Как провести анализ защищенности веб-приложения: Александр Герасимов рассказал о лучших практиках в статье на Ciso club.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
CISOCLUB
Анализ защищенности веб-приложений: лучшие практики и главные выводы | CISOCLUB
Анализ защищенности проводят для выявления всевозможных уязвимостей, мошеннических схем, каналов утечки конфиденциальной информации и других ошибок, способных привести к несанкционированному доступу к административным функциям веб-приложений. По сути — это…
❤🔥2👍2🔥2👏2
Всем привет! Лучший доклад с CISO форума уже доступен в записи → https://www.youtube.com/watch?v=PvMaOg6-9F8
Инджой!
Инджой!
YouTube
CISO форум: Обзор продуктов на базе открытого кода
— Open Source ожидание vs реальность;
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
🔥10
Сбор security логов и мониторинг событий в Linux.
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
👍4❤3😁1
Продолжаем рассказывать о проектах обезличено. Сегодня история о том, как клиентоориентированность автодилера сгубила.
Если нужна консультация, пентест или тренинг по социальной инженерии — пишите на почту info@awillix.ru
Если нужна консультация, пентест или тренинг по социальной инженерии — пишите на почту info@awillix.ru
🔥9❤2❤🔥1👍1😁1😱1
Как сделать аудит безопасности мобильного приложения? Продолжаем рассказывать про свой опыт на страницах Ciso club.
~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.
Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/
~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.
Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/
CISOCLUB
Аудит безопасности мобильных приложений: особенности, инструменты и лучшие практики | CISOCLUB
Цель аудита безопасности мобильных приложений Есть две ключевых цели, выделенных в стандарте OWASP ASVS. ASVS – это список требований или тестов для проверки безопасности приложений, которым могут воспользоваться архитекторы, разработчики, тестировщики, специалисты…
🔥4❤2👍2✍1❤🔥1👏1
Уязвимости в функциях загрузки файлов очень распространены.
При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.
Минимальный набор проверок File Upload:
→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists
→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из noscript.php в noscript.gif.php
→ Неправильная реализация Regex: например, некорректное регулярное выражение
→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.
→ Приложение позволяет загружать файлы .noscript?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.
→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с
→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например
→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив
→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.
→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например,
→ Обход каталога: попробуйте использовать вместо имени файла
Полезные ссылки:
- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload
Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!
При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.
Минимальный набор проверок File Upload:
→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists
→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из noscript.php в noscript.gif.php
→ Неправильная реализация Regex: например, некорректное регулярное выражение
".png|.jpeg" можно обойти с помощью следующей нагрузки bypasspng.php.→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.
→ Приложение позволяет загружать файлы .noscript?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.
→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с
"Content-type: application/x-php" на "Content-type: image/gif"
→ Добавьте magic байт в файл: магические байты служат подписями, которые используются веб-сервером для определения типа загружаемого файла. Например, добавив GIF87a в начало скрипта, сервер будет считать его файлом GIF. Например : Filename='1.php' , filetype: image/gif и начните содержимое файла с GIF29a
→ Попробуйте уменьшить размер файла: если используется ограничение размера файла, можно загрузить меньший скрипт для удаленного выполнения кода.→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например
.phtml, .shtml, .asa, .cer, .asax, .swf, или .xap.→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив
%00 (HTML) или \x00 (hex) в конец имени файла. Например: php-reverse-shell.php%00.gif
→ Добавьте специальные символы перед расширением файла: на старых веб-серверах, добавление специальных символов, таких как ;%$&, сразу после имени файла, например, shell;.php, может помочь обойти белые списки расширений файлов.→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.
→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например,
shell.aspx станет SHELL~1.ASP
→ Попробуйте добавить нейтральные символы после имени файла: специальные символы, такие как пробелы или точки в Windows, или точки и слэши в Linux в конце имени файла, будут автоматически удалены (например, shell.aspx … … . . .. .., file.asp.).→ Обход каталога: попробуйте использовать вместо имени файла
../../../../etc/passwd и подобные, возможно, вы наткнетесь на новую уязвимостьПолезные ссылки:
- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload
Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!
👍13❤2🔥1👨💻1
Внимательный подписчик узнает в этой колонке наш недавний вебинар. А всем, кто его пропустил, рекомендуем прочитать выдержку в «Хакер» 👇
https://xakep.ru/2023/05/17/ideal-pentest/
https://xakep.ru/2023/05/17/ideal-pentest/
xakep.ru
Идеальный пентест. Как довести заказчика до экстаза
Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не…
👍4🔥2❤🔥1
Forwarded from Хакер — Xakep.RU
Идеальный пентест. Как довести заказчика до экстаза
Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.
https://xakep.ru/2023/05/17/ideal-pentest/
Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.
https://xakep.ru/2023/05/17/ideal-pentest/
🔥5👍3❤🔥2👎2❤1
Туллинг для специалистов по безопасности контейнеров
В современной разработке контейнеризация радикально изменила способ, которым мы создаем, развертываем и управляем приложениями. Но с этой новой парадигмой приходит и критическая необходимость в безопасности контейнеров.
