Рубрика «pentest» - 6

в 12:05, , рубрики: clouds, cryptocurrency, desktop apps, DNS, DNS rebinding, information security, IoT, pentest, web, Блог компании FBK CyberSecurity, информационная безопасность

DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт - 1

Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в связи с особенностями эксплуатации этой атаки, а также мало ощутимыми, как тогда казалось, последствиями. Сегодня мы попробуем убедить в обратном их и вас, в частности, продемонстрировав, что в современном мире эта атака обрела второе дыхание и более не кажется такой безобидной.

Читать полностью »

в 13:11, , рубрики: [MIS]Team, OFFZONE, pentest, red team, информационная безопасность, Тестирование IT-систем, фишинг

Не прошло и месяца, как мы решили, что пора написать статьи по итогу наших выступлений на OFFZONE-2018. Первая статья будет исполнена по мотивам доклада с FastTrack «MS Exchange Relay attack without sms and registration».

При проведении RedTeam использование фишинга является обязательным – можно построить великолепную защиту на периметре, но какой-нибудь пользователь поведется на фишинг и даст злоумышленнику возможность оказаться сразу внутри сети. Все прекрасно знают, что в основном для фишинга используют ссылки на сторонние сайты, по которым пользователю нужно перейти или документ с макросом. Службы безопасности под угрозой санкций «дрессируют» пользователей, говоря, что ни в коем случае нельзя нажимать на кнопочку «включить содержимое». И в принципе успех есть – пользователи на такого рода рассылки ведутся все реже. Но злоумышленники тоже не стоят на месте – фишинг становится все более интересным. От нас Заказчики также требуют каких-то интересных фишинговых рассылок. Да и мы сами заинтересованы в том, чтобы сотрудники Заказчика повелись на фишинг, и мы смогли им объяснить, на что следует обращать внимание при получении письма.
Читать полностью »

в 12:10, , рубрики: elf, fileless, hacking, in-memory, information security, linux, pentest, perl, php, python, Блог компании FBK CyberSecurity, информационная безопасность

Эльфы в памяти. Выполнение ELF в оперативной памяти Linux - 1

Бесфайловое распространение вредоносного ПО набирает популярность. Что не удивительно, ведь работа таких программ практически не оставляет следов. В этой статье мы не будем касаться техник выполнения программ в памяти Windows. Сконцентрируемся на GNU/Linux. Linux по праву доминирует в серверном сегменте, обитает на миллионах встраиваемых устройств и обеспечивает работу подавляющего большинства веб-ресурсов. Далее мы сделаем небольшой обзор возможностей исполнения программ в памяти и продемонстрируем что это возможно даже в затруднительных условиях.

Читать полностью »

в 10:19, , рубрики: pentest, red team, информационная безопасность

Pentest или Red Team? Пираты против ниндзя - 1
Кто победит в сражении пиратов и ниндзя? Я знаю, вы думаете: «Какое, к чёрту, это имеет отношение к безопасности?» Читайте дальше, чтобы узнать, но сначала выберите: Пираты или Ниндзя?
Читать полностью »

в 15:00, , рубрики: android, mobile pentest, OWASP, pentest, Аналитика мобильных приложений, информационная безопасность, Разработка под android

Отключение проверок состояния среды исполнения в Android-приложении - 1

В прошлой статье я делал обзор на OWASP Mobile TOP 10 и тогда у меня не было годного кейса для демонстрации необходимости защиты исходного кода. Интересный кейс для демонстрации появился только недавно и кому интересно посмотреть на наш опыт обхода проверок состояния среды, давайте под кат.
Читать полностью »

в 14:12, , рубрики: android, infosec, pentest, Аналитика мобильных приложений, информационная безопасность, Разработка под android

Согласно BetaNews, из 30 лучших приложений с более чем 500 000 установок 94% содержат по меньшей мере три уязвимости среднего риска, а 77% содержат хотя бы две уязвимости с высоким уровнем риска. Из 30 приложений 17% были уязвимы для атак MITM, подвергая все данные перехвату злоумышленниками.

Кроме того, 44% приложений содержат конфиденциальные данные с жесткими требованиями к шифрованию, включая пароли или ключи API, а 66% используют функциональные возможности, которые могут поставить под угрозу конфиденциальность пользователей.

Именно поэтому мобильные устройства являются предметом многих дискуссий по вопросам безопасности. Принимая все это во внимание, мы в Hacken решили рассмотреть методологию OWASP Mobile TOP10 с целью продемонстрировать процесс проведения анализа мобильных приложений на уязвимости.

OWASP Mobile TOP 10 — одна из основных методологий тестирования приложений на уязвимости. В таблице 1 описаны 10 уязвимостей, которые применяются для характеристики уровня безопасности приложения [2,7,11].

Читать полностью »

в 10:37, , рубрики: crunch, john the ripper, maskprocessor, pentest, wordlist, Блог компании PentestIT, информационная безопасность, создание словарей

Создание и нормализация словарей. Выбираем лучшее, убираем лишнее - 1

Использование подходящих словарей во время проведения тестирования на проникновение во многом определяет успех подбора учетных данных. В данной публикации я расскажу, какие современные инструменты можно использовать для создания словарей, их оптимизации для конкретного случая и как не тратить время на перебор тысяч заведомо ложных комбинации.
Читать полностью »

в 8:04, , рубрики: desktop app, dompurify, el injection, html5, mobile app, pentest, safari, sdlc, securesdlc, tizen, web, xss, XXE, Блог компании «Digital Security», информационная безопасность, мобильные приложения, Тестирование веб-сервисов, Тестирование мобильных приложений, тесты на проникновение

Внедряем безопасность в процесс разработки крупного проекта - 1

В данной статье нам хотелось бы поделиться своим опытом внедрения нашей команды пентестеров в цикл разработки большого проекта «Мой Офис». Найти материал подобной тематики с реальными кейсами на русском языке практически невозможно. Всем, кого интересует модные направления пентестов, теория, практика, методики, тулзы и реально найденные уязвимости в контексте безопасной разработки, — добро пожаловать под кат. Статья изобилует полезными ссылками на теоретические и практические материалы. Но давайте по порядку.

Читать полностью »

в 7:42, , рубрики: checkpoint, kali linux, pentest, security, viruses, Блог компании TS Solution, Сетевые технологии, системное администрирование

1.Check Point на максимум. Человеческий фактор в Информационной безопасности - 1
Ни для кого не секрет, что 2017 год выдался весьма “жарким” для всех специалистов по информационной безопасности. WannaCry, Petya, NotPetya, утечки данных и многое другое. На рынке ИБ сейчас небывалый ажиотаж и многие компании в ускоренном порядке ищут средства защиты. При этом многие забывают про самое главное — человеческий фактор.

Согласно отчетам компании Gartner за 2016 год, 95% всех успешных атак можно было предотвратить при грамотной настройке существующих средств защиты. Т.е. компании уже обладали всеми средствами для отражения атак, однако серьезно пострадали из-за невнимательности или халатности сотрудников. В данном случае компания теряет деньги дважды:

  1. В результате атаки;
  2. Выброшены деньги на средства защиты, которые не используются даже на 50%.

Читать полностью »

в 4:42, , рубрики: checkpoint, fortinet, pentest, security, антивирусная защита, Блог компании TS Solution, ИБ, Сетевые технологии, системное администрирование

Online инструменты для простейшего Pentest-а - 1

Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.

Если вас заинтересовала данная тема, то добро пожаловать под кат…
Читать полностью »

1...567...8
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js