Рубрика «pentestit» - 5

Постоянно обновляя программы обучения в области информационной безопасности («Zero Security: A» и «Корпоративные лаборатории»), мы отказываемся от устаревшего материала, позволяя всем, кто проходит обучение в PentestIT, обладать самыми актуальными знаниями и навыками. По мере устаревания материала мы будем публиковать его в специализированном плейлисте для всех желающих.

Основы безопасности сетевой инфраструктуры. Часть 1.

Основы безопасности сетевой инфраструктуры. Часть 2.

Разведка и сбор информации. Часть 1.

Читать полностью »

Анализ sms-бота для Android. Часть II

Анализ sms бота для Android. Часть II

Вступление

Еще один бот под Android, рассылаемый по «красивым» номерам вида 8***1112233 и т.д. Смской приходит ссылка вида: «Посмотрите, что о Вас известно или Информация для владельца и т.д. названиесайта.ру/8***1112233»

Процесс вскрытия Android-приложений:

  • Скачиваем APK-файл;
  • Извлекаем файл манифеста;
  • Декомпилируем приложение в читаемый исходный или байт-код;
  • Анализируем манифест и код.
Джентльменский набор инструментов:

  • Apktool – Используем для того чтобы вытащить манифест и ресурсы;
  • Dex2jar – Декомпилируем APK-файл в байт-код;
  • Jd-gui – Байт-код переводим в читабельный код.

Читать полностью »

«Корпоративные лаборатории PentestIT» — программа профессиональной подготовки в области ИБ и тестировании на проникновение.

imageРады сообщить, что 17.08.2014 состоится запуск второго набора на программу «Корпоративные лаборатории тестирования на проникновение» от компании PentestIT — уникального по своему содержанию и методике обучения курсу.

О первом наборе «Корпоративных лабораторий»

На первом наборе «Корпоративных лабораторий» участники познакомились к российским и международным законодательством в области ИБ, методологией, видами и инструментами тестирования на проникновение, рассмотрели природу уязвимостей, векторы атак, а также инструменты и способы защиты, позволяющие выстроить безопасную ИТ-инфраструктуру. Все вебинары сопровождались практикой — закреплением материала на специально разработанных уязвимых серверах, доступ к которым производился посредством VPN-соединения. Завершающим этапом обучения являлось прохождение тестирования и специализированной лаборатории, максимально приближенной к реальной корпоративной сети.


Читать полностью »

Анализ sms-бота для Android. Часть I.

«Вскрытие показало…»

image

Введение

Разбор smsBot (Android) с целью выявления принципа работы и интересного функционала.

Бот реализован для платформы Андроид, алгоритм вскрытия приложения таков:
1. Скачиваем APK-файл;
2. Извлечение файла манифеста;
3. Декомпиляция приложения в читаемый исходный или байт-код;
4. Анализ манифеста и кода.

Инструментарий:

1. Apktool – Используем для того чтобы вытащить манифест и ресурсы;
2. Dex2jar – Декомпилируем APK-файл в байт-код;
3. Jd-gui – Байт-код переводим в читабельный код.

Читать полностью »

В своём подкасте мы не могли не осветить такое событие, как Positive Hack Days, прошедшее в Москве в конце мая. На нём от лица компании Pentestit с докладом выступал Александр Sinister — гость 8-го выпуска.

Pentestit — компания молодая, даже очень молодая, не имеющая практически аналогов ни в России, ни даже за рубежом. Роман Романов — директор Pentestit — был в гостях подкаста полгода назад в 8-м выпуске вместе с Александром и рассказывал о своих лабораториях. В этот раз Максим Майоровский — руководитель отдела разработки лабораторий на проникновение Pentestit — продолжает рассказ о развитии компании и о том, как они готовили лабу для PHD.

Александр расскажет в подкасте о форуме Positive Hack Days в целом, а также о двух докладах, затрагивающих сети связи.
Один из них, с которым собственно он выступал, посвящен Intercepter-NG — мощному инструменту, позволяющему прослушивать трафик и организовывать атаки MITM в автоматическом режиме. С этим приложением связана одна таинственная история, о которой поведал Александр на PHD и нам в подкасте. Видеозапись презентации можно посмотреть по ссылке.
Второй доклад на довольно животрепещущую тему — атаки на сети мобильных операторов посредством протокола SS7. Такого рода угрозы изучались и проверялись на практике специалистами компании Positive Technologies — Сергеем Пузанковым и Дмитрием Курбатовым.
Злоумышленник, попав в технологическую сеть, может совершить жуткие вещи, начиная от перенаправления SMS и заканчивая прослушиванием звонка из любого конца планеты.
Видеозапись презентации можно посмотреть по ссылке.

В качестве новостей мы предлагаем вам:

  1. Запустили новое зеркало корневого сервера DNS l-root (link)
  2. Cisco приобрела стартап за $175M (link)
  3. Новый стандарт Wi-Fi от Huawei(link)
  4. Comcast открыл внешний доступ к 50 000 клиентских Wi-Fi-маршрутизаторов (link
  5. Обновление старых тем:
    Nokia и SK-Telecom объединили полосы, выделенные под FDD и TDD LTE и достигли скорости 3,78 Гбит/с (link)
    Google провёл успешные испытания предоставления доступа в Интернет с помощью аэростатов (link)

Скачать файл подкаста.

Читать полностью »

Программа профессиональной подготовки в области практической ИБ: Корпоративные лаборатории PentestIT

Программа профессиональной подготовки в области практической ИБ: Корпоративные лаборатории PentestIT

Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что нет.

Для организаций, заинтересованных в профессиональной подготовке сотрудников в области практической безопасности, мы разрабатываем корпоративные лаборатории тестирования на проникновение — эксклюзивная услуга на российском рынке ИБ от компании PentestIT.

Уникальность корпоративных лабораторий:

Корпоративные лаборатории — это целая система подготовки специалистов, включающая:

  • удобный режим обучения — все занятия проходят удаленно на специализированной интернет-площадке;
  • уникальные курсы-вебинары, основанные на многолетнем опыте работы сотрудников компании в области ИБ и этичного хакинга;
  • максимальное взаимодействие с инструктором в режиме онлайн на протяжении всей программы обучения;
  • эффективную практическую подготовку в лаборатории, структура которой максимально приближена к реальной сети компаний;
  • современные методы атак и инструменты защиты, эксклюзивные векторы и распространенные уязвимости;
  • обязательное итоговое тестирование, подтверждающее получение знаний в полном объеме.

Слушатели, прошедшие обучение в лабораториях, готовы в полном объеме подтвердить полученные навыки на практике, что отличает программу обучения в корпоративных лабораториях от стандартных курсов по ИБ.
Читать полностью »

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Корпоративные лаборатории PentestIT: программа профессиональной подготовки сотрудников в области практической ИБ

Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что нет.

Для организаций, заинтересованных в профессиональной подготовке сотрудников в области практической безопасности, мы разрабатываем корпоративные лаборатории тестирования на проникновение — эксклюзивная услуга на российском рынке ИБ от компании PentestIT.

Уникальность корпоративных лабораторий:

Корпоративные лаборатории — это целая система подготовки специалистов, включающая:

  • удобный режим обучения — все занятия проходят удаленно на специализированной интернет-площадке;
  • уникальные курсы-вебинары, основанные на многолетнем опыте работы сотрудников компании в области ИБ и этичного хакинга;
  • максимальное взаимодействие с инструктором в режиме онлайн на протяжении всей программы обучения;
  • эффективную практическую подготовку в лаборатории, структура которой максимально приближена к реальной сети компаний;
  • современные методы атак и инструменты защиты, эксклюзивные векторы и распространенные уязвимости;
  • обязательное итоговое тестирование, подтверждающее получение знаний в полном объеме.

Слушатели, прошедшие обучение в лабораториях, готовы в полном объеме подтвердить полученные навыки на практике, что отличает программу обучения в корпоративных лабораториях от стандартных курсов по ИБ.
Читать полностью »

Открыта лаборатория тестирования на проникновение «На шаг впереди»

Запуск новой лаборатории

На PHD IV командой PentestIT совместно со специалистами из Positive Technologies, OnSec и CSIS была презентована очередная лаборатория тестирования на проникновение «Test.lab v.6» под кодовым названием «На шаг впереди», разработка которой велась более 2-х месяцев. Напомним, предыдущая лаборатория «Вдоль и поперек» была презентована на ZeroNights'2013, в которой одержал стремительную победу Омар Ганиев (Beched).

