Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

DataLineИнформационная безопасностьРазработка веб-сайтовОблачные сервисы


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры639
Комментарии 0

Обзор систем сборки SCons и Waf

Разработка веб-сайтов
image

Я — разработчик и в качестве основного языка последние пару лет использую Python. Однако время от времени появляются задачи, когда нужно писать на C/C++. Существуют разные системы, с помощью которых можно собирать такие проекты. Классикой являются make и autotools. Я же хочу заострить внимание на таких альтернативах, как SCons и Waf. Целью поста не является доказательство того, что они лучше или хуже make. Хочется просто провести короткий экскурс, чтобы стало приблизительно понятно что это, зачем это и как с этим начать работать.

Чтобы разговор был предметным, предлагаю рассмотреть системы на практике. Я решил использовать простенький проект, в котором необходимы типовые, но не всегда тривиальные задачи сборки. Будем делать простенький web-сервер, цель которого: выдавать статичную страницу, которая готовится в отдельном html файле, но которая в итоге должна быть встроена в исполняемый файл. То есть на стадии сборки по html-коду должен быть собран исходник с си-кодом. В качестве серверной библиотеки используем mongoose, исходники которого положим внутрь проекта и будем собирать их в статическую библиотеку, которую в последствии будем прилинковывать к исполняемому файлу. Думаю, задача понятна.

Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры13.4K
Комментарии 9

[Перевод] Построение документов Latex с помощью Waf

LaTeX
Из песочницы
Это исправленный и дополненный перевод статьи о многофункциональной системе сборки Waf.

С самого начала использования сервиса Dropbox для хранения моих научных исследований и проектов я стал искать решение, которое позволит мне строить документы LaTeX без засорения каталога с документом. В обычных условиях я просто игнорирую такие файлы, но под Dropbox, каждый раз после построения документа файлы начинают синхронизироваться с сервером. Так как в Dropbox нет возможности указать файлы для игнорирования (если кто-то из компании читает это сообщение, пожалуйста, сделайте файл .dropboxignore), то я начал искать другое решение.
Читать дальше →
Всего голосов 9: ↑6 и ↓3 +3
Просмотры2.3K
Комментарии 1

Как работает WebsiteDefender

Информационная безопасность
Несколько недель назад заметил в плагине для Wordpress wp security scan рекламу другого сервиса websitedefender для защиты сайтов. На сайте кроме стандартной маркетинговой шелухи толком ничего полезного не нашел, но несколько заинтриговали слова о революционно ином способе работы этого сервиса, отличающемся от уже существующих. Гугл ничего полезного не выдал о том, как же все-таки работает этот сервис.

Исторически так сложилось, что большинство считает достаточным защиту только от атак извне — SQL, XSS-инъекций, LFI\RFI, CSRF и т.п, забывая про атаки на файлы веб-приложений. Те же WAF, такие как mod_security, phpids — яркий тому пример.

Мне это кажется не очень справледливым, поэтому я захотел рассмотреть возможности сервиса WebsiteDefender, который по описанию должен уметь защищать файлы веб-приложений от модификаций.

Предлагается скачать некий агент – php-file, в котором целый набор функций для шифрования и… конструкция
$success = @eval('?>'.$request->params);

Вопрос, что же делает этот php код, возник еще до его скачивания, а после беглого просмотра и нахождения такого интересного арсенала появляется еще больше вопросов. Хотя компания вроде бы довольно известная — Acunetix, ставить кота в мешке себе на сайт вряд ли кому захочется.

Ответ поддержки на запрос предоставить информацию, что делает их код, и результаты своего исследования работы сервиса под катом.
Читать дальше →
Всего голосов 54: ↑54 и ↓0 +54
Просмотры1.8K
Комментарии 24

Http Parameter Contamination (more)

Информационная безопасность
Продолжая исследование атаки Http Parameter Contamination (HPC), мною был проведен примитивный фаззинг, в том числе в тех средах, которые не были затронуты Ivan Markovic в его оригинальном исследовании. Стоит сразу отметить, что ничего принципиально нового найдено не было. С другой стороны была выявлена интересная особенность интерпретатора Python, а также, получен боевой сплоит на отказ в обслуживании в отношении сервера Tomcat :) Но по последнему, пока non disclosure.

Полученные результаты представлены на картинке ниже.
Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Просмотры1.5K
Комментарии 10

Началась регистрация на онлайн-конкурсы PHDays 2012

Positive TechnologiesИнформационная безопасность

Завершились конкурсы, в которых разыгрывались инвайты на форум Positive Hack Days 2012. Победители получили свои приглашения, и уже совсем скоро мы встретимся с ними на площадке московского техноцентра Digital October. Если вы не успели принять участие в этих соревнованиях или не смогли добиться победы — у вас есть шанс выиграть кучу призов в ходе онлайн-сражений, которые начнутся одновременно со стартом форума (регистрация доступна в личном кабинете пользователя на сайте PHDays). Под катом описание конкурсов и условия участия.
Читать дальше →
Всего голосов 22: ↑20 и ↓2 +18
Просмотры3.6K
Комментарии 2

Защита для NGINX — NAXSI

Информационная безопасностьРазработка веб-сайтов

Что такое NAXSI ?


NAXSI = NGINX ANTI XSS & SQL INJECTION
Проще говоря, это файрвол веб-приложений (WAF) для NGINX, помогающий в защите от XSS, SQL-инъекций, CSRF, Local & Remote file inclusions.
Отличительными особенностями его являются быстрота работы и простота настройки. Это делает его хорошей альтернативой например mod_security и апачу.

Зачем нужен NAXSI ?

Очевидно, лучше всего защищаться от вышеперечисленных атак правильно написанным кодом. Но есть ситуации, когда WAF (и в частности naxsi), поможет:
  • Низкое качество кода сайта, при отсутствии возможности/ресурсов все выкинуть и переписать нормально.
  • “Закрытый” код, в котором невозможно исправить ошибки.
  • Неизвестное качество кода в важном для бизнеса участке.


Читать дальше →
Всего голосов 102: ↑100 и ↓2 +98
Просмотры32.6K
Комментарии 60

На пути к созданию безопасного веб-ресурса. Часть 1 — серверное ПО

Информационная безопасность
Tutorial
Я уже довольно долгое время хочу формализовать все свои мысли, опыт, ежедневно применяемый на практике, и многое другое в одном месте и предоставить их общественности. Уверен, многим этот материал будет полезен. Он посвящен различным моментам в конфигурации серверного ПО Linux и безопасным подходам к созданию сайтов/приложений на php (все же это до сих пор одна из самых популярных связок, хоть её успешно и подвигают другие технологии. Но советы так же легко применимы и к веб-ресурсам на других технологиях).

Т.е. речь идет о типичной ситуации. Проект (стартап), купили под него сервер и разворачиваем на нем сайт. Бизнесу не нужно тратить лишних денег на сервера (поэтому будут выбраны наиболее производительные связки ПО), а так же нужно, чтобы все было безопасно, при чем бесплатно :)
Много текста. По-другому никак
Всего голосов 170: ↑159 и ↓11 +148
Просмотры97K
Комментарии 47

Новые доклады на PHDays III: от безопасности АСУ ТП до анализа эксплойтов нулевого дня в Java

Positive TechnologiesИнформационная безопасность
Как создать собственный Stuxnet? Так ли уж безопасны сами средства защиты ПО? Насколько легко следить за людьми и почему физическая безопасность — основа любой безопасности? Сегодня мы представляем вашему вниманию некоторые из более чем 30 докладов основной технической программы форума Positive Hack Days III.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры4.8K
Комментарии 0

Web Application Firewall (ModSecurity) в действии

Информационная безопасность
Из песочницы
Атаки на уровень web-приложений одни из самых распространенных и часто крайне критичны. В данной статье хочу показать насколько способен WAF ModSecurity отражать данные угрозы.

1. Межсетевой экран уровня web-приложений Modsecurity


1.1 Проект ModSecurity


ModSecurity создан Иваном Ристиком (Ivan Ristic) в 2003 году и представляет собой firewall Web-приложений, который может использоваться как модуль Web-сервера Apache, либо работать в автономном режиме и позволяющий защитить Web-приложения как от известных, так и неизвестных атак. Его использование прозрачно, как установка, так и удаление не требует изменения настройки сервисов и сетевой топологии. Кроме того, при обнаружении уязвимого места теперь не обязательно впопыхах изменять исходный код, делая новые ошибки, достаточно на первых порах добавить новое правило, запрещающее вредную комбинацию. Modsecurity может защищать одновременно несколько Web-серверов, в том числе и отличных от Apache [1].
Читать дальше →
Всего голосов 14: ↑8 и ↓6 +2
Просмотры32.1K
Комментарии 9

Разбор заданий конкурса WAF Bypass на PHDays IV

Positive TechnologiesИнформационная безопасность
В этом году на Positive Hack Days проходил конкурс WAF Bypass, участники которого могли попробовать свои силы в обходе PT Application Firewall. Для нас проведение такого конкурса было отличным шансом проверить продукт в бою, ведь на конференции собрались лучшие специалисты в области информационной безопасности.

Для конкурса мы подготовили набор заданий. Каждое представляло собой сценарий с типовой уязвимостью: с ее помощью нужно было добыть флаг. Все задания имели решение, но решения не всегда были очевидными. Участникам был доступен отчет о сканировании исходных кодов заданий с помощью другого продукта нашей компании — Application Inspector. В этом посте мы расскажем о заданиях, обходах и полученном опыте.
Поехали!
Всего голосов 28: ↑26 и ↓2 +24
Просмотры9.3K
Комментарии 6

«Умный Дом» и система MySensors: Часть 0

DIY или Сделай сам
В первой части я немного рассказал о моем опыте создания устройств на основе системы MySensors. Должен признать, описание получилось не полным — без начала и без конца.

В этот раз займемся «началом», значит это будет Часть 0.
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры29.4K
Комментарии 9

Защита корпоративных приложений: как стать разработчиком PT Application Firewall

Positive TechnologiesИнформационная безопасностьPythonC++


Два года подряд во время международного форума Positive Hack Days проходил конкурс WAF Bypass по обходу межсетевого экрана PT Application Firewall. Мы публиковали в блоге разбор заданий этого соревнования (2014 год и 2015 год).

За год популярность соревнования значительно выросла: этой весной для участия зарегистрировалось 302 человека (годом ранее — 101), которые за время конкурса отправили 271390 запросов (вдвое больше, чем в предыдущем году).

При этом многие участники соревнования и гости PHDays интересовались не только самим соревнованием и его заданиями, но и экраном, который нужно было обходить. Поэтому мы решили немного подробнее рассказать об этом инструменте и пригласить поучаствовать в его разработке тех хабраюзеров, которые интересуются темой WAF не только в рамках конкурсов.
Читать дальше →
Всего голосов 21: ↑16 и ↓5 +11
Просмотры14.4K
Комментарии 13

Исследование: Почти все популярные межсетевые экраны пропускают XSS-атаки

Positive TechnologiesИнформационная безопасность


Исследователь безопасности Мазин Ахмед (Mazin Ahmed) опубликовал результаты анализа способов обхода XSS-защиты в популярных межсетевых экранах уровня приложения (Web application firewalls, WAF).

Ахмед использовал несколько виртуальных машин, на которых запускались популярные браузеры Google Chrome, Opera, Mozilla Firefox и Internet Explorer.

Исследователь изучал коммерческие и открытые продукты: F5 Big IP, Imperva Incapsula, AQTRONIX WebKnight, PHP-IDS, Mod-Security, Sucuri, QuickDefence, Barracuda WAF. Для каждого продукта был представлен хотя бы один XSS-вектор, позволявший осуществить обход защиты.
Читать дальше →
Всего голосов 14: ↑11 и ↓3 +8
Просмотры15.6K
Комментарии 1

Чем защищают сайты, или Зачем нужен WAF?

Positive TechnologiesИнформационная безопасность


В этом году компанию Positive Technologies назвали «визионером» в рейтинге Gartner Magic Quadrant for Web Application Firewalls. Это вызвало ряд вопросов о том, за какие достижения мы туда попали и что такое WAF вообще. Вопросы вполне правомерные, ведь Gartner выпускает своё исследование WAF лишь с прошлого года (для примера: «квадранты» по SIEM стали выходить на пять лет раньше, в 2009 году). Кроме того, некоторые до сих пор путаются с терминологией, не отличая «экран для защиты веб-приложений» (WAF) от обычного «межсетевого экрана» (network firewall) или «системы предотвращения вторжений» (IPS).

В этой статье мы попробуем отделить мух от котлет — и рассказать, как идёт эволюция периметровой защиты по мере роста изощрённости атак.
Читать дальше →
Всего голосов 18: ↑14 и ↓4 +10
Просмотры72K
Комментарии 1

Конкурс WAF Bypass на Positive Hack Days VI

Positive TechnologiesИнформационная безопасность
В рамках международного форума по практической безопасности Positive Hack Days в очередной раз состоялся конкурс WAF Bypass. Как и прежде, задачей участников было решение заданий путем обхода проверок PT Application Firewall, защищавшего уязвимые веб-приложения. Каждое из заданий подразумевало заложенные нами варианты обхода, которые были возможны из-за специально допущенных ошибок в конфигурации. Цель каждого задания — получить флаг, который мог храниться в базе данных, в файловой системе или в Cookie, выдаваемых специальному боту. Описание заданий и способы их решения под катом.

Читать дальше →
Всего голосов 19: ↑16 и ↓3 +13
Просмотры4.5K
Комментарии 0

Топ ключевых угроз, сильных трендов и многообещающих технологий. Прогнозы Gartner на ближайшие несколько лет

Ростелеком-СоларИсследования и прогнозы в ITУчебный процесс в ITЧитальный зал
Мы постоянно отслеживаем новые тенденции, мнения и публикации по информационной безопасности. Весь этот объем информации систематизируется и «раскладывается» по продуктовым нишам. В результате формируется единая картина того, как аналитики видят наше с вами будущее. Мы решили поделиться очередной сводкой по самым интересным и сильным трендам, о которых говорит в своих отчетах и презентациях Gartner. Кому-то эта информация пригодится для выступлений, кому-то – для обоснования бюджетов, а кому-то просто позволит «сверить часы» с индустрией и быть в курсе того, что сейчас считается самими «горячими» темами.

Итак, куда же, по мнению Gartner, движется отрасль?


Читать дальше →
Всего голосов 20: ↑20 и ↓0 +20
Просмотры11.3K
Комментарии 8

Как выбрать поставщика услуг информационной безопасности

Qrator LabsВысокая производительностьИнформационная безопасностьАнализ и проектирование системIT-стандарты


Что важно при выборе провайдера услуг по нейтрализации DDoS-атак и защиты сетевого периметра?

«Ширина канала к серверу» — скажете вы. Ну, и добавите: «Защита от разных векторов атак». Возможно в вашем списке ещё есть активный сканер уязвимостей. Что тут сложного?

Многим кажется, что DDoS-mitigation решения, это просто «быстрый и масштабный бан плохих IP», что недалеко от правды, но всё-таки не до конца верно. Учитывая, что только за прошедший год количество DDoS-атак увеличилось в полтора раза и вышло на передовицы СМИ из-за разрушительного эффекта, новостной волной хотят воспользоваться не только чистоплотные и высокопрофессиональные компании из области информационной безопасности.

Для того чтобы не гадать, а знать наверняка, на какие основные параметры обращать внимание при выборе такой важной вещи, как защита сетевой инфраструктуры от атак на отказ в обслуживании, мы в Qrator, совместно с Wallarm и CDN-провайдером NGENIX подготовили специальную страницу, где собраны наиболее важные критерии, на которые требуется обращать внимание в момент выбора конкретного решения, услуги, сервиса, продукта — неважно.
Читать дальше →
Всего голосов 26: ↑23 и ↓3 +20
Просмотры5.6K
Комментарии 2

Разбор заданий конкурса WAF Bypass на PHDays VII

Positive TechnologiesИнформационная безопасность
Международный форум по информационной безопасности PHDays вновь стал площадкой для конкурса WAF Bypass. Цель конкурса — обойти защитные механизмы PT Application Firewall, чтобы добыть специальные флаги через уязвимости в подготовленных веб-приложениях. Каждое из заданий подразумевало заложенные нами варианты обхода PT Application Firewall, что, в свою очередь, стало возможным за счет отключения ряда функций безопасности. В этом году мы также решили опробовать прототип межсетевого экрана систем управления базами данных (DBFW), который анализировал SQL-трафик от приложений до баз данных (БД).
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры4.5K
Комментарии 0