Рубрика «waf» - 3

в 8:12, , рубрики: PHDays, positive hack days, PT Application Firewall, waf, Блог компании Positive Technologies, информационная безопасность

Конкурс WAF Bypass на Positive Hack Days VI - 1 В рамках международного форума по практической безопасности Positive Hack Days в очередной раз состоялся конкурс WAF Bypass. Как и прежде, задачей участников было решение заданий путем обхода проверок PT Application Firewall, защищавшего уязвимые веб-приложения. Каждое из заданий подразумевало заложенные нами варианты обхода, которые были возможны из-за специально допущенных ошибок в конфигурации. Цель каждого задания — получить флаг, который мог храниться в базе данных, в файловой системе или в Cookie, выдаваемых специальному боту. Описание заданий и способы их решения под катом.

Читать полностью »

в 21:12, , рубрики: arduino, diy или сделай сам, MySensors, waf, программирование микроконтроллеров, Разработка для интернета вещей, умный дом

В первой части (http://habrahabr.ru/post/255281) я немного рассказал о моем опыте создания устройств на основе системы MySensors. Должен признать, описание получилось не полным — без начала и без конца.

В этот раз займемся «началом», значит это будет Часть 0.

Читать полностью »

в 13:26, , рубрики: arduino, DIY, diy или сделай сам, eaglecad, MySensors, waf, сделай сам, умный дом

Проходил мимо, смотрю, а здесь вещи интересные о самоделках разных пишут. Я тоже недавно кое-что мастерил, дай, думаю, напишу, может кому и пригодится, ну или просто интересно будет. Речь идет о железе бюджетного DIY-датчика для встраивания в панели выключателей и розеток.

Но давайте по порядку.
Читать полностью »

в 9:39, , рубрики: PHDays, positive hack days, PT Application Firewall, PT Application Inspector, waf, Блог компании Positive Technologies, информационная безопасность

Разбор заданий конкурса WAF Bypass на PHDays IV В этом году на Positive Hack Days проходил конкурс WAF Bypass, участники которого могли попробовать свои силы в обходе PT Application Firewall. Для нас проведение такого конкурса было отличным шансом проверить продукт в бою, ведь на конференции собрались лучшие специалисты в области информационной безопасности.

Для конкурса мы подготовили набор заданий. Каждое представляло собой сценарий с типовой уязвимостью: с ее помощью нужно было добыть флаг. Все задания имели решение, но решения не всегда были очевидными. Участникам был доступен отчет о сканировании исходных кодов заданий с помощью другого продукта нашей компании — Application Inspector. В этом посте мы расскажем о заданиях, обходах и полученном опыте.Читать полностью »

в 3:03, , рубрики: modsecurity, waf, информационная безопасность, метки: ,

Настройка ModSecurity
В продолжение Web Application Firewall (ModSecurity) в действии

1.1 Понятие регулярных выражений

Читать полностью »

в 15:32, , рубрики: modsecurity, waf, информационная безопасность, метки: ,

Атаки на уровень web-приложений одни из самых распространенных и часто крайне критичны. В данной статье хочу показать насколько способен WAF ModSecurity отражать данные угрозы.

1. Межсетевой экран уровня web-приложений Modsecurity

1.1 Проект ModSecurity

ModSecurity создан Иваном Ристиком (Ivan Ristic) в 2003 году и представляет собой firewall Web-приложений, который может использоваться как модуль Web-сервера Apache, либо работать в автономном режиме и позволяющий защитить Web-приложения как от известных, так и неизвестных атак. Его использование прозрачно, как установка, так и удаление не требует изменения настройки сервисов и сетевой топологии. Кроме того, при обнаружении уязвимого места теперь не обязательно впопыхах изменять исходный код, делая новые ошибки, достаточно на первых порах добавить новое правило, запрещающее вредную комбинацию. Modsecurity может защищать одновременно несколько Web-серверов, в том числе и отличных от Apache [1].
Читать полностью »

в 11:35, , рубрики: continuous deployment, OSINT, PHDays, rsa, scada, waf, Блог компании Positive Technologies, доклады, информационная безопасность, метки: , , , , , ,

Как создать собственный Stuxnet? Так ли уж безопасны сами средства защиты ПО? Насколько легко следить за людьми и почему физическая безопасность — основа любой безопасности? Сегодня мы представляем вашему вниманию некоторые из более чем 30 докладов основной технической программы форума Positive Hack Days III.Читать полностью »

в 11:50, , рубрики: .net, ASP.NET, request validation, waf, xss, Блог компании Positive Technologies, информационная безопасность

«Возможность валидации запросов в ASP.NET спроектирована для выполнения базового контроля входных данных. Она не предназначена для принятия решений, касающихся защищенности разрабатываемых веб-приложений. Только сами разработчики могут определить, какой контент должен обрабатывать их код. Microsoft рекомендует выполнять проверку всех входных данных, получаемых из любых источников. Мы стремимся способствовать разработке защищенных приложений нашими клиентами, и функционал валидации запросов был спроектирован и внедрен для того, чтобы помочь разработчикам в этом направлении. Для получения дополнительной информации о наших рекомендациях по разработке, читайте статью MSDN: msdn.microsoft.com/en-us/library/ff649487.aspx#pagguidelines0001_inputdatavalidation».

Официальный статус ASP.NET Request Validation по версии Microsoft Security Response Center

Несмотря на столь внезапный ответ MSRC на недавний отчет исследовательского центра Quotium об обнаружении очередного способа обхода валидации запросов в ASP.NET, стоит заметить, что она все же предназначена именно для принятия решений, касающихся защищенности веб-приложения. В пользу этого говорит и название класса, реализующего основной набор проверок (System.Web.CrossSiteScriptingValidation) и сама его суть, заключающаяся в предотвращении некоторого подмножества атак класса XSS Type-1 (отраженное выполнение межсайтовых сценариев), и оригинальная статья от разработчиков веб-стека. Другой вопрос, насколько эффективно мог бы быть реализован этот функционал и как из имеющегося примитивного регулярного фильтра получить полноценный web application firewall, защищающий от любых векторов XSS Type-1?
Читать полностью »

в 9:20, , рубрики: nginx, waf, Веб-разработка, информационная безопасность, метки: ,

Что такое NAXSI ?

NAXSI = NGINX ANTI XSS & SQL INJECTION
Проще говоря, это файрвол веб-приложений (WAF) для NGINX, помогающий в защите от XSS, SQL-инъекций, CSRF, Local & Remote file inclusions.
Отличительными особенностями его являются быстрота работы и простота настройки. Это делает его хорошей альтернативой например mod_security и апачу.

Зачем нужен NAXSI ?

Очевидно, лучше всего защищаться от вышеперечисленных атак правильно написанным кодом. Но есть ситуации, когда WAF (и в частности naxsi), поможет:

  • Низкое качество кода сайта, при отсутствии возможности/ресурсов все выкинуть и переписать нормально.
  • “Закрытый” код, в котором невозможно исправить ошибки.
  • Неизвестное качество кода в важном для бизнеса участке.

Читать полностью »

в 13:03, , рубрики: hackquest, PHDays, waf, Блог компании Positive Technologies, информационная безопасность, реверс-инженеринг, метки: , , ,

Началась регистрация на онлайн конкурсы PHDays 2012
Завершились конкурсы, в которых разыгрывались инвайты на форум Positive Hack Days 2012. Победители получили свои приглашения, и уже совсем скоро мы встретимся с ними на площадке московского техноцентра Digital October. Если вы не успели принять участие в этих соревнованиях или не смогли добиться победы — у вас есть шанс выиграть кучу призов в ходе онлайн-сражений, которые начнутся одновременно со стартом форума (регистрация доступна в личном кабинете пользователя на сайте PHDays). Под катом описание конкурсов и условия участия.Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js