Вашему вниманию предлагается несколько категорий и инструментов, которые помогут поддержать уровень защищенности на приемлемом уровне (только free / opensource):
Container image scanning:
- Clair
- Trivy
- Anchore Engine
- Grype
Container orchestration:
- Kubernetes
- Apache Mesos
- Nomad
Runtime protection:
- Tracee
- Sysdig
- Falco
- KuberArmor
Configuration management:
- Ansible
- Chef
- Puppet
Vulnerability management:
- Greenbone
- DefectDojo
Container firewall:
- Calico
- Cilium
- Weave Net
Security information and event management (SIEM):
- ELK
- Wazuh
Identity and access management (IAM):
- Keycloak
- OpenIAM
Continuous integration and deployment (CI/CD):
- Jenkins
- GitLab CI/CD
- Travis CI
- GitHub Actions
- Bamboo
Incident response:
- TheHive
Kubernetes Security:
- Aqua Security
- Sysdig Secure
- Twistlock
В современной разработке контейнеризация радикально изменила способ, которым мы создаем, развертываем и управляем приложениями. Но с этой новой парадигмой приходит и критическая необходимость в безопасности контейнеров.
Вашему вниманию предлагается несколько категорий и инструментов, которые помогут поддержать уровень защищенности на приемлемом уровне (только free / opensource):
Container image scanning:
- Clair
- Trivy
- Anchore Engine
- Grype
Container orchestration:
- Kubernetes
- Apache Mesos
- Nomad
Runtime protection:
- Tracee
- Sysdig
- Falco
- KuberArmor
Configuration management:
- Ansible
- Chef
- Puppet
Vulnerability management:
- Greenbone
- DefectDojo
Container firewall:
- Calico
- Cilium
- Weave Net
Security information and event management (SIEM):
- ELK
- Wazuh
Identity and access management (IAM):
- Keycloak
- OpenIAM
Continuous integration and deployment (CI/CD):
- Jenkins
- GitLab CI/CD
- Travis CI
- GitHub Actions
- Bamboo
Incident response:
- TheHive
Kubernetes Security:
- Aqua Security
- Sysdig Secure
- Twistlock
🔥7❤🔥2👍2
«Крупнейшая ИТ-компания «Маленький софт» получила информацию о том, что в ближайшее время ее инфраструктура будет атакована известной группировкой Всемирная ассоциация отпетых негодяев (ВАОН), АПТ-группой, которая уже прославилась рядом громких взломов.
Директор компании, Гилл Бейтс, решил обратиться к команде Авилликс Файт Клаб, чтобы они провели расследование, вычислили преступников и помогли избежать фатальных последствий, ведь в случае удачной атаки пострадает не только Маленький Софт, но и их клиенты» — так начинается сюжет поистине уникальной приключенческой настольной ролевой игры с рабочим названием «Подземелье и кибербезопасность».
Мы придумали сюжет, персонажей и квесты в тематике инфобеза совместно с несравненным главредом портала Cyber Мedia Валерием Ивановым (АКА Гейммастером).
Мы уже обкатали игру на сотрудниках и друзьях Awillix. Планируем развивать ее. А вы бы хотели сыграть?
Директор компании, Гилл Бейтс, решил обратиться к команде Авилликс Файт Клаб, чтобы они провели расследование, вычислили преступников и помогли избежать фатальных последствий, ведь в случае удачной атаки пострадает не только Маленький Софт, но и их клиенты» — так начинается сюжет поистине уникальной приключенческой настольной ролевой игры с рабочим названием «Подземелье и кибербезопасность».
Мы придумали сюжет, персонажей и квесты в тематике инфобеза совместно с несравненным главредом портала Cyber Мedia Валерием Ивановым (АКА Гейммастером).
Мы уже обкатали игру на сотрудниках и друзьях Awillix. Планируем развивать ее. А вы бы хотели сыграть?
👍10🔥2❤🔥1
Вы бы хотели сыграть в «Подземелье кибербезопасности»?
Anonymous Poll
60%
Да, зовите!
27%
Я бы на это посмотрел 😏
12%
Нет 🤓 мне чуждо веселье
👍2⚡1🔥1
Media is too big
VIEW IN TELEGRAM
Мы приняли участие, наверное, в самом забавном, открытом и смелом подкасте про безопасную разработку во всей истории кибербеза. Ни серьезных щей, ни галстуков, ни цензуры. Голый профессиональный опыт, кейсы и самоирония.
Видео выйдет 5 июня на этом канале, подписывайтесь, чтобы не пропустить!
Видео выйдет 5 июня на этом канале, подписывайтесь, чтобы не пропустить!
🔥8❤1