Рубрика «аудит безопасности»

в 0:50, , рубрики: Certik, DeFi, ERC-1400, аудит безопасности, аудит смарт-контрактов, блокчейн аудит

Эта статья — не критика CertiK. Это честный технический разбор того, что аудит делает, чего не делает, и как извлечь из него максимум пользы. Написано на основе опыта сопровождения Security Token Offering через полный цикл аудита CertiK, где я прошёл через 29 замечаний разной критичности и исправление уязвимостей в ERC-1400 контракте на 1,100 строк.

Анатомия процесса аудита

Прежде чем разбирать findings, важно понять, как устроен процесс изнутри. Многие думают, что аудит — это «прогнали код через сканер и получили отчёт». В реальности это многоэтапный процесс, занимающий 2-4 недели.

Scoping (1-2 дня).Читать полностью »

в 11:16, , рубрики: DeFi, evm-blockchains, solidity, аудит безопасности, Криптовалюты, эксплойты, эксплорер блокчейна

За 2024 год из DeFi-протоколов было похищено более $2.2 млрд. В первом полугодии 2025 года эта цифра уже превысила $2.17 млрд — и это только середина года. При этом 60%+ взломанных протоколов имели аудит от известных компаний.

Эта статья — не пересказ новостей. Это технический разбор четырёх ключевых эксплойтов, которые я воспроизводил в тестовой среде при подготовке к аудитам. Для каждого кейса разберём: корневую причину, почему это прошло аудит, как воспроизвести атаку в Foundry, и какие паттерны защиты реально работают.

Кейс 1: Vyper Compiler Bug — $70M из Curve Finance

Дата: 30 июля 2023
По��ери:Читать полностью »

в 10:09, , рубрики: ecdsa, аудит безопасности, криптоанализ, криптографическая защита, криптография, сигнатурный анализ, сигнатуры, топологический анализ, топология, уязвимость

В предыдущей части мы рассмотрели основы ECDSA и почему анализ безопасности криптографических алгоритмов требует новых подходов. Сегодня мы погрузимся в удивительный мир топологического криптоанализа — области, где абстрактные математические структуры становятся практическим инструментом для обнаружения уязвимостей.

От абстракции к реальной безопасности

Представьте, что каждая цифровая подпись ECDSA — это точка на поверхности тора (обычного бублика). Звучит странно? Но именно так работает пространство подписей, если представить уравнение подписи Читать полностью »

в 10:26, , рубрики: 187-ФЗ, аудит безопасности, КИИ, проверки безопасности

в 15:16, , рубрики: shadow it, аудит, аудит безопасности, теневые ит

Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента.

В таких программах копятся уязвимости, через которые киберпреступники могут проникнуть в корпоративную систему. Теневые IT могут использоваться как одним сотрудником, так и командой. После увольнения автора, поддержка этих ИТ возлагается на ИТ департамент и становится крайне сложной из-за отсутствия описаний и исходников.

Читать полностью »

в 9:00, , рубрики: blockchain, funC, jetton, tact, TON, аудит безопасности, блокчейн, криптокошелек
Аудит безопасности смарт-контрактов в TON: ключевые ошибки и советы - 1

Всем привет! На связи Сергей Соболев, специалист по безопасности распределенных систем в Positive Technologies, наша команда занимается аудитом смарт-контрактов. Сегодня я расскажу вам о результатах исследований и выводах нашей команды насчет аудита безопасности смарт-контрактов на языках FunC и Tact платформы TON.

Читать полностью »

в 7:44, , рубрики: аудит, аудит безопасности, информационная безопасность, информационная среда, информационные системы, информационные технологии

Аудит информационной безопасности информационных систем - это процесс оценки системы защиты информации на предмет соответствия стандартам и требованиям безопасности, а также выявления уязвимостей и возможных угроз безопасности.

Цели проведения аудита

Основной целью проведения аудита информационной безопасности является выявление уязвимостей в системе защиты информации и предотвращение возможных угроз безопасности. Кроме того, аудит также позволяет определить эффективность системы защиты, а также проверить соответствие информационных систем законодательству и стандартам безопасности.

Читать полностью »

в 9:00, , рубрики: active directory, impact, open source, ruvds_статьи, аудит безопасности, Блог компании RUVDS.com, информационная безопасность, Сетевые технологии

Active Directory глазами Impacket - 1


При аудите Windows-инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным или умолчательным) инструментом, конечно же, является, PowerShell. Но так уж сложилось, что использовать последний из-под Linux – не лучшая практика, с учётом имеющихся для этого open source решений. Будучи написанным на возлюбленном в IT-сообществе Python, Impacket оставляет только положительные эмоции от использования, а также информативные и полезные результаты, а в некоторых случаях позволяет и вовсе окончить аудит, став администратором домена. Целью статьи является показать возможности рассматриваемого программного обеспечения на примере реальной сети под управлением Active Directory, и подсветить наиболее сильные его стороны. Формат статьи – обзор входящих в его состав сценариев с практическими примерами, которые в наименьшей мере заимствуется из аналогичных иностранных публикаций. Статья носит обзорный ознакомительный характер, демонстрируя возможности применения Impacket, и адаптирована особенно для тех, кто в теме информационной безопасности, знаком с Windows Server не понаслышке, и при этом рассматриваемыми скриптами толком ещё не пользовался.
Читать полностью »

в 12:15, , рубрики: active directory, CVE-2022–26923, dcsync, mimikatz, rubeus, аудит безопасности, аудит внутренней сети, Блог компании Бастион, информационная безопасность, патчи, Тестирование IT-систем, тестирование на проникновение
Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD - 1

Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО.

Читать полностью »

в 9:00, , рубрики: Kali, антивирусы, аудит безопасности, аудит внутренней сети, Блог компании Бастион, информационная безопасность, Тестирование IT-систем, тестирование на проникновение, уязвимости, централизованное управление

Привет, меня зовут Дмитрий, в команде Бастион я отвечаю за этап внутреннего тестирования на проникновение.

Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.

Захватываем сеть через сервер централизованного управления и защищаемся от таких атак - 1

В моей практике было немало случаев, когда хорошо защищенные сети были скомпрометированы из-за систем централизованного управления. Один из них произошел этим летом.

Крупная промышленная компания заказала у нас пентест. Для внутреннего тестирования выбрали сценарий, в котором злоумышленник подключил свой ПК к локальной сети организации.

Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js