Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Тестирование на проникновение сетей телекоммуникационных компаний является одной из наиболее сложных, но и интересных задач подобного рода. Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей будет рассказано в докладе Сергея Гордейчика.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Тестирование на проникновение сетей телекоммуникационных компаний является одной из наиболее сложных, но и интересных задач подобного рода. Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей будет рассказано в докладе Сергея Гордейчика.
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...Ontico
Захотят ли суровые админы принять модный тренд за основу своей работы? И получится ли изолированно от разработки принести пользу бизнесу?
Это те вопросы, которые мы даже не задавали себе, когда 3 года назад совет директоров поставил перед службой эксплуатации задачу увеличить стабильность сайта.
Я покажу, что находится за горизонтом событий службы эксплуатации. Опишу признаки DevOps, которые служили ориентирами на пути к результату. И опишу инструменты, которые сработали: за 3 года стабильность работы сайта hh.ru выросла в 10 раз.
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITYPavel Tsukanov
то такое "Непрерывная Интеграция", зачем она нужна и с чем ее едят? Правда ли, что она нужна только для тестировщиков? На все эти вопросы мы постараемся найти ответы в ходе выступления Щербакова Ильи на нашей следующей юзер-группе.
Состояние сетевой безопасности в 2016 году Qrator Labs
Отчёт компаний Qrator и Wallarm, представленный вашему вниманию, посвящён главным событиям и основным тенденциям в области сетевой безопасности.
Отдельное внимание в отчёте уделяется проблематике DDoS, инфраструктуры Интернета и уязвимостям, а также взломам широко используемого ПО и других продуктов с электронной составляющей — устройств, подключённых к Сети.
Интеграция TeamCity и сервера символов | Алексей СоловьевPositive Hack Days
1. Что такое сервер отладочных символов, его предназначение.
2. Отладочная информация (отладочные символы) – информация, которую генерирует компилятор на основе исходных кодов. Содержит информацию об именах файлов исходников, переменных, процедур, функций.
3. Сервер отладочной информации – сервер, основное предназначение которого – хранение отладочной информации, ее индексирование и предоставления доступа.
Модель системы Continuous Integration в компании Positive Technologies | Тиму...Positive Hack Days
1. Первоначальные типовые схемы, предлагаемые DevOps для всех проектов компании:
Build – Deploy – Testing – Promote
2. Реализация схемы на примерах наших проектов в TeamCity.
3. К чему мы пришли. Общая схема Continuous Integration:
Build – Deploy – Testing – Promote – Publishing – Delivery – Install & Update
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...Positive Hack Days
1. Описание старого процесса сбора данных о тестах: как было до, что хорошего, что плохого
2. Influxdb, как хранилище time-series данных,
3. Zabbix - мониторинг нагрузочных стендов: windows и linux агенты, активный сбор данных, autodiscovery виртуальных машин в esx
4. Grafana, как способ превратить графики и дашборды в конфетку
5. Автоматизация нагрузки от пользователей через web-UI при помощи Jmeter, отображение статистики в реальном времени, CI в Teamcity
Node.js Меньше сложности, больше надежности Holy.js 2021Timur Shemsedinov
If Node.js is your everyday tool, it's almost certain that you use it in the wrong way, Timur will prove that in a very short review, uncover anti-patterns in your daily standard solutions, and show you the way to much better practices. The only thing that creates obstacles in your way to knowledge is your laziness.
Нужно ли внедрять DevOps. Как добиться чего-то от эксплуатации / Андрей Шорин...Ontico
Захотят ли суровые админы принять модный тренд за основу своей работы? И получится ли изолированно от разработки принести пользу бизнесу?
Это те вопросы, которые мы даже не задавали себе, когда 3 года назад совет директоров поставил перед службой эксплуатации задачу увеличить стабильность сайта.
Я покажу, что находится за горизонтом событий службы эксплуатации. Опишу признаки DevOps, которые служили ориентирