Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
26 ноября к нам в гости с вебинаром "ТОП-7 способов защитить свой ресурс" пришла Анастасия Овчаренко.
На вебинаре мы узнали почему так важна безопасность сайта, на что обращать внимание и как защищаться. Также наша гостья раскрыла 7 секретов защиты Вашего сайта.
Александр Сидоров "Как защитить пользователей от вирусов и фишинга"Yandex
Рассказ об основных API Безопасного Поиска Яндекса, позволяющих проверять, представляет ли страница опасность для пользователей: Safe Browsing API Яндекса, Lookup/check_porn API, HTTP-заголовок «за компьютером ребёнок» X-Yandex-Family-Search:yes, предупреждающий DNS, Яндекс.XML, API Яндекс.Вебмастера, страница диагностики заражённого сайта. В докладе вы узнаете о том, насколько полной и точной является эта информация, как она уже применяется в сервисах и приложениях Яндекса и его партнёров и где ещё может быть применена. А также было рассказано о том, как сравнить Яндекс с другими источниками данных об опасных веб-страницах, и о дополнительных возможностях партнёрства с крупными порталами, социальными сетями и антивирусными компаниями.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
26 ноября к нам в гости с вебинаром "ТОП-7 способов защитить свой ресурс" пришла Анастасия Овчаренко.
На вебинаре мы узнали почему так важна безопасность сайта, на что обращать внимание и как защищаться. Также наша гостья раскрыла 7 секретов защиты Вашего сайта.
Александр Сидоров "Как защитить пользователей от вирусов и фишинга"Yandex
Рассказ об основных API Безопасного Поиска Яндекса, позволяющих проверять, представляет ли страница опасность для пользователей: Safe Browsing API Яндекса, Lookup/check_porn API, HTTP-заголовок «за компьютером ребёнок» X-Yandex-Family-Search:yes, предупреждающий DNS, Яндекс.XML, API Яндекс.Вебмастера, страница диагностики заражённого сайта. В докладе вы узнаете о том, насколько полной и точной является эта информация, как она уже применяется в сервисах и приложениях Яндекса и его партнёров и где ещё может быть применена. А также было рассказано о том, как сравнить Яндекс с другими источниками данных об опасных веб-страницах, и о дополнительных возможностях партнёрства с крупными порталами, социальными сетями и антивирусными компаниями.
QA Fest 2019. Евгений Толчинский. Injections - 4 ways of PenetrationQAFest
Все знают про 2 вида иньекций: SQL и HTML, а мы расмотрим еще XML и command line. Вы скажете это не актуально, но 28% сайтов заражены данной уязвимостью и самое важное, что с помощью данной уязвимости хакер может изменить всю внешную часть сайта. А с помощью command line injection можно увидеть структуру сервера, да и вообще получить доступ к серверу.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
Александр Коротин, Специалист по анализу защищенности в «Лаборатории Касперского», в своем докладе рассказывает об особенностях безопасности систем управления турбинами в электроэнергетике.
Подробнее о конференции: https://kas.pr/kicsconf2021
Семинар пройдет в формате мастер-класса. Слушатели получат как теоритические, так и практические знания.
В рамках мастер-класса будут рассмотрены уязвимости :
• Unrestricted File Upload
• Remote File Inclusion
• Local File Inclusion
Во время мастер-класса будут рассмотрены теоретические аспекты, вышеуказанных уязвимостей, приведены примеры уязвимого исходного кода.
Слушателям будут продемонстрированы примеры эксплуатации уязвимостей, техника обхода различных фильтраций.
Кроме того, будут приведены примеры безопасного написания сценариев.
Так же у каждого будет возможность применить полученные знания на практике.
Similar to СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021 (20)
КАТЕРИНА АБЗЯТОВА «Ефективне планування тестування ключові аспекти та практ...QADay
Lviv Direction QADay 2024 (Professional Development)
КАТЕРИНА АБЗЯТОВА
«Ефективне планування тестування ключові аспекти та практичні поради»
https://linktr.ee/qadayua
Досвід здачі іспиту ISTQB Expert level: подробиці, перепідготовка, актуальніс...QADay
Рамелла Басенко – Lead QA Engineer & Engineering Manager at AgileEngine
- Огляд актуального ISTQB портфоліо з іспитами всіх рівнів
- Детальніше про Expert Level та його напрями
- Цінність сертифікатів ISTQB в сучасних реаліях
- Мій досвід здачі іспиту ISTQB Expert Level і що ж робити коли з першого разу не вийшло
МОРРІС-ВСЕСЛАВ ШОСТАК «Роль QA в індустрії програмного та апаратного забезпеч...QADay
Online QADay 2024 #1
МОРРІС-ВСЕСЛАВ ШОСТАК «Роль QA в індустрії програмного та апаратного забезпечення: Важливість та Виклики»
https://linktr.ee/qadayua
2. - Head of gangsta QA в
- Больше 5 лет тестирую на наличие Web уязвимостей
- Больше 9 лет в тестировании
- Провожу обучение QA Security testing
- Веду блог по Security testing https://svyat.tech
- Веду канал в телеге https://t.me/qa_security
Свят Логин
9. Слайд инструкция №1
Search movie
select title movie
A1:Injection
Select title, release, character, genge, IMDb
From movie
Where
title = ‘$title’
search
Title Release Character Genre IMDb
В случае, если ваш идентификатор украдет злоумышленник, а в системе не были реализованы проверки, скажем IP-адреса сессии, или проверки наличия более одного соединения в одной сессии, злоумышленник сможет получить доступ в систему с правами вашего аккаунта. А если это интернет-банк или кабинет платежной системы, о последствиях такого несанкционированного доступа Вы можете легко догадаться сами.
К этой уязвимости можно отнести брут форс, перехват сессии, использование таблица с хешированными данными
Наверняка многие сталкивались с XSS уязвимостью на каких либо сайтах. Для тех кто не сталкивался, это когда вы заходите на сайт а там поверх него выпрыгивает какой-то попап с информацией не касающегося запрашиваемого сайта. Так сказать своим образом реклама портящая авторитет вашего сайта.
Многие веб-приложения не защищают конфиденциальные данные, такие как кредитные карты и учетные данные для аутентификации. Злоумышленники могут украсть или модифицировать такие слабо защищенные данные для использования в своих корыстных целях.
Пример http не шифрование
отсутствие хеширования
admin
passwords
apps
../
../../
../../../
В 2016 году выявление нарушения потребовало в среднем 191 день