Pull to refresh
38
0

Практическая информационная безопасность

Send message

что-то одноглазых среди ваc не видно)

Перезвоните позже, я на математике (с)

Напишите, пожалуйста, на info@nemesida-waf.ru с той почты, которую указывали в форме заявки, будем разбираться

Спасибо, что обратили внимание, проводились тех. работы

Потому, что уязвимость в Spring Framework, но для эксплуатации требуется, чтобы приложение работало на Tomcat. При этом они не исключают, что можно выполнить эксплуатацию и без запуска под Tomcat:

The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.

И пылесос с ИИ, который лучше сосет. Как и написали, готовы показывать эти цифры на боевом трафике.

Спасибо, free-версия постоянной связи не требует

Используем ML в Nemesida WAF для выявления атак - по сравнению с сигнатурным анализом снизили до 0.01% ложные срабатывания, повысили до 99.99% точность выявления. Технические подробности можно почитать здесь:

Да, вы как-то зацепились за недостаток настройки почтового сервера, но с этим никто не спорил. Ну не через почту, как-то по другому пользователь получит эту ссылку, не все каналы получится контролировать. В нашем случае почта настроена так, что скомпрометированной учетной записью нельзя будет воспользоваться за периметром корп. сети, но у многих smtp/imap/wui может торчать наружу.

В общем, почта в данном примере — один из каналов, а суть статьи — в тех. разборе техники фишинга и веб-сервере, с которым будет взаимодействовать жертва. Ну и, конечно, еще раз напомнить потенциальным жертвам, что не нужно поддаваться панике и кликать на первое любезно предложенное атакующим решение (на второе тоже не нужно), а сомнительные письма лучше показать админам или безопасникам. Про настройку stmpd все по делу написали.
Т.е. пользователь, который переходит на сомнительный сайт (сам факт перехода на сторонний сомнительный ресурс) и пытается авторизоваться (от кого бы письмо не пришло), не главное из зол?
Не адмиистратор, а пользователь, который не подозревает, что выполняет аутентификацию в фейковой WUI
Все верно, нельзя быть уверенным, что в таблице будет именно 4 поля. Но никто не мешает использовать «order by» для определения их количества. Начните с команды, допустим, order by 60 и на каждой итерации проверки уменьшайте значение вдвое, пока веб-приложение не начнет нормально реагировать на запрос. Можете посмотреть наглядно как это происходит в самой статье, раскрыв спойлер «Проверка с помощью order by».
Что касается типов данных, то вы также правы, но отчасти. Даже если в каком-то поле используется определенный тип данных, то ничто не мешает использовать во всех полях значение NULL, суть которого кроется в его названии. Более подробно про это значение можете ознакомиться в статье на Википедии
И да, верно подсказали, что зачастую поиск и эксплуатация SQL-инъекций — это как унылый перебор таблиц, если union based используется, так и не менее унылый посимвольный перебор для дампа информации из бд в случае blind SQLi.
Если говорить про MySQL или MariaDB, то для определения структуры БД, то есть, получения списка таблиц, мы можем обратиться к специальной БД information_schema. Она доступна по умолчанию начиная с версии MySQL 5+ и вряд ли вы уже встретите БД ниже этой версии. Так вот, для определения структуры БД используем в нашем запросе:
union select null,null,table_name,null from information_schema.tables --

и в ответе веб-приложения мы увидим список всех таблиц, в том числе и системных. Чтобы не отображать системные таблицы, которые редко будут представлять интерес, можно видоизменить запрос:
union select null,null,table_name,null FROM information_schema.tables WHERE table_schema=database() --

В таком случае будут показаны только те таблицы, которые присутствуют в текущей базе данных. Стоит также отметить, что для разных СУБД синтаксис будет отличаться, но так или иначе везде можно встретить information_schema или его аналог для просмотра структуры всех БД.
В конце концов можно воспользоваться специализированными инструментами типа SQLmap
Все нормально!

В 2017 мы только приступили к разработке Nemesida WAF, на тот момент действительно, были «детские болячки». Если на самом деле интересна точность его работы в 2021 году, можете почитать в статье Я твой WAF payload шатал.
Прямо таки обс*рали? Можно ссылку?
Хорошая и полезная памятка, но и она не гарантирует абсолютной защиты. В этом абзаце мы с юмором подошли к вопросу о том, что универсального способа защиты от подобного рода уязвимостей не существует. Это подтверждается OWASP Top 10, где инъекции до сих пор находятся на позиции А1. Программисты, разрабатывая веб-приложения, могут использовать потенциально небезопасный сторонний код или модули. Поэтому дополнительно необходимо проводить регулярный аудит веб-приложения и использовать средства защиты, например, WAF. Последние, кстати, довольно хорошо себя показывают, когда дело доходит до защиты веб-приложений от подобного рода атак.

Перехватите хендшейк с RPi и брутите его на здоровье где угодно. Raspberry Pi рассматривается в контексте мобильного перехватчика.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity