованием Web Application Firewall (коммерческая и Opensource версии). В качестве коммерческого решения мы будем использовать Nemesida WAF, в качестве некоммерческого — NAXSI. Статья содержит общую и техническую информацию по работе WAF, а также сравнение методов обнаружения атак, разбор их особенностей и недостатков.

Детектирование атак


Первая и основная задача любого WAF — максимально точно определить атаку с минимальным количеством ложных срабатываний (false positive). В NAXSI заложен только сигнатурный механизм определения атак (поведенческий анализ находится в начальном состоянии, поэтому мы его считать не будем), в Nemesida WAF — три: сигнатурный, качественный поведенческий анализ и машинное обучение. Говоря о комплексном методе определения атак мы подразумеваем симбиоз этих трех методов. Почему три? Давайте разберемся.

Сигнатурный метод определения атак


Несмотря на стремительное развитие технологий, большая часть атак выявляется сигнатурным методом, и от того, насколько качественно пишутся сигнатуры, зависит точность работы всех методов, построенных на базе сигнатурного анализа (в том числе машинное обучение). Рассмотрим пример определения атаки на веб-приложение сигнатурным методом:

index.php?id=-1'+union+select+1,2,3,4,5+--+1

В данном случае сигнатурой атаки будет вхождение цепочки «union+select».

Пример атаки, которую пропустит NAXSI:

index.php?id=-1'+Union+Select+1,2,3,4,5+--+1
Всего голосов 33: ↑31 и ↓2 +29
Комментарии 6

Улучшаем работу искусственного интеллекта в Nemesida WAF

Время на прочтение 6 мин
Количество просмотров 3.9K
Блог компании Pentestit Информационная безопасность *


В предыдущей статье мы рассказали, как искусственный интеллект Nemesida WAF помогает с абсолютной точностью выявлять атаки на веб-приложения при минимальном количестве ложных срабатываний. В этой статье будет рассмотрен новый механизм работы Nemesida AI, позволяющий увеличить точность выявления атак в 2 раза по сравнению с сигнатурным методом, а также снизить количество ложных срабатываний до 0.01%.
Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Комментарии 1

Nemesida WAF Free — бесплатная версия, обеспечивающая базовую защиту веб-приложения от атак

Время на прочтение 2 мин
Количество просмотров 5.7K
Блог компании Pentestit Информационная безопасность *


В прошлом году мы выпустили первый релиз Nemesida WAF, построенного на базе машинного обучения. Мы перепробовали несколько вариантов и остановились на алгоритме обучения «Случайный лес». Основными преимуществами машинного обучения по сравнению с сигнатурным анализом являются повышенная точность определения атак, а также снижение количества ложных срабатываний. С другой стороны, использование модуля машинного обучения требует дополнительных аппаратных ресурсов. Для обеспечения базовой защиты веб-приложения при минимальных аппаратных ресурсах мы выпустили Nemesida WAF Free — бесплатную версию Nemesida WAF, выявляющую атаки на основе их сигнатур.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Комментарии 2

NGINX инструкция по установке ModSecurity

Время на прочтение 4 мин
Количество просмотров 22K
Информационная безопасность *Nginx *Серверное администрирование *
Туториал
Recovery mode
Из песочницы


В этой статье представлена инструкция по установке динамического модуля ModSecurity на веб-сервер NGINX в качестве межсетевого экрана веб-приложения (WAF). NGINX работает в режиме обратного прокси-сервера. Работу выполнено на дистрибутиве Linux – CentOS 7. Модуль установлено в качестве «динамического», что бы сервис оставался гибким в настройке. Использовано официальное руководство NGINX по установке.

Читать дальше →
Всего голосов 18: ↑13 и ↓5 +8
Комментарии 16

Web application firewalls

Время на прочтение 6 мин
Количество просмотров 3.5K
Информационная безопасность *Разработка веб-сайтов *Amazon Web Services *Киберпанк
Из песочницы

Web application firewall


Web application firewalls (WAFs) are a type of intrusion detection and prevention system and might be either a hardware or software solution. It is specifically designed to inspect HTTP(s) and analyse the GET and POST requests using the appalling detection logic explained below. Web application firewall software is generally available as a web server plugin.

WAF has become extremely popular and various companies offer a variety of solutions in different price categories, from small businesses to large corporations. Modern WAF is popular because it has a wide range of covered tasks, so web application developers can rely on it for various security issues, but with the assumption that this solution cannot guarantee absolute protection. A basic WAF workflow is shown below.



Its main function is the detection and blocking of queries in which, according to WAF analysis, there are some anomalies, or an attacking vector is traced. Such an analysis should not make it difficult for legitimate users to interact with a web application, but, at the same time, it must accurately and timely detect any attempted attack. In order to implement this functionality, WAF developers usually use regular expressions, tokens, behavioural analysis, reputation analysis and machine learning, and, often, all these technologies are used together.



In addition, WAF can also provide other functionality: protection from DDoS, blocking of IP-addresses of attackers, tracking of suspicious IP-addresses, adding an HTTP-only flag to the cookie, or adding the functionality of CSRF-tokens. Each WAF is individual and has a unique internal arrangement, but there are some typical methods used for analysis.
Read more →
Всего голосов 15: ↑13 и ↓2 +11
Комментарии 0

WAF through the eyes of hackers

Время на прочтение 21 мин
Количество просмотров 27K
Блог компании Digital Security Информационная безопасность *
Today we’re going to talk about one of the modern security mechanism for web applications, namely Web Application Firewall (WAF). We’ll discuss modern WAFs and what they are based on, as well as bypass techniques, how to use them, and why you should never entirely rely on WAF. We’re speaking from the pentesters’ perspective; we’ve never developed WAFs and only collected data from open sources. Thus, we can only refer to our own experience and may be unaware of some peculiarities of WAFs.
Read more →
Всего голосов 13: ↑9 и ↓4 +5
Комментарии 0

Новый билд Nemesida WAF Free для NGINX

Время на прочтение 3 мин
Количество просмотров 4.8K
Блог компании Pentestit Информационная безопасность *Nginx **nix *Тестирование веб-сервисов *

В прошлом году мы выпустили Nemesida WAF Free — динамический модуль для NGINX, блокирующий атаки на веб-приложения. В отличие от коммерческой версии, основанной на работе машинного обучения, бесплатная версия анализирует запросы только сигнатурным методом.

Особенности релиза Nemesida WAF 4.0.129


До текущего релиза динамический модуль Nemesida WAF поддерживал только Nginx Stable 1.12, 1.14 и 1.16. В новом релизе добавлена поддержка Nginx Mainline, начиная с 1.17, и Nginx Plus, начиная с 1.15.10 (R18).

Зачем делать еще один WAF?

Читать дальше →
Всего голосов 27: ↑19 и ↓8 +11
Комментарии 2

Как жить с WAF, чтобы не было мучительно больно

Время на прочтение 8 мин
Количество просмотров 6.8K
Блог компании Ростелеком-Солар Информационная безопасность *Сетевые технологии *

Здесь не будет очередной статьи, описывающей возможности межсетевого экрана уровня приложений. Таких уже полно. Сегодня мы будем объяснять подводные камни при работе с этим решением, чтобы вы знали о них еще до старта проекта и правильно прокладывали курс.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Комментарии 5

И целого WAF’а мало: как мы проапгрейдили сервис защиты веб-сайтов 

Время на прочтение 5 мин
Количество просмотров 3.3K
Блог компании DataLine Информационная безопасность *Разработка веб-сайтов *Облачные сервисы *
Привет! Меня зовут Кирилл, и в центре киберзащиты DataLine я развиваю сервис защиты веб-приложений (WAF): общаюсь со специалистами по ИБ и ИТ от клиента, выясняю их задачи, отвечаю за корректную работу сервиса. За неполный год настройки WAF я убедился: если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете.

Мы несколько раз дорабатывали решение: лучше изучали векторы атак и поведение атакующих, добавляли и настраивали новые средства защиты, улучшали регламенты взаимодействия с клиентом. Расскажу, как развивался наш сервис на базе FortiWeb и о чем нужно позаботиться, чтобы защитить свое веб-приложение.    


Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Комментарии 2

Web Application Firewall: работа на опережение

Время на прочтение 6 мин
Количество просмотров 5K
Блог компании билайн бизнес Информационная безопасность *Сетевые технологии *
В одном из предыдущих постов мы рассказывали об отражении DDoS-атак при помощи анализа трафика по протоколу Netflow. Само собой, DDoS — далеко не единственная проблема, с которой может столкнуться ресурс. Воображение злоумышленников весьма и весьма велико, да и технических средств у них хватает. Плюс не стоит забывать о том, что какой-то из ваших ресурсов вполне может работать на ПО с zero-day-уязвимостями.

Вот и получается, что веб-приложение может подвергнуться атаке сразу с нескольких фронтов — тут вам и межсайтовый скриптинг, и SQL-инъекции, и обход авторизации, и удаленное выполнение кода, в общем, вы знаете. В извечной борьбе щита и меча против подобного и был придуман защитный экран для веб-приложений, отлавливающий подобные активности и блокирующий их ещё до выполнения на вашем сайте.

В этом посте мы расскажем, как работает WAF от Билайн Бизнес, какие у него есть преимущества и как его оперативно подключить для своей компании.

Зачем вообще нужен WAF

Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Комментарии 6

Что нам стоит WAF настроить

Время на прочтение 11 мин
Количество просмотров 9K
Блог компании Pentestit Информационная безопасность *


Занимаясь разработкой или обслуживанием веб-приложений, в какой-то момент времени приходится сталкиваться с необходимостью использовать WAF (Web Application Firewall). Если опыта работы с такого класса решением у вас нет или устали от постоянных ложных срабатываний, я расскажу, как упростить задачу, а также поделюсь советами и фишками. В качестве инструмента будем использовать Nemesida WAF Free — бесплатную версию Nemesida WAF.
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 6

Nemesida WAF 2021: защита сайтов и API от хакерских атак

Время на прочтение 7 мин
Количество просмотров 2.3K
Блог компании Pentestit Информационная безопасность *

Активное применение WAF началось более 10 лет назад. Пытаясь решить проблему защищенности веб-приложений, администраторы WAF сталкивались с побочными последствиями - большим количеством ложных срабатываний, сложностью настроек и пропусками (хотя о последнем чаще можно было узнать после успешной атаки). Время шло, в арсенале разработчиков появлялись новые инструменты (например, возможность применения машинного обучения), недостатки устранялись, повышалось удобство пользования. Все равно многие не торопятся использовать WAF или же отказываются от его использования после долгих настроек.

Я расскажу, какие проблемы испытывают администраторы при использовании WAF, как мы их решили и поделюсь нашими достижениями.

Читать далее
Всего голосов 8: ↑5 и ↓3 +2
Комментарии 0
1
2

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка Вернуться на старую версию
© 2006–2023, Habr