Как стать автором
Поиск
Написать публикацию
Обновить
0
Карма
0
Рейтинг
@Val666

Пользователь

Отправить сообщение
Профиль Публикации Комментарии 1Закладки 67

Безопасность для айтишников: как научить разработчиков устранять уязвимости и создавать безопасные приложения

Время на прочтение6 мин
Количество просмотров6K
Блог компании Positive TechnologiesИнформационная безопасность*Управление разработкой*DevOps*Разработка под macOS*

Разработчики уделяют большое внимание дизайну программных продуктов для гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них. А что насчет безопасности данных, которые мы доверяем производителям этих приложений? И как научить(ся) создавать безопасные приложения?

На PHDays наши коллеги из «Яндекса» поделились своим опытом в обучении разработчиков и показали участникам систему, позволяющую тренироваться в поиске и исправлении уязвимостей. Каждое задание в этой системе состоит из кода, содержащего уязвимости. Задача разработчика — найти заложенную проблему и исправить ее.

Рассказ получился, как говорится, о наболевшем: из зала так и сыпались вопросы, и коллег не отпускали минут двадцать. Сегодня мы решили поделиться их докладом в нашем блоге. Итак, передаем слово ребятам.

Не хотите читать? У нас отличная новость: можно послушать подкаст-версию этой статьи. Выбирайте удобную вам платформу — и вперед!

Кстати, у нас есть целый подкаст, где мы говорим о практической безопасности, современных киберугрозах и защите от них, а также делимся самыми интересными выступлениями с форумов PHDays. Уже доступны 19 выпусков.

Читать далее
Всего голосов 2: ↑2 и ↓0+2
Комментарии2

Продолжение. Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым

Время на прочтение8 мин
Количество просмотров17K
Блог компании Cloud4YИнформационная безопасность*Системное администрирование*IT-инфраструктура*Nginx*
Перевод

Ранее Cloud4Y рассказал про уязвимости веб-серверов Nginx, балансировщиков нагрузки и прокси-серверов. Что-то из этого вы могли знать, а что-то, надеемся, стало полезной информацией.

Но история не закончилась. Многочисленные программы bug bounties позволяют проводить широкомасштабные исследования, благодаря которым удаётся найти реально действующие уязвимости. Проект Gixy помог найти множество неправильных конфигураций промежуточного ПО, но далеко не все. Что ещё удалось обнаружить:

Читать далее
Всего голосов 15: ↑13 и ↓2+13
Комментарии1

Как использовать простую утилиту для поиска уязвимостей в программном коде

Время на прочтение4 мин
Количество просмотров9K
Блог компании VDSina.ruУправление разработкой*Тестирование веб-сервисов*Информационная безопасность*DevOps*
Перевод
Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки.


Источник: Unsplash (Markus Spiske)

Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много видов тестирования, каждый из них решает свою задачу. Сегодня я хочу поговорить о поиске проблем безопасности в коде.

Очевидно, что в современных реалиях разработки программного обеспечения важно обеспечить безопасность процессов. В своё время был даже введён специальный термин DevSecOps. Под этим термином понимают ряд процедур, направленных на выявление и устранение уязвимостей в приложении. Существуют специализированные open source решения для проверки уязвимостей в соответствии со стандартами OWASP, которые описывают различные типы и поведение уязвимостей в исходном коде.
Читать дальше →
Всего голосов 22: ↑21 и ↓1+26
Комментарии2

Сканирование на уязвимости и безопасная разработка. Часть 1

Время на прочтение7 мин
Количество просмотров16K
DevOps*IT-инфраструктура*Информационная безопасность*Тестирование веб-сервисов*Управление разработкой*
image

В рамках профессиональной деятельности разработчикам, пентестерам, безопасникам приходится сталкиваться с такими процессами, как Vulnerability Management (VM), (Secure) SDLC.
Под этими словосочетаниями скрываются различные наборы практик и используемых инструментов, которые переплетены между собой, хотя их потребители различаются.

