В этой статье я хочу поделиться своим опытом участия в программе поощрения от Yahoo (и не только). Расскажу, какие уязвимости нашёл, на какие трудности напоролся и на сколько щедрым оказалось Yahoo. Жду вас под катом!
Рубрика «pentest» - 8
Триста девяносто четыре доллара
2014-02-12 в 10:59, admin, рубрики: bug bounty, pentest, security, xss, информационная безопасность, метки: bug bounty, pentest, security, sql-injection, xss, Yahoo
Практика тестирования на проникновение: записи вебинара PentestIT «Demo Train.lab»
2013-11-21 в 12:06, admin, рубрики: pentest, pentestit, Блог компании PentestIT, информационная безопасность, метки: pentest, pentestit17.11.13 командой PentestIT был организован бесплатный вебинар «Demo Train.lab», в котором были продемонстрированы различные методики атак, основанные на распространенных уязвимостях и ошибках конфигурации. Учитывая разницу в часовых поясах, многие участники не смогли посетить вебинар. По многочисленным просьбам мы сделали его запись.
В «Demo Train.lab» команда PentestIT продемонстрировала практику выполнения тестирования на проникновение корпоративных сетей с использованием различных уязвимостей и ошибок конфигурации.Читать полностью »
Бесплатный демо-вебинар от команды PentestIT
2013-11-15 в 13:09, admin, рубрики: pentest, Блог компании PentestIT, вебинар, метки: pentest, вебинар 
PentestIT Team, организатор пентест-лабораторий «Test.lab», готовит демо-вебинар «Demo Train.lab» по информационной безопасности, в котором собирается продемонстрировать различные методики тестирования на проникновения.
На демо-вебинаре команда PentestIT продемонстрирует практически все этапы тестирования на проникновение (penetration testing): способы проведения разведки и сбора информации перед началом пентеста, поиск и эксплуатация уязвимостей сетевых приложений, а также закрепление доступа в системе.
Вебинар состоится 17.11.13 в 17:00 (MSK) и будет полезен в первую очередь молодим специалистам в области ИБ и системным администраторам.
Читать полностью »
Информационная безопасность в Австралии, и почему пентест там уже не торт
2013-09-24 в 8:54, admin, рубрики: pentest, sap, security, Блог компании «Digital Security», информационная безопасность, путешествия, метки: pentest, sap, security, путешествияНастало время написать про Австралию и мою поездку на конференцию AusCERT. На этом волшебном континенте мне предстояло провести три недели, начав с города Gold Coast. Ожидания, связанные с находящимся там отличным сёрф-спотом, были самыми приятными. В итоге, мой серф так и не изведал этого места, найдя ещё более шикарные австралийские волны, после чего, прямиком оттуда я попал в Сингапур, где выступил на культовой конференции RSA.
Итак, первое, что я увидел в Австралии, это – к-е-н-г-у-р-у, нет, не мёртвое, как дельфин из прошлой истории, и это меня очень обрадовало. «Хороший знак», — подумалось мне. А дальше – провал, вызванный тяжелым перелётом, состоящим из 4-х рейсов общей протяжённостью 36 часов.
Evil USB HID-эмулятор или просто Peensy
2012-10-04 в 12:35, admin, рубрики: arduino, HID, pentest, teensy, информационная безопасность, метки: arduino, HID, pentest, teensy 
Интересным вектором атак является использование USB HID эмуляторов клавиатуры (и мышки) в корпусе стандартной USB флешки. И если autofun.inf на флешке мы уже научились как-то искать и уничтожать, то с HID эмуляторами все пока что плохо.
Для тех, кто не знаком ещё с этой темой, я рекомендую прочитать для начала хабростатью "Боевой HID-эмулятор на Arduino". Тут я не буду касаться вопросов установки и настройки среды программирования Arduino, а лучше чуть-чуть расскажу про продвинутое использование Peensy (Pentest+Teensy).
Читать полностью »
Пентест на стероидах. Автоматизируем процесс
2012-04-10 в 17:59, admin, рубрики: CodeFest, maxpatrol, nessus, nmap, pentest, skipfish, информационная безопасность, метки: codefest, maxpatrol, nessus, nmap, pentest, skipfishС данной темой доклада я выступал на CodeFest. А здесь я перескажу словами, что, как и зачем.
Доклад довольно поверхностный и не требует практически никакой квалификации в области ИБ. Был рассчитан на целевую аудиторию (веб-разработчики, тестировщики (не на проникновение), сисадмины и т.д.). Все довольно просто: несколько утилит, запустили, подождали, разбираем отчет.
Видеоприглашение на конференцию: