Разработка расширения для Google Chrome, защищающего от утечки информации чер...Positive Hack Days
Существует серьезная проблема утечки конфиденциальной информации через различные расширения при работе в браузере. Доклад посвящен расширению для браузера, которое позволит обезопасить пользователя, имеющего минимум технических навыков и знаний в области информационной безопасности.
Разработка расширения для Google Chrome, защищающего от утечки информации чер...Positive Hack Days
Существует серьезная проблема утечки конфиденциальной информации через различные расширения при работе в браузере. Доклад посвящен расширению для браузера, которое позволит обезопасить пользователя, имеющего минимум технических навыков и знаний в области информационной безопасности.
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
Система управления учетными записями (IDM). Информационная безопасность. Softline
Информационная безопасность. Система управления учетными записями.
IDM – ЕДИНЫЙ ЦЕНТР КОМПЕТЕНЦИЙ В ЧАСТИ
ПРЕДОСТАВЛЕНИЯ ДОСТУПА К РЕСУРСАМ
И СИСТЕМАМ.
Доклад посвящен задаче сравнения эффективности сканеров веб-приложений в части обнаружения уязвимостей класса SQL Injection. В докладе будет изложена методика построения тестового покрытия, описана процедура проведения тестирования и анализа результатов. Будут приведены результаты тестирования таких известных сканеров, как sqlMap, skipfish, wapiti и acunetix.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QAFest
Цель моего доклада, показать, что XSS-атаки - это не всегда просто, а если даже и просто, то во многих стлучаях может привести к серьезным последствиям для бизнеса. Я подробно остановлюсь на следующих аспектах:
- типы XSS-аттак
- какие последствия
- какими инструментами можно и нужно тестировать
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Соответствие решений Cisco требованиям письма Банка России 49-ТCisco Russia
Банк России выпустил письмо 49-Т от 24 марта 2014-го года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». Данное письмо подробно описывает набор организационных и технических мер по защите кредитной организации и ее клиентов от вредоносного кода. По сути данный документ детализирует одноименные высокоуровневые требования, установленные положением Банка России 382-П от 9 июня 2012 года «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении пере-водов денежных средств» и Комплексом документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
2. Даты проведения:
3 – 24 сентября 2012 г.
Цель:
contest.npo-echelon.ru
2
3. Регламент конкурса
Для студентов и аспирантов
ВУЗы России, Украины, Казахстана, Белоруссии
Время проведения: с 3 по 24 сентября 2012 г.
Выполнить все задания с помощью комплекса
средств анализа защищенности «Сканер-ВС»
Отчет в формате .doc со скриншотами и логами
3
4. Предложенные задания
1.Провести сканирование портов сетевого узла с помощью сканера сети.
2.Определить версию веб-сервера с помощью утилиты telnet
3.Составить перечень уязвимостей, характерных для данной версии веб-сервера,
используя общедоступную информацию (информация на сайте разработчика, базы
данных уязвимостей).
4.Провести сканирование на наличие уязвимостей с помощью сканера-безопасности.
5.Провести анализ защищенности Web-приложения с помощью фрэймворка w3af
6.Продемонстрировать эксплуатацию, как минимум, одной из обнаруженных
уязвимостей класса CSS/XSS.
7.Продемонстрировать эксплуатацию одной из выявленных уязвимостей с помощью
Metasploit Framework.
4
6. Сканер-ВС
Определение топологии и инвентаризация ресурсов сети
Поиск уязвимостей
Локальный и сетевой аудит стойкости паролей
Поиск остаточной информации на жестком диске
Перехват и анализ сетевого трафика
Аудит ПО и аппаратной конфигурации
Контроль целостности
Аудит WI-FI сетей
Модуль гарантированной очистки информации
Аудит web-приложений
Средство эксплуатации уязвимостей
6
7. Основные этапы
2. Определение вручную
1. Сканирование узла версии Apache с 3. Поиск вручную
«Сканером Сети» помощью telnet информации об
уязвимостях
4. Поиск уязвимостей с
помощью 5. Поиск web-уязвимостей
«Сканера безопасности»
7
8. Заключительные этапы
Требовали находчивости и расширенных знаний
6. Демонстрация эксплуатации уязвимости класса CSS/XSS.
Классических хранимых и отраженных (активных и пассивных в другой
терминологии) XSS-уязвимостей на сайте не обнаружено, однако существует
возможность вывода произвольных данных в браузер пользователя с помощью
эксплуатации SQL-инъекции.
7.Продемонстрировать эксплуатацию одной из выявленных уязвимостей.
В Apache до версии 2.2.19 присутствует уязвимость, позволяющая провести DoS-
атаку. MSF позволяет осуществить её.
8
9. ГРАН ПРИ
Шаталов Иван
г. Самара
Поволжский
Государственный
Университет
Телекоммуникаций и
Информатики,
студент
9
10. Призовые места
• Деменюк Алексей «Юго-Западный
государственный университет» (г. Курск)
• Алюшин Виктор «Национальный
исследовательский ядерный университет
«МИФИ», аспирант (г. Москва)
• Воротников Дмитрий ФГОБУ ВПО
«СибГУТИ» (г. Новосибирск)
10
11. Рекомендации от победителей
Проверяйте поля в веб-формах –
фильтрация кавычек и тп.
Скрывайте баннеры сетевых сервисов или
подделывайте их вручную
Не забывайте ставить обновления
Используйте стойкие пароли
Ограничьте права пользователя БД
11
12. Директор департамента IT Голованов В.С.
«ЗАО «НПО «Эшелон»
Тел.: +7(495) 223-23-92
contest@npo-echelon.ru
www.npo-echelon.ru