Рубрика «Блог компании «Digital Security»» - 9

в 9:29, , рубрики: google dork, sap, security, безопасность, Блог компании «Digital Security», информационная безопасность, метки: , , ,

Популярность SAP NetWeaver Portal и его доступность из сети Интернет делают его привлекательным объектом для атаки на компании разного масштаба и профиля. В данной статье рассматривается, как потенциальный злоумышленник может взломать этот популярнейший модуль ERP-системы SAP и каким образом можно избежать подобной угрозы.

Бизнес-приложения представляют привлекательную мишень для атак компьютерных злоумышленников. Цели могут быть самые разные: промышленный шпионаж, нанесение финансовых и репутационных потерь, получение критичной информации с целью продажи. Как правило, атаки на бизнес-приложения и системы являются целенаправленными и выполняются людьми весьма квалифицированными.

SAP NetWeaver Portal (EP) является основной точкой входа в ERP-систему SAP для всех пользователей корпоративной сети. Портал, как правило, используется внутри компании как площадка, где хранится и обрабатывается как открытая информация (включая новости компании, данные о работниках и т. д.), так и закрытые сведения (внутренние документы, инструкции и распоряжения). Кроме того, портал предоставляет пользователям необходимые инструменты, с помощью которых они могут выполнять свои повседневные рабочие задачи: проводить встречи и совещания, управлять пользователями, редактировать документы, работать с необходимыми таблицами и т. д.

Читать полностью »

в 8:53, , рубрики: Black Hat, blackhat, Блог компании «Digital Security», конференция, метки: , ,

Есть много конференций по информационной безопасности: маленькие и большие, технические и наполненные исключительно маркетинговыми докладами от вендоров, или, спаси Летающий Макаронный Монстр, персданными или докладами в стиле «как стать рок-звездой в мире ИБ». И существуют две секьюрити-конференции, которые всегда выделялись на этом фоне: Black Hat и Defcon. Даже люди, далекие от ИБ, пожалуй, слышали о них.

Я бы хотел рассказать о том, как прошла конференция Black Hat USA в этом году.
Выступление на Black Hat или Defcon было моей давней мечтой. Мечте суждено было сбыться в прошлом году, где я с Александром AlexandrPolyakov Поляковым рассказал про Server Side Request Forgery, однако в этом году ситуация повторилась, и мой доклад об OLAP-серверах и атаках на MDX успешно прошел отбор комиссии, и – привет, Вегас!

Читать полностью »

в 20:33, , рубрики: gmail, iOS, mobile app, xss, Блог компании «Digital Security», информационная безопасность, разработка под iOS, метки: , , , ,
Данный фиче-баг схож с историй про отправку сообщения в Facebook от любого юзера — известен, но не получил широкую огласку. Получилось так, что нашел я его сам, а уже потом нашел информацию о нём в интернетах. Но обо всем по порядку...

# intro

Темной, холодной и дождливой Питерской ночью обнаружил я забавный баг, которому оказались подвержены приложения от Facebook, Google, ВКонтакте и скорее всего, от многих других производителей. Для его объяснения нам просто необходимо знать немного теории.
Читать полностью »

в 23:37, , рубрики: apple, dos, exploit, iOS, jailbreak, Блог компании «Digital Security», информационная безопасность, метки: , , ,

Странно, что ссылки на демонстрацию рабочего эксплойта под популярные версии iOS, до сих пор нет на Хабре :)
7го ноября Stefan Esser опубликовал твит

Удаленный DOS exploit (device reboot) iOS ~6.1 — 7.0.3 [0day]

С ссылкой на специально сформированное видео, приводящее к перезагрузке аппарата. Технических деталей пока нет.
Видео: rg0rd.com/better/1.mov

Ждем jailbreak под iOS 7.0.3?

