Безопасность в WordPress является очень важной темой при создании вашего интернет проекта, и в этом докладе мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.
http://wpmag.ru/2013/osnovyi-bezopasnosti-wordpress/
Дмитрий Снопченко
Бесплатный вебинар WebPromoExperts. Безопасность сайта. Дмитрий Снопченко, ЮГ
Как обезопасить свой сайт от посягательств злоумышленников, и сделать из него источник дохода, а не инструмент хакеров?
Бесплатные вебинары по Интернет-маркетингу http://webpromoexperts.com.ua/free-webinars/
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
Безопасность в WordPress является очень важной темой при создании вашего интернет проекта, и в этом докладе мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.
http://wpmag.ru/2013/osnovyi-bezopasnosti-wordpress/
Дмитрий Снопченко
Бесплатный вебинар WebPromoExperts. Безопасность сайта. Дмитрий Снопченко, ЮГ
Как обезопасить свой сайт от посягательств злоумышленников, и сделать из него источник дохода, а не инструмент хакеров?
Бесплатные вебинары по Интернет-маркетингу http://webpromoexperts.com.ua/free-webinars/
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
О том, как время влияет на информационную безопасность - с точки зрения производителей средств защиты информации, с точки зрения злоумышленников и с точки зрения специалистов по ИБ потребителей.
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...Ontico
HighLoad++ 2017
Зал «Мумбай», 7 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2900.html
Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"?
...
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Николай Сиварев "Приручая сайты"
Я.Субботник в Новосибирске
О докладе:
В Метрике есть карта кликов, карта ссылок, плеер Вебвизора – всё это веб-приложения, которые поверх произвольной страницы в интернете показывают какие-то данные. Рассказ пойдет о нескольких подходах к созданию таких приложений, достоинствах и недостатках каждого подхода.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
GitHub Bug Bounty Experience provides an overview of the author's experience participating in GitHub's bug bounty program. The summary includes 3 key points:
1) The author is an information security engineer who participated in GitHub's bug bounty program to find vulnerabilities for monetary rewards, as well as for fun and the challenge.
2) Through analyzing GitHub Enterprise's virtual machine images and Ruby applications, the author discovered several security issues like hardcoded credentials, lack of input validation, and potential for command injection.
3) By probing the Babeld SVN proxy service, the author found ways to bypass authentication and potentially cause denial of service through excessive requests.
4. Максим “Arrim” Попов
Fingerprint
Позволяет узнать какой движок или framework вы используете.
Тем самым хакер может воспользоваться уже известной
уязвимостью, которую вы не успели закрыть.
Так же боты используют Fingerprint для поиска уязвимых
сайтов.
5. Максим “Arrim” Попов
Fingerprint в wordpress
В header страницы:
<meta name="generator"
content="WordPress 4.3.1">
В RSS:
<generator>http://wordpress.org/?v=
4.3.1</generator>
При подключении стилей и скриптов:
<link rel='stylesheet'
id='dashicons-css'
href='http://your_site/core/wp-incl
udes/css/dashicons.min.css?ver=4.3.
1' type='text/css' media='all' />
6. Максим “Arrim” Попов
Fingerprint в wordpress
В header страницы:
<meta name="generator"
content="WordPress 4.3.1">
В RSS:
<generator>http://wordpress.org/?v=
4.3.1</generator>
При подключении стилей и скриптов:
<link rel='stylesheet'
id='dashicons-css'
href='http://your_site/core/wp-incl
udes/css/dashicons.min.css?ver=4.3.
1' type='text/css' media='all' />
В functions.php:
add_filter('the_generator',
'__return_empty_string');
function rem_wp_ver_css_js ($src) {
if (strpos($src, 'ver='))
$src =
remove_query_arg('ver', $src);
return $src;
}
add_filter ('style_loader_src',
'rem_wp_ver_css_js', 9999);
add_filter ('script_loader_src',
'rem_wp_ver_css_js', 9999);
11. Максим “Arrim” Попов
CSRF
CSRF (англ. Сross Site Request Forgery — «Подделка
межсайтовых запросов», также известен как XSRF) — вид атак
на посетителей веб-сайтов. Если жертва заходит на сайт,
созданный злоумышленником, от её лица тайно отправляется
запрос на другой сервер (например, на сервер платёжной
системы), осуществляющий некую вредоносную операцию
(например, перевод денег на счёт злоумышленника).
14. Максим “Arrim” Попов
XSS
XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») —
тип атаки на веб-системы, заключающийся во внедрении в
выдаваемую веб-системой страницу вредоносного кода (который
будет выполнен на компьютере пользователя при открытии им
этой страницы) и взаимодействии этого кода с веб-сервером
злоумышленника.
20. Максим “Arrim” Попов
SQL injection
Внедрение SQL-кода (англ. SQL injection) — один из
распространённых способов взлома сайтов и программ,
работающих с базами данных, основанный на внедрении в запрос
произвольного SQL-кода.
21. Максим “Arrim” Попов
SQL injection
$news_id = $_GET['id'];
mysqli_query($link,
"SELECT * FROM news WHERE id =
$news_id");
Запрос хакера:
news.php?news_id=-1 UNION SELECT
name,2,pass,4,5 FROM users WHERE
id=1
Результат:
SELECT * FROM news
WHERE id = -1
UNION SELECT name,2,pass,4,5 FROM
users WHERE id=1
22. Максим “Arrim” Попов
SQL injection
$news_id = (int) $_GET['id'];
mysqli_query($link,
"SELECT * FROM news WHERE id =
$news_id");
Запрос хакера:
news.php?news_id=-1 UNION SELECT
name,2,pass,4,5 FROM users WHERE
id=1
Результат:
SELECT * FROM news
WHERE id = -1
25. Максим “Arrim” Попов
PHP injection
PHP-инъекция (англ. PHP injection) — один из способов взлома
веб-сайтов, работающих на PHP, заключающийся в выполнении
постороннего кода на серверной стороне.