Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно.
В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно.
В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Как обеспечить безопасность клиентских сайтовrevisium
Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
2. Как грамотно реагировать на инцидент
Какие шаги предпринять в первую очередь
Как наиболее быстро и эффективно восстановить
сайт
Как предотвратить взлом в будущем
3. Взламывают сайты, независимо от популярности,
показателей и размещаемой информации
Любой сайт интересен злоумышленнику (доход
или инструмент для взлома)
В зону риска попадают коммерческие ресурсы с
высокими показателями (посещаемость, ИЦ, PR)
и на cms с известными уязвимостями
Владельцы не уделяют внимание проблеме
безопасности
4. Хищение конфиденциальных данных
Нанесение ущерба имиджу компании/владельцу
Снижение прибыли или потеря бизнеса
Паразитирование на сайте
Технические сбои или уничтожение сайта
5. Прямые и косвенные признаки взлома
Дефейс
Обнаружение вредоносного кода хостером или при сканировании
антивирусом
Жалоба на спам-рассылку
Жалобы на превышение нагрузки на сервер, медленный отклик
сайта
Мобильный редирект при заходе с мобильного устройства
Срабатывание антивируса
Обнаружение чужих файлов на хостинге
Сбои в работе сайта (админ-панели, ошибки на страницах)
Появление сайтов-клонов
Снижение посещаемости
6. Блокировка площадки и сайта
чтобы остановить распространение вредоносного кода, остановить спам и не допустить появление
нового вредоносного кода на сайте.
Блокировать сайт через корневой .htaccess или в панели
управления хостингом. Разрешить для своих IP.
Order deny, allow
Deny from All
Allow from 1.2.3.4
Блокировать доступ по ftp/ssh через .ftpaccess или в панели
управления хостингом. Разрешить для своих IP.
Для лендинг страниц изменить директорию сайта для домена
Не использовать лендинг страницы или перевод в технический
режим в cms.
7. Проверка рабочих компьютеров антивирусом
Смена паролей
Панель управления хостингом
FTP (желательно отключить)
SSH
Админ-панель сайта
База данных
8. Сбор информации о взломе
Запросить в тех поддержке логи веб-сервера
(error_log/access_log),
ftp-сервера (xferlog), системные логи (syslogd)
В случае спам-рассылки – логи почтового сервера (maillog)
Информацию по запущенным процессам и загрузке (ps/top)
Логи админ-панели cms
Логи панели управления хостингом
Логи запросить за максимально доступный период
9. Протоколирование проблем после взлома для
диагностики и анализа
Источник информирования о проблеме (антивирусное ПО,
пользователи, поисковые системы, хостинг)
Предполагаемые дата/время инцидента (дефейса, обнаружения
взлома, спам-рассылки). Дата рассылки, дата создания
посторонних файлов на хостинге, дата обращения посетителя,
дата детектирования антивирусным ПО или поисковой системой.
Список обнаруженных сторонних файлов на хостинге, если
возможно
Информация по проблеме от посетителей или собственный опыт
(сценарий поведения на сайте, скриншоты сайта или сообщений
антивируса, браузер, IP адрес, операционная система, время, тип
устройства, регулярность воспроизведения проблемы)
Для спам-рассылки – примеры рассылаемых писем
10. Определение способа взлома
Проверить логи веб-сервера (access_log/error_log), почтового
сервера и ftp-сервера в окрестностях зафиксированной даты
взлома.
В error_log искать ошибки 403/404 при попытке получить
доступ к системным файлам /etc/passwd, ../../../, eval, sql
команды, base64 последовательности, доступ к timthumb, jce,
tinymce скриптам, доступ в админ-панель
В access_log тоже + посмотреть активные запросы с одного IP,
к скриптам php со сгенерированными случайно именами
В xferlog искать обращения к .htaccess и index.php, index.html
В логе почтового сервера смотреть массовую отправку писем
11. Восстановление сайта из резервной копии
Резервная копия в CMS (автоматическая)
Резервная копия на хостинге (автоматическая)
Локальная резервная копия (вручную)
Выбор стратегии резервного копирования
12. Лечение сайта и установка защиты
Проверка файлов и бэкапа базы данных сканерами вредоносного
кода (AI-BOLIT, Maldet, ClamAv)
Удаление вредоносного кода: шеллов, бэкдоров, вирусных js
вставок, дорвеев, спам-рассыльщиков и пр.
Обновление CMS и плагинов
Изменение прав на файлы и папки
Защита панели администратора дополнительной авторизацией
Установка Web Application Firewall
Изменение настроек веб-сервера: отключение системных
функций в php.ini, включение логирования, отключение
сообщений об ошибках
Добрый день, уважаемые зрители канала Seopult.tv. Меня зовут Григорий Земсков, директор компании Ревизиум, специализирующейся на лечении сайтов и защите от взлома.
Тема сегодняшнего мастер-класса “Восстановление сайта после взлома”. В этом выпуске я расскажу, как грамотно реагировать на данный инцидент, какие шаги предпринять в первую очередь, что сделать, чтобы наиболее быстро и эффективно восстановить сайт и предотвратить взлом в будущем.
Правда жизни такова, что сайты взламывают независимо от того, насколько они популярны, сколько приходит посетителей в сутки и типа размещаемой информации.
Любой сайт представляет интерес для злоумышленника, поскольку может использоваться не только как источник заработка, но и в качестве инструмента взлома других сайтов. Поэтому как интернет-магазин, так и персональный блог могут быть целью хакера. А если сайт имеет высокую посещаемость, большие показатели ИЦ/PR, или реализован на cms с известными уязвимостями, то он тем более попадает в зону риска и вероятность возрастает в разы.
К сожалению, в настоящий момент мало кто из владельцев сайтов уделяет внимание проблемам безопасности и защите своих ресурсов. Большая часть решает проблемы по мере их возникновения, то есть уже по факту взлома сайта, компрометации данных, блокировки сайта хостингом или антивирусами.
В результате чего как минимум страдает имидж сайта/бизнеса, а владелец коммерческого ресурса или интернет-магазина теряет существенные деньги.
Перед тем перейти к рассказу непосредственно о мерах по восстановлению сайтов я бы хотел немного уделить внимание последствиям взлома, чтобы было понятно, чем он может чреват владельцу ресурса.
Аналогично можно выполнять анализ хакерской активности для других файлов, например, шаблонов или индексных файлов cms. Раскручивать последовательность действий на основе логов по датам и ip адресам, выстраивая цепочку операций до момента получения несанкционированного доступа. После того как источник проникновения обнаружен, становится понятно, как защитить сайт от повторного взлома и заражения.