Эксплойт проверен на IPhone 4S (6.1 / 7.0.3), IPhone 5 (7.0.3)

Читать полностью »

в 15:08, , рубрики: безопасность, Блог компании «Digital Security», взлом, информационная безопасность, ссылки, хакинг, метки: , , , ,

Избранное: ссылки по IT безопасности

Давно хотел написать этот пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.

Читать полностью »

в 10:04, , рубрики: zeronights, Блог компании «Digital Security», информационная безопасность, конференция, метки: ,
image

Друзья, неужели вы подумали, что мы представили уже все новости программы ZeroNights? А вот и нет! Сегодня у нас много приятных сюрпризов и нереальных анонсов.

Для начала подробно расскажем об обновлениях в основной программе.

1) Еще один наш keynote спикер, Gregor Kopf (Германия), покажет вам, что сегодня происходит с криптографией: основные направления, проблемы, популярные ошибки и интересные векторы околокриптографических изысканий.

Состояние криптографии

В последние месяцы было обнаружено немало проблем, связанных с криптографией. Ей вообще еще можно доверять или мы все обречены, а скептики были правы с самого начала? В этом докладе мы попытаемся лучше понять, что происходит. С этой целью будет проанализирована актуальная ситуация и затронуты проблемы, с которыми мы сталкиваемся. Мы будем исследовать популярные ошибки и определять интересные направления для околокриптографических изысканий.

Читать полностью »

в 14:47, , рубрики: wordpress, Блог компании «Digital Security», информационная безопасность, метки: ,
К сожалению, нигде не нашел упоминания в постах на Хабре о замечательной утилите — WPScan, которая просто безумно помогает с пентестом блогов на WordPress. Этот пост о ней и еще одной утилите, которые помогут даже ничего не знающему в безопасности IT'шнику провести пентест блога на WordPress.

# ./wpscan.rb
_______________________________________________________________
        __          _______   _____
                 / /  __  / ____|
            /  / /| |__) | (___   ___  __ _ _ __
           /  / / |  ___/ ___  / __|/ _` | '_ 
             /  /  | |     ____) | (__| (_| | | | |
            /  /   |_|    |_____/ ___|__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                    Version v2.1r1c1a6d2
     Sponsored by the RandomStorm Open Source Initiative
 @_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________

Читать полностью »

в 7:20, , рубрики: dsecrg, Блог компании «Digital Security», информационная безопасность, разработка, эксплоит, метки: ,

Сколько мы ни говорим о необходимости использования флагов линкера и компилятора, нацеленных на идентификацию повреждений памяти и усложнения их эксплуатации — наши разработчики ДБО, АБС и различных сертифицированных продуктов, как правило, никак к этому не прислушиваются. И вот при написании pre-auth RCE server side exploit в очередной раз появилась идея написать об этом на основе наших последних работ.

О флагах в 0x41414141 раз

Читать полностью »

в 10:10, , рубрики: android, rce, Блог компании «Digital Security», информационная безопасность, Разработка под android, метки: ,

Совсем недавно компания MWR опубликовала интересную запись "WebView addJavascriptInterface Remote Code Execution" в своем блоге. Запись касается безопасности мобильных приложений. Не хочется полностью пересказывать исследование наших английских коллег — советуем обратиться к первоисточнику. Но если коротко, то при использовании сторонней библиотеки в своем мобильном приложении под Android можно легко поймать RCE (remote code execution) атаку. Произвольное выполнение кода в Android-приложении возможно благодаря рефлексии Java-объекта, который вставляется в WebView.

Читать полностью »

в 11:40, , рубрики: csrf, xss, Блог компании «Digital Security», информационная безопасность, метки: , ,

image

Как-то мне стало интересно, сколько же стоят корпоративные блоги на Хабрахабре. Я зашел на эту страницу и перешел по ссылке заказать. Автоматом, вместо ожидаемых данных, ввел вектор для тестирования XSS и получил выполнение JS у себя в браузере. Но это не всё так интересно, как методы защиты на Хабре от последствий XSS.
Читать полностью »

1...8910...13
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js