Технический прогресс пока не дошёл до того, чтобы одним инструментом заменить человека для проведения анализа защищённости инфраструктуры и ПО.
Интересно понять, почему это так, и с какими проблемами приходится сталкиваться.
Читать дальше →
Всего голосов 7: ↑6 и ↓1+5
Комментарии4

Расширения Burp Suite для эффективного тестирования веб-приложений

Время на прочтение3 мин
Количество просмотров20K
Блог компании OWASPИнформационная безопасность*
image
 
Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и многое другое. Также существует магазин дополнений BApp store, содержащий дополнительные расширения, увеличивающие функционал приложения. В этой статье будут рассмотрены инструменты, повышающие эффективность Burp Suite при тестировании на проникновение веб-приложений.
Читать дальше →
Всего голосов 23: ↑21 и ↓2+19
Комментарии3

Burp Suite: швейцарский армейский нож для тестирования веб-приложений

Время на прочтение6 мин
Количество просмотров110K
Информационная безопасность*

 
Burp Suite – это мультитул для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и многое другое. Также существует магазин дополнений BApp store, содержащий дополнительные расширения, увеличивающие функционал приложения. Стоит отметить и появление в последнем релизе мобильного помощника для исследования безопасности мобильных приложений — MobileAssistant для платформы iOS.
Читать дальше →
Всего голосов 32: ↑28 и ↓4+24
Комментарии2

Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости

Время на прочтение11 мин
Количество просмотров6.2K
Системное администрирование*Информационная безопасность*WordPress*DevOps*
Туториал
image

Некоторое время назад возникло желание реинкарнировать свой Wordpress-блог. Параллельно возникло желание упорядочить и систематизировать накопленные знания для сдачи экзамена ECSA. Все это привело меня к развертыванию блога на отдельно стоящем сервере. Через некоторый промежуток времени ожидаемо возникли вопросы безопасности сайта, использующего один из самых популярных (потому и вечно уязвимых) движков.

В результате изысканий появилось это руководство по организации непрерывного сканирования сайта на уязвимости, которым и спешу поделиться с вами, дорогие читатели.

Большую часть материала можно использовать в том числе и для внедрения в CI/CD пайплайны.

Читать дальше →
Всего голосов 9: ↑9 и ↓0+9
Комментарии0

Как установить и использовать AIDE (Advanced Intrusion Detection Environment) в CentOS 8

Время на прочтение5 мин
Количество просмотров13K
Блог компании OTUSИнформационная безопасность*Настройка Linux*
Перевод
В преддверии старта курса «Администратор Linux» подготовили перевод интересного материала.



AIDE расшифровывается как “Advanced Intrusion Detection Environment” (усовершенствованная система обнаружения вторжений) — это одна из самых популярных систем для мониторинга изменений в операционных системах на базе Linux. AIDE используется для защиты от вредоносных программ, вирусов и обнаружения несанкционированных действий. Для проверки целостности файлов и обнаружения вторжений AIDE создает базу данных с информацией о файлах и сравнивает текущее состояние системы с этой базой. AIDE помогает сократить время расследования инцидентов, сосредоточившись на файлах, которые были изменены.

Возможности AIDE:

  • Поддержка различных атрибутов файлов, в том числе: тип файла, inode, uid, gid, разрешения, количество ссылок, mtime, ctime и atime.
  • Поддержка сжатия Gzip, SELinux, XAttrs, Posix ACL и атрибутов файловой системы.
  • Поддержка различных алгоритмов, включая, md5, sha1, sha256, sha512, rmd160, crc32 и т. д.
  • Отправка уведомлений по электронной почте.

В этой статье мы рассмотрим, как установить и использовать AIDE для обнаружения вторжений в CentOS 8.
Читать дальше →
Всего голосов 6: ↑4 и ↓2+4
Комментарии3

Вопросы к собеседованию Java-backend, Java core (60 вопросов)

Время на прочтение17 мин
Количество просмотров252K
Java*Карьера в IT-индустрии
Технотекст 2020
image

Добрый день! Представляю вашему вниманию список вопросов к собеседованию Java Backend, которые я оформлял на протяжении около 2х лет.

Вопросы разбиты по темам: core, collections, concurrency, io, exceptions, которые задают основные направления хода технического собеседования. Звездочками отмечен субъективный (с точки зрения автора) уровень сложности вопроса, в сноске спойлера — краткий ответ на вопрос. Ответ представляет для интервьювера правильное направления развития мысли кандидата.
Читать далее
Всего голосов 25: ↑17 и ↓8+15
Комментарии76

5 вопросов по SQL, которые часто задают дата-сайентистам на собеседованиях

Время на прочтение6 мин
Количество просмотров140K
Блог компании RUVDS.comSQL*Занимательные задачкиКарьера в IT-индустрии
Перевод
Хотя составление SQL-запросов — это не самое интересное в работе дата-сайентистов, хорошее понимание SQL чрезвычайно важно для того, кто хочет преуспеть в любом занятии, связанном с обработкой данных. Дело тут в том, что SQL — это не только SELECT, FROM и WHERE. Чем больше SQL-конструкций знает специалист — тем легче ему будет создавать запросы на получение из баз данных всего, что ему может понадобиться.



Автор статьи, перевод которой мы сегодня публикуем, говорит, что она направлена на решение двух задач:

  1. Изучение механизмов, которые выходят за пределы базового знания SQL.
  2. Рассмотрение нескольких практических задач по работе с SQL.

В статье рассмотрено 5 вопросов по SQL, взятых с Leetcode. Они представляют собой практические задачи, которые часто встречаются на собеседованиях.
Читать дальше →
Всего голосов 49: ↑32 и ↓17+34
Комментарии85

Охотимся на техники и тактики атакующих с использованием Prefetch-файлов

Время на прочтение4 мин
Количество просмотров11K
Блог компании F.A.C.C.T.IT-инфраструктура*Информационная безопасность*Исследования и прогнозы в IT*Реверс-инжиниринг*


Файлы трассировки, или Prefetch-файлы, появились в Windows еще со времен XP. С тех пор они помогали специалистам по цифровой криминалистике и реагированию на компьютерные инциденты находить следы запуска программ, в том числе вредоносных. Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин рассказывает, что можно найти с помощью Prefetch-файлов и как это сделать.
Читать дальше →
Всего голосов 4: ↑3 и ↓1+5
Комментарии0

WebAuthn в реальной жизни

Время на прочтение19 мин
Количество просмотров36K
Блог компании VKИнформационная безопасность*Веб-разработка*
Технотекст 2020
В сентябре 2019 года команда Почты Mail.ru поддержала технологию WebAuthn. Мы стали первым в мире сервисом электронной почты, который реализовал возможность входа в аккаунт с использованием электронных ключей вместо паролей. Сейчас эта возможность доступна всем нашим пользователям, вы можете привязать электронный ключ к своему аккаунту в настройках и после этого свободно использовать его для входа.



Мы уже писали новость об этом событии здесь, на Хабре. В этой статье я хочу рассказать подробнее о причинах внедрения WebAuthn в наши сервисы и о технических аспектах работы с этой технологией.
Читать дальше →
Всего голосов 44: ↑40 и ↓4+55
Комментарии49

[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет

Время на прочтение7 мин
Количество просмотров203K
Блог компании СЕРВЕР МОЛЛИнформационная безопасность*Системное администрирование*


(с) Вася Ложкин.


К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.


Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…


Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Читать дальше →
Всего голосов 86: ↑86 и ↓0+86
Комментарии88

Hack The Box — прохождение AI. SQLi в AРI Text To Sрeach, SSH Forwarding и RCE в JDWР

Время на прочтение3 мин
Количество просмотров3.6K
API*CTF*Информационная безопасность*
Туториал
image

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье познакомимся с преобразованием текста в голос и найдем SQL иньекцию в AРI, прокинем порт через SSH, а также выполним RCE с помощью протокола Java Debug Wire Protocol для удаленной отладки.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

  • PWN;
  • криптография (Crypto);
  • cетевые технологии (Network);
  • реверс (Reverse Engineering);
  • стеганография (Stegano);
  • поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии0

Kali Linux: оценка защищённости систем

Время на прочтение7 мин
Количество просмотров19K
Блог компании RUVDS.comНастройка Linux*Серверное администрирование*Системное администрирование*
Перевод
→ Часть 1. Kali Linux: политика безопасности, защита компьютеров и сетевых служб
→ Часть 2. Kali Linux: фильтрация трафика с помощью netfilter
→ Часть 3. Kali Linux: мониторинг и логирование
→ Часть 4. Kali Linux: упражнения по защите и мониторингу системы

Сегодня мы продолжаем публиковать перевод избранных глав книги «Kali Linux Revealed». Перед вами — первый раздел главы 11: «Применение Kali Linux для оценки защищённости информационных систем».


Читать дальше →
Всего голосов 19: ↑19 и ↓0+19
Комментарии1

Подделка серверных запросов, эксплуатация Blind SSRF

Время на прочтение7 мин
Количество просмотров9.9K
Информационная безопасность*Веб-разработка*
Туториал
Есть такая штука, называется SSRF. Про нее написано немало, но все же, я расскажу тебе вкратце.

Допустим, ты заходишь на сайт, заполняешь профиль и доходишь до пункта “загрузить аватарку”. А у тебя выбор — загрузить файл или указать ссылку.
Читать дальше →
Всего голосов 35: ↑35 и ↓0+35
Комментарии2

Шпаргалки по безопасности: Virtual Patching

Время на прочтение9 мин
Количество просмотров6.2K
Блог компании АкрибияИнформационная безопасность*
Темой нашей сегодняшней статьи будет Virtual Patching.

Virtual Patching — это слой политики безопасности, предназначенный для обнаружения и предотвращения эксплуатации эксплойта для известной уязвимости.
Читать дальше →
Всего голосов 6: ↑6 и ↓0+6
Комментарии0

10 практических рекомендаций по безопасности образов Docker. Часть 2

Время на прочтение6 мин
Количество просмотров7.4K
Блог компании OTUSИнформационная безопасность*
Перевод
Перевод статьи подготовлен специально для студентов курса «Безопасность Linux».


Читать первую часть

5. Не оставляйте чувствительные данные в образах Docker


Иногда при создании приложения внутри образа Docker вам нужны такие секретные данные, как приватный SSH-ключ для извлечения кода из приватного репозитория или токены для установки закрытых пакетов. Если вы копируете их в промежуточный контейнер Docker, они кэшируются в том слое, к которому они были добавлены, даже если вы удалите их позже. Эти токены и ключи должны храниться вне Dockerfile.
Читать дальше →
Всего голосов 13: ↑12 и ↓1+15
Комментарии4

2. Elastic stack: анализ security логов. Logstash

Время на прочтение7 мин
Количество просмотров22K
Блог компании TS SolutionСистемное администрирование*Информационная безопасность*IT-инфраструктура*Big Data*


В прошлой статье мы познакомились со стеком ELK, из каких программных продуктов он состоит. И первая задача с которой сталкивается инженер при работе с ELK стеком это отправление логов для хранения в elasticsearch для последующего анализа. Однако, это просто лишь на словах, elasticsearch хранит логи в виде документов с определенными полями и значениями, а значит инженер должен используя различные инструменты распарсить сообщение, которое отправляется с конечных систем. Сделать это можно несколькими способами — самому написать программу, которая по API будет добавлять документы в базу либо использовать уже готовые решения. В рамках данного курса мы будем рассматривать решение Logstash, которое является частью ELK stack. Мы посмотрим как можно отправить логи с конечных систем в Logstash, а затем будем настраивать конфигурационный файл для парсинга и перенаправления в базу данных Elasticsearch. Для этого в качестве входящей системы берем логи с межсетевого экрана Check Point.
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии0

DDoS-атака через социальную инженерию

Время на прочтение6 мин
Количество просмотров17K
Блог компании VDSina.ru*nix*Информационная безопасность*Серверное администрирование*Хостинг


TL;DR Атакующий подменяет source ip на адрес вашего сервера и триггерит автоматические абузы. В результате клиента банят на хостинге за вредоносную активность, которой не было.

Комментарий от vdsina.ru:
Эта статья написана нашим клиентом, который перешёл к нам от крупного хостера после DDoS-атаки и любезно согласился поделиться этой историей.

Расскажу про удивительно коварный способ DDoS-атак, с которым я раньше не сталкивался. Коварство заключается в том, что на сам сервер жертвы не выполняется никакой атаки. Вместо этого, злоумышленник провоцирует срабатывание сторонних систем обнаружения атак, заставляя генерировать совершенно настоящие жалобы (в простонародье «абузы») на ваш сервер.

Со стороны хостера это выглядит так, будто вы занимаетесь вредоносной активностью, хотя на самом деле это неправда. Оказалось, что многие крупные хостинг-провайдеры не готовы глубоко разбираться в причинах проблемы и предпочтут вас просто забанить за нарушение правил.

В статье подробно разбирается этот вид атаки в реальном кейсе.
Читать дальше →
Всего голосов 27: ↑26 и ↓1+34
Комментарии16
НазадСюда
1
234

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr