Этот продукт решит одну из важнейших задач в управлении API – формирование актуальной и полной структуры API на основании реального трафика. Результат будет представляен в привычном swagger виде.
Благодаря построенной структуре можно понять, через какие API передается чувствительная информация, например, персональные данные и многое другое.
А что же такое прозрачные, неиспользуемые и теневые API?
Скорее читай нашу новую статью и погружайся в мир API вместе с командой Вебмониторэкс
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👏2
Forwarded from Cyber Media
От каких угроз чаще страдают владельцы веб-приложений? Как оценить возможный ущерб от атак на API? Мнением с читателями Cyber Media поделился Лев Палей, директор по информационной безопасности «Вебмониторэкс».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👏4
❗️ Apache CloudStack CVE-2024-29006 / CVE-2024-29007 / CVE-2024-29008 ❗️
Эти уязвимости могут позволить злоумышленникам обойти аутентификацию, перенаправлять трафик и потенциально получить контроль над базовой инфраструктурой.
⚡️ CVE-2024-29006 (Медиум): Синтаксический анализ HTTP-заголовка x-forwarded-for на сервере управления CloudStack может приводить к тому, что он регистрируется в качестве IP-адреса источника запроса API. Это может вызвать обход механизмов аутентификации и другие проблемы в работе.
⚡️ CVE-2024-29007 (Медиум): Во время загрузки шаблона или ISO, сервер управления CloudStack и виртуальная машина вторичного хранилища (SSVM) могут быть перенаправлены на выполнение запросов к ограниченным или случайным ресурсам из-за вредоносных HTTP-перенаправлений, предоставленных внешними серверами.
⚡️ CVE-2024-29008 (Критикал): Уязвимость в функции extraconfig виртуальных машин CloudStack, которой может злоупотреблять пользователь с привилегиями на развертывание экземпляра виртуальной машины или настройку параметров уже развернутого экземпляра. В среде CloudStack на основе KVM злоумышленник сможет подключиться к хост-устройствам виртуальной машины, таких как диски хранения, а также устройствам PCI и USB. Это может привести к получению доступа к сети и ресурсам инфраструктуры хранения.
✅ Рекомендуем обновить CloudStack до версии 4.18.1.1 или 4.19.0.1.
Эти уязвимости могут позволить злоумышленникам обойти аутентификацию, перенаправлять трафик и потенциально получить контроль над базовой инфраструктурой.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
Эта уязвимость может привести к возможности чтения файлов в операционной системе из-за недостаточного экранирования сообщений об ошибках, содержащих пользовательский ввод.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🙉3🥱1
Подробно рассмотрим обеспечение безопасности веб-приложений в наиболее атакуемых отраслях (телекоммуникационные компании и интернет платформы).
Покажем, как платформа «Вебмониторэкс» решает задачи по защите веб-приложений и API.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5⚡1❤1
Скорее читай об изменениях, произошедших в OWASP API Security Top 10 и рекомендациях по минимизации новых рисков.
Тему обеспечения безопасности API в современных условиях мы подробно раскроем на нашем вебинаре 17 апреля в 12:00 (мск).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2
Эксплоит работает без авторизации и этот API-метод не выключается. Патча со стороны вендора еще нет. В логах искать /api внутри тела запроса XML <ping command тэги.
Уязвимость настолько критична для некоторых компаний, что GitHub отслеживает добавление POC и своевременно удаляет информацию о них.
Детали от вендора:
https://security.paloaltonetworks.com/CVE-2024-3400
Детали от CISA: https://www.cisa.gov/news-events/alerts/2024/04/12/palo-alto-networks-releases-guidance-vulnerability-pan-os-cve-2024-3400
Please open Telegram to view this post
VIEW IN TELEGRAM
Palo Alto Networks Product Security Assurance
CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect
A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurat...
⚡6🔥1😢1💩1
17 апреля в 12:00 (МСК)
Тема: Защита API. Аналитика атак за 2023 год и практика защиты от современных угроз.
Расскажем об изменении ландшафта угроз и отражении этих изменений в OWASP API Security.
Подробно рассмотрим обеспечение безопасности веб-приложений в наиболее атакуемых отраслях (телекоммуникационные компании и интернет платформы).
Покажем, как платформа «Вебмониторэкс» решает задачи по защите веб-приложений и API.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2
Forwarded from Вебмониторэкс 🦾
В новом выпуск журнала «Information Security» Андрей Усенюк, руководитель по информационной безопасности Авито, рассказал, как выстроить эффективную инфраструктуру безопасности и при чем тут Web Application Firewall, а также о том, как выбрать и “приручить” свой WAF, чтобы снизить риски атак и утечек данных.
Андрей так же поделился опытом выбора подходящего вендора:
Из всех продуктов, которые мы посмотрели, у компании Вебмониторэкс показатель ложных срабатываний был на минимальном уровне, потому что в их платформе используется хитрая интеллектуальная система постаналитики, которая позволяет отсеивать большую часть ложных срабатываний.
WAF, входящий в состав платформы "Вебмониторэкс", оказался оптимальным решением и с точки зрения функциональности, и с точки зрения нефункциональных требований производительности, и с точки зрения минимального количества ложных срабатываний, и с точки зрения стоимости.
С WAF компании Вебмониторэкс у нас порядка всего лишь 5–6 фолзов в неделю при трафике 9 млн запросов в минуту – это очень хороший результат. По данной причине это одно из немногих решений такого класса, которое вообще можем позволить себе использовать. И я лично, и ребята из моей команды довольны поддержкой компании Вебмониторэкс, которая всегда оперативно реагирует на вопросы, учитывает пожелания и погружает нас в собственные планы, чтобы мы как клиенты понимали, куда они планируют развивать свою платформу, в какие сроки и как в этих планах учитываются наши потребности.
Читай интервью по ссылке (стр. 16)
#Вебмониторэкс #Авито
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👏3❤2
На данный момент в платформе «Вебмониторэкс» реализована поддержка авторизации SAML SSO. Мы рассматриваем варианты расширения опций авторизации SSO для оптимизации доступа к управлению платформой. Поэтому приглашаем наших подписчиков принять участие в коротком опросе о предпочтительных технологиях. Ответ займет всего 1 минуту и будет принят до 30 апреля включительно.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🆒4
В плагине контактных форм Forminator для WordPress обнаружен ряд уязвимостей, позволяющий злоумышленникам загружать файлы на сервер без ограничений, компрометировать конфиденциальные данные и вызывать сбои в работе веб-сервисов. Более 500 000 веб-сайтов могут быть подвержены вредоносным атакам.
👉
👉
👉
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5🔥5👍3👨💻3
API есть?.. А если найду?
Найти все API — важная задача в процессе выстраивания их успешной защиты. Поэтому, имея сведения о структуре своих API, вы уже окажетесь на шаг впереди злоумышленников. А что делать с этой информацией?
Компания Вебмониторэкс ответит на этот и другие вопросы на своем вебинаре 16 мая. Теорию подкрепит практический кейс заказчика.
Начало в 12:00.
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы по защите API. От зрелости к эффективности: Знать. Защищать. Не допускать.
- Реализация на платформе «Вебмониторэкс»: компоненты для защиты и управления API.
Ведущий вебинара — Лев Палей, CISO Вебмониторэкс.
Специальный гость — Кирилл Ильин, CISO «СберАвто».
Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Кому полезно:
- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security
Почему полезно:
- Узнаете о современной концепции управления API
- Увидите пример ее реализации на платформе «Вебмониторэкс»
- Услышите от CISO об успешном опыте защиты и управления API на примере компании «СберАвто»
Регистрируйтесь по ссылке. Вебинар про защиту API 16 мая в 12:00
Найти все API — важная задача в процессе выстраивания их успешной защиты. Поэтому, имея сведения о структуре своих API, вы уже окажетесь на шаг впереди злоумышленников. А что делать с этой информацией?
Компания Вебмониторэкс ответит на этот и другие вопросы на своем вебинаре 16 мая. Теорию подкрепит практический кейс заказчика.
Начало в 12:00.
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы по защите API. От зрелости к эффективности: Знать. Защищать. Не допускать.
- Реализация на платформе «Вебмониторэкс»: компоненты для защиты и управления API.
Ведущий вебинара — Лев Палей, CISO Вебмониторэкс.
Специальный гость — Кирилл Ильин, CISO «СберАвто».
Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Кому полезно:
- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security
Почему полезно:
- Узнаете о современной концепции управления API
- Увидите пример ее реализации на платформе «Вебмониторэкс»
- Услышите от CISO об успешном опыте защиты и управления API на примере компании «СберАвто»
Регистрируйтесь по ссылке. Вебинар про защиту API 16 мая в 12:00
🔥8👍2
Специальный гость — Кирилл Ильин, CISO «СберАвто». Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Присоединяйтесь к нам, чтобы узнать о последних тенденциях в этой области и обсудить лучшие практики.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Управление API или API Security? Что это такое?
В сфере кибербезопасности существует постоянная гонка между атакующими и защитниками. Этот процесс можно сравнить с визуальным процессом гонки, где основная цель - это скорость. Начинается все с фазы...
🔥7👍3❤1
Продукт от компании Вебмониторэкс обеспечил гибкое и эффективное удовлетворение потребностей компании «СберАвто» в защите её основного бизнеса, без изменения существующей инфраструктуры публикации приложений и процессов её поддержки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3❤2
Атаки на веб-приложения в 2023 году ⚡️
Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. В статье на Anti-Malware рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей платформы «Вебмониторэкс» в 2023 году, по типам, а также о способах защиты от них.
➡️ Читайте статью по ссылке.
Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. В статье на Anti-Malware рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей платформы «Вебмониторэкс» в 2023 году, по типам, а также о способах защиты от них.
Please open Telegram to view this post
VIEW IN TELEGRAM
Anti-Malware
Атаки на веб-приложения в 2023 году: анализ действий злоумышленников
Компании из всех отраслей ощущают на себе рост числа атак на свои веб-приложения. Рассказываем о распределении атак на телеком-компании и интернет-площадки, зафиксированных среди пользователей
⚡4👍2❤1
Специальный гость — Кирилл Ильин, CISO «СберАвто». Он честно и открыто расскажет о задачах, практике и результатах защиты API в своей компании.
Присоединяйтесь к нам, чтобы узнать о последних тенденциях в этой области и обсудить лучшие практики.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mts-link.ru
Управление API. Кейс реализации на платформе «Вебмониторэкс»
Ведущий вебинара - Лев Палей, CISO Вебмониторэкс.
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы…
О чем расскажем на вебинаре:
- На что обратить внимание при обеспечении безопасности API в современных условиях.
- Изменения в инфраструктуре. Что дальше?
- Защита и управление API. Почему это важно.
- Подходы…
🔥3❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс»
Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших...
🔥7👍2❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2
В наше время все больше компаний предоставляют свои возможности через API. Задача обеспечения безопасности REST API может быть менее очевидной, но важно помнить, что REST API используется везде, где пользователю сайта или приложения нужно предоставить данные с сервера.
Компания Вебмониторэкс приглашает на вебинар 30 мая в 12:00, посвященный превентивной защите REST API.
Ведущие вебинара — Вадим Шепелев, инженер по информационной безопасности Вебмониторэкс и Лев Палей, CISO Вебмониторэкс.
О чем расскажем на вебинаре:
- Польза от спецификации API и как её собрать на основании трафика
- Какие типы уязвимостей это позволит обнаружить
- Как уменьшить поверхность атаки при помощи «ПроAPI Защита»
Кому полезно:
- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security
Почему полезно:
- Актуальная проблема защиты REST API обусловлена участившимися атаками на веб-ресурсы российских компаний
Регистрируйтесь по ссылке.
Компания Вебмониторэкс приглашает на вебинар 30 мая в 12:00, посвященный превентивной защите REST API.
Ведущие вебинара — Вадим Шепелев, инженер по информационной безопасности Вебмониторэкс и Лев Палей, CISO Вебмониторэкс.
О чем расскажем на вебинаре:
- Польза от спецификации API и как её собрать на основании трафика
- Какие типы уязвимостей это позволит обнаружить
- Как уменьшить поверхность атаки при помощи «ПроAPI Защита»
Кому полезно:
- Специалистам, участвующим в разработке критичных для бизнеса веб-приложений
- Руководителям подразделений по информационной безопасности
- Специалистам Application Security
Почему полезно:
- Актуальная проблема защиты REST API обусловлена участившимися атаками на веб-ресурсы российских компаний
Регистрируйтесь по ссылке.
🔥4❤1
Эти новые функции уже доступны для всех пользователей продукта «Структура API». Для подключения свяжитесь, пожалуйста, с нашей службой поддержки.
Если вы еще не используете продукт «Структура API», но хотите его протестировать, обращайтесь на: sales@webmonitorx.ru.
С уважением, команда продукта «Вебмониторэкс»
Please open Telegram to view this post
VIEW IN TELEGRAM
docs.webmonitorx.ru
Документация Вебмониторэкс - Работа со структурой API
Данная инструкция описывает работу со структурой API, построенной ПроAPI Структура.
❤4🔥1
Обнаружена уязвимость в недостаточной проверке входных данных, которая ведет к SQL-инъекции.
Затронутые версии: 6.0.0-6.0.27, 6.4.0-6.4.12, 7.0.0alpha1-7.0.0beta1.
Устранение: рекомендуем обновится до соответствующей версии.
Обнаружена уязвимость в использовании symlinks при использовании hooks. Эксплуатация данной уязвимости ведет к удаленному выполнению кода (RCE).
Устранение: git config --global core.symlinks false
Обновите Zabbix до безопасной версии, чтобы защититься от SQL-инъекций.
Настройте Git с помощью команды git config --global core.symlinks false, чтобы предотвратить RCE через хуки.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2👌2❤1