Лаборатория «На шаг впереди» представляет собой реальную сеть виртуальной компании «Global Security», в которой намеренно заложены уязвимости различного типа и сложности, охватывающие практически все области ИБ: безопасность сетей, ОС, приложений и т.д. Основная цель лаборатории — дать возможность каждому желающему проверить свои навыки тестирования на проникновение на практике.

Сюжет:

В лаборатории «Test.lab v.6» участникам будет предложено выполнить тестирование на проникновение распределенной сети виртуальной компании «Global Security», получившей всемирную известность за использование сверхсовременных систем защиты и мониторинга сети, которые, по словам руководства компании, гарантируют 100% защиту от хакеров.

За все время существования ИТ-структура «Global Security» ни разу не была скомпрометирована злоумышленниками, заявляет директор по ИБ Michael Minter — результат бескомпромиссных систем защиты и сертифицированного персонала! Руководство «Global Security» настолько уверено в защищенности своих ИТ-ресурсов, что готова бросить вызов экспертам в области практической ИБ со всего мира.

Как нам стало известно, ИТ структура компании включает в себя различные компоненты, такие как WEB-сервера, оборудование Cisco, сервера приложений — собственные разработки сотрудников «Global Security», а самое главное, «Global Security» — это распределенная сеть с несколькими офисами, соединенными каналами связи. Кстати, по имеющимся данным, схема сети компании утекла в Интернет.

Вам, как профессионалу в области компьютерного взлома, White Hat, за плечами которого эксплуатация систем различных масштабов и сложности, предстоит доказать, что защищенных систем не бывает! Однако, чтобы успешно выполнить взлом «Global Security», вам необходимо быть не только профессионалом своего дела, но и успеть сделать это раньше других участников, всегда быть на шаг впереди!
Читать полностью »

Лучшие практики и рекомендации по защите php-приложений от XSS-атак

Создание функционирующего веб-приложения – это только полдела. Современные онлайн-сервисы и веб-приложения, помимо собственного контента, хранят данные пользователей. Защита этих данных зависит от правильно написанного кода с точки зрения надёжности и безопасности.

Лучшие практики и рекомендации по защите php приложений от XSS атак

Большинство уязвимостей связано с неправильной обработкой данных, получаемых извне, или недостаточно строгой их проверкой. Одной из таких уязвимостей является межсайтовое выполнение сценариев (Сross Site Sсriрting, XSS), которая может привести к дефейсу сайта, перенаправлению пользователя на зараженный ресурс, вставке в веб-ресурс вредоносного кода, краже COOKIE-файлов, сессии и прочей информации. Противостоять XSS своими сила поможет применение лучших практик и рекомендаций по безопасному программированию, о которых и пойдет речь ниже.
Читать полностью »

Лаборатории тестирования на проникновение «Test.lab»

Лаборатории тестирования на проникновение PentestIT «Test.lab» имитируют ИТ структуру настоящих компаний, с серверами и рабочими станциями. Цель лабораторий — предоставить возможность всем желающим проверить навыки пентеста в условиях, максимально приближенных к реальным, при этом полностью легально. Задания, которые закладываются в «Test.lab» берутся на основе выполненных пентестов в обезличенном виде и всегда взаимосвязаны между собой. Например, найденные логины и пароли, сохраненные в браузере пользователя, можно использовать для доступа к серверам атакуемой виртуальной компании. Таким образом лаборатории «Test.lab» получаются более реалистичными, чем и отличаются от обычных CTF соревнований.

В процессе разработки пентест-лабораторий «Test.lab» закладываются различные вектора атак, затрагивающие практически все области ИБ: безопасность сети, систем, прикладного ПО. Выполнение заданий требует не только глубоких технических знаний, но и умение пользоваться специальными инструментами: BurpSuite, IDAPro, Metasploit и т.д.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js