Как провести анализ защищенности веб-приложения: Александр Герасимов рассказал о лучших практиках в статье на Ciso club.

~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?

Читайте → абсолютно безопасная ссылка.

Всем привет! Лучший доклад с CISO форума уже доступен в записи → https://www.youtube.com/watch?v=PvMaOg6-9F8

Инджой!

Сбор security логов и мониторинг событий в Linux.

Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.

System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.

Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.

Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.

Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.

Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.

А как вы собираете security события с *nix хостов?

Как сделать аудит безопасности мобильного приложения? Продолжаем рассказывать про свой опыт на страницах Ciso club.

~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.

Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/

Готовим кое-что грандиозное 😏 скоро анонсируем 👉👈 stay tuned !

Уязвимости в функциях загрузки файлов очень распространены.

При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.

Минимальный набор проверок File Upload:

→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists

→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из noscript.php в noscript.gif.php

→ Неправильная реализация Regex: например, некорректное регулярное выражение ".png|.jpeg" можно обойти с помощью следующей нагрузки bypasspng.php.

→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.

→ Приложение позволяет загружать файлы .noscript?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.

→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с "Content-type: application/x-php" на "Content-type: image/gif"

→ Добавьте magic байт в файл: магические байты служат подписями, которые используются веб-сервером для определения типа загружаемого файла. Например, добавив GIF87a в начало скрипта, сервер будет считать его файлом GIF. Например : Filename='1.php' , filetype: image/gif и начните содержимое файла с GIF29a

→ Попробуйте уменьшить размер файла: если используется ограничение размера файла, можно загрузить меньший скрипт для удаленного выполнения кода.

→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например .phtml, .shtml, .asa, .cer, .asax, .swf, или .xap.

→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив %00 (HTML) или \x00 (hex) в конец имени файла. Например: php-reverse-shell.php%00.gif

→ Добавьте специальные символы перед расширением файла: на старых веб-серверах, добавление специальных символов, таких как ;%$&, сразу после имени файла, например, shell;.php, может помочь обойти белые списки расширений файлов.

→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.

→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например, shell.aspx станет SHELL~1.ASP

→ Попробуйте добавить нейтральные символы после имени файла: специальные символы, такие как пробелы или точки в Windows, или точки и слэши в Linux в конце имени файла, будут автоматически удалены (например, shell.aspx … … . . .. .., file.asp.).

→ Обход каталога: попробуйте использовать вместо имени файла ../../../../etc/passwd и подобные, возможно, вы наткнетесь на новую уязвимость

Полезные ссылки:

- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload

Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!

Внимательный подписчик узнает в этой колонке наш недавний вебинар. А всем, кто его пропустил, рекомендуем прочитать выдержку в «Хакер» 👇

https://xakep.ru/2023/05/17/ideal-pentest/

Идеальный пентест. Как довести заказчика до экстаза

Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.

https://xakep.ru/2023/05/17/ideal-pentest/

Туллинг для специалистов по безопасности контейнеров

В современной разработке контейнеризация радикально изменила способ, которым мы создаем, развертываем и управляем приложениями. Но с этой новой парадигмой приходит и критическая необходимость в безопасности контейнеров.

Вашему вниманию предлагается несколько категорий и инструментов, которые помогут поддержать уровень защищенности на приемлемом уровне (только free / opensource):

Container image scanning:

- Clair
- Trivy
- Anchore Engine
- Grype

Container orchestration:

- Kubernetes
- Apache Mesos
- Nomad

Runtime protection:

- Tracee
- Sysdig
- Falco
- KuberArmor

Configuration management:

- Ansible
- Chef
- Puppet

Vulnerability management:

- Greenbone
- DefectDojo

Container firewall:

- Calico
- Cilium
- Weave Net

Security information and event management (SIEM):

- ELK
- Wazuh

Identity and access management (IAM):

- Keycloak
- OpenIAM

Continuous integration and deployment (CI/CD):

- Jenkins
- GitLab CI/CD
- Travis CI
- GitHub Actions
- Bamboo

Incident response:

- TheHive

Kubernetes Security:

- Aqua Security
- Sysdig Secure
- Twistlock