Рубрика «аудит» - 3

image

Дорогие друзья!

Продолжаем знакомить вас с новостями Payler и спешим рассказать, пожалуй, о самом важном событии для нас — прохождении аудита PCI DSS. Подготовка к этому знаменательному событию шла целых три месяца и вот, буквально на прошлой неделе, завершилась процедура двухдневного аудита от известной датской компании Fortconsult. Теперь ждём детальный отчет и сертификат, а пока хотели бы поделиться с вами полученным опытом.

Не будем описывать все технические подробности процедуры, тем более на страницах Хабра о ней писали не один раз (понравившаяся нам статья). Немного затронем особенности нашего опыта.
Читать полностью »

image

Приходилось ли вам когда-нибудь развёртывать профессиональную коммерческую систему мониторинга или APM-систему (application performance management, управление производительностью приложений)? Если да, то вы знаете, что вендоры таких систем всегда или почти всегда категорически запрещают использовать их продукты для оказания профессиональных услуг (чтобы не сокращать продажи). Это принципиальная позиция, и она явно прописывается в лицензионном соглашении.
Читать полностью »

Сайт моего друга недавно был взломан, на нем была запущена старая версия IP.Board, в которой есть уязвимость локального внедрения кода (local file inclusion). Этот пост не будет посвящен IP.Board или другому php коду, он покажет, как найти потенциально вредоносный php код на ваших серверах. Наконец, покажу пример того, что злоумышленники могут загрузить на взломанный сайт.

Проверьте логи доступа

Что бы с чего-то начать, я бы хотел поделиться некоторыми записями из журнала доступа (access log) взломанного сайта моего друга.

IpreMOVED - - [01/Mar/2013:06:16:48 -0600] "POST /uploads/monthly_10_2012/view.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"
IpreMOVED - - [01/Mar/2013:06:12:58 -0600] "POST /public/style_images/master/profile/blog.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"

Необходимо часто проверять журналы доступа на сервере, однако если вы не будете осторожны, URL такие как выше, которые на первый взгляд выглядят безобидно, могут пройти прямо мимо вас.

Два файла выше это загруженные взломщиком скрипты, как они туда попали, большой роли не играет, так как код на любых двух серверах, вероятно, будет различным. Тем не менее, в данном конкретном примере, уязвимость в устаревшей версии IP.Board была использована, и атакующие смогли добавить свои собственные скрипты в директории доступные для записи, такие как пользовательский каталог загрузки и каталог, в котором IP.Board хранит кэшированные изображения темы оформления. Это общий вектор атаки, много людей изменяют права на эти каталоги на 777 или дают им доступ на запись, подробнее об этом чуть позже.

Рассмотрим подробнее приведенные выше строки журнала, ничего не цепляет вас?

Обратите внимание, что в журнале доступа POST запросы, а не GET запросы.
Скорее всего, злоумышленники хотели сделать журнал доступа более неприметным, так как большинство журналов не сохраняют post данные.Читать полностью »

Представьте, что у вас что-то заболело (не дай бог, конечно). Вы идете к врачу и тут есть две возможности:

  • «Резать к чертовой матери!»
  • Вы идете сдавать анализы и после этого узнаете, что просто съели что-то не то

Лично мне и мы мои коллегам нравится второй вариант, именно поэтому, когда нас просят внедрить «эти ваши аджайлы», мы проводим аудит. Но мы не такие, как PricewaterhouseCoopers — мы лучше, мы неформальные и мы даем ценные результаты. Как именно — читайте под катом!
Читать полностью »

Привожу кейс из своей практики. Небольшая заметка о том, как веб-аналитика помогает уточнить задачу владельца веб-сайта и прежде чем выполнять то, что просит клиент, полезно пронализировать веб-сайт, то бишь сделать маркетинг-аудит.

Обратилась компания, с просьбой проанализировать рекламную кампанию на Яндекс.Директ с целью сокращения расходов на рекламу и увеличения количества заявок на обучение английскому языку. Для интереса, ссылка www.fortune-center.ru
Реклама размещалась на Яндекс.Директ, статистика собиралась Яндекс.Метрика. Цели настроены на заполнение онлайн-заявки на обучение.
Маркетинг аудит делаем по точкам. Анализируем: качество трафика, количество трафика, продающая способность веб-сайта, конверсия в заявки. Читать полностью »

Эта история произошла с ЦОДом одной компании уже довольно давно, все последствия аварии устранены, плюс выполняются доработки, исключающие повторение ситуаций. Тем не менее, отчёт о происшедшем, полагаю, будет интересен и тем, кто занимается дата-центрами, и тем, кто любит почти детективные IT-истории.

Итак, ожидалось плановое отключение электричества. В дата-центр приходило две линии, владельцы ЦОДа заранее знали о ситуации, подготовились и провели все необходимые тесты. Всё что было нужно – просто перейти на дизели по стандартной процедуре.
Читать полностью »

10 критически важных event ID для мониторинга
Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js