14 декабря будет запущена новая «Test lab» — лаборатория тестирования на проникновение, имитирующая работу реальной корпоративной сети, в которой каждый желающий сможет проверить свои навыки тестирования на проникновение. Поскольку порог вхождения для выполнения всех заданий лаборатории достаточно высокий, мы решили выпустить небольшой гайд для начинающих по работе с Kali Linux 2018.4 — одним из самых популярных пентест-дистрибутивов, разработанного как преемник BackTrack и основного на Debian.
Читать полностью »
Рубрика «pentestit»
Kali Linux для начинающих
2018-12-04 в 10:37, admin, рубрики: Burp Suite, kali linux, nmap, pentestit, Блог компании PentestIT, информационная безопасностьПолезные нагрузки для тестирования веб-приложений
2018-03-30 в 10:37, admin, рубрики: payload, pentestit, Блог компании PentestIT, информационная безопасность
Использование полезных нагрузок (пейлоадов) позволяет проводить фаззинг веб-приложения, для выявления аномалий/признаков уязвимостей. В этой статье я рассмотрю несколько вариантов пейлоадов для тестирования веб-приложений.
Читать полностью »
Патч от Meltdown привел к более критичной уязвимости Windows 7×64-2008R2
2018-03-28 в 8:01, admin, рубрики: meltdown, pentestit, windows, Блог компании PentestIT, информационная безопасность
Патч, закрывающий уязвимость Meltdown привел к более критичной уязвимости систем Windows 7X64 и Windows 2008R2. Уязвимости подвержены системы, обновленные патчами 2018-01 или 2018-02. Уязвимости не подвержены системы, не пропатченные с декабря 2017 года, либо если на них установлен кумулятивный патч 2018-03.
Читать полностью »
CIS Controls V7: рекомендации по информационной безопасности
2018-03-23 в 10:37, admin, рубрики: CIS controls, pentestit, Блог компании PentestIT, информационная безопасность
Центр интернет-безопасности (CIS) является некоммерческой организацией, которая разрабатывает собственные контрольные показатели и рекомендации, которые позволяют организациям совершенствовать свои программы обеспечения безопасности и соответствия требованиям. Эта инициатива направлена на создание базовых уровней конфигурации безопасности систем, которые обычно встречаются во всех организациях.
Центром представлена новая версия руководства по информационной безопасности CIS Controls Version 7, в которое входит 20 рекомендаций по защите ИТ-инфраструктуры.
Читать полностью »
PowerShell Empire: продвинутая пост-эксплуатация Windows систем
2018-03-20 в 10:37, admin, рубрики: pentestit, Powershell Empire, Блог компании PentestIT, информационная безопасность
PowerShell Empire — это уникальный пост-эксплуатационный PowerShell агент, построенный на базе крипто-надежных соединений и гибкой архитектуры. Empire предоставляет возможность запускать PowerShell агенты без необходимости использования powershell.exe, с быстрым запуском пост-эксплутационных модулей, которые варьируются от кейлоггеров до Mimikatz, и позволяет успешно избегать сетевое обнаружение, при этом весь этот функционал собран в одном удобном и гибком фреймворке.
Читать полностью »
ZalgoFuzzing: использование нестандартных методов размытия пейлоадов
2018-03-15 в 10:37, admin, рубрики: pentestit, Unicode, Zalgo, Блог компании PentestIT, информационная безопасностьИспользование нестандартных техник обфускации пейлоада (полезной нагрузки) при проведении тестирования на проникновение веб-приложений может позволить обходить фильтрацию защитных средств и способствовать реализации вектора атаки. В этой статье я расскажу про т.н. Z̴a҉̠͚l͍̠̫͕̮̟͕g͚o̯̬̣̻F̮̫̣̩͓͟ͅu̯z̡͉͍z̪͈̞̯̳̠ͅi̴̜̹̠̲͇n̰g̱͕̫̹͉͓ как метод обфускации (размытия) пейлоадов.
Читать полностью »
Kali Linux теперь доступен в Microsoft Store
2018-03-06 в 10:37, admin, рубрики: kali linux, pentestit, windows, Блог компании PentestIT, информационная безопасность
Буквально 1,5 месяца назад я писал о возможности установки Kali Linux в Windows окружении используя подсистему WSL. Сейчас появилась возможность установки и запуска Kali Linux из магазина приложений Windows. Это похоже на первоапрельскую шутку, но это действительно так.
Улучшаем работу искусственного интеллекта в Nemesida WAF
2017-12-07 в 10:37, admin, рубрики: Nemesida AI, Nemesida WAF, pentestit, waf, web application firewall, Блог компании PentestIT, информационная безопасностьВ предыдущей статье мы рассказали, как искусственный интеллект Nemesida WAF помогает с абсолютной точностью выявлять атаки на веб-приложения при минимальном количестве ложных срабатываний. В этой статье будет рассмотрен новый механизм работы Nemesida AI, позволяющий увеличить точность выявления атак в 2 раза по сравнению с сигнатурным методом, а также снизить количество ложных срабатываний до 0.01%.
Читать полностью »
OWASP Top 10 2017
2017-11-28 в 10:37, admin, рубрики: OWASP Top 10 2017, pentestit, web-secuirty, Блог компании PentestIT, информационная безопасность
Состоялся финальный релиз Топ-10 уязвимостей от OWASP — наиболее критичных рисков безопасности веб-приложений. Обновление происходит примерно раз в 3-4 года, этот релиз затрагивает текущие и будущие проблемы безопасности веб приложений.
Читать полностью »
unCAPTCHA: использование сервисов Google для обхода Google reCAPTCHA
2017-11-01 в 10:37, admin, рубрики: pentestit, recaptcha, unCAPTCHA, Блог компании PentestIT, информационная безопасность, машинное обучение
unCAPTCHA – автоматизированная система, разработанная экспертами Мэрилендского университета, способная обойти reCAPTCHA от Google с точностью до 85 %. Им это удалось благодаря распознаванию аудио-версии подсказки для людей с ограниченными возможностями.
Читать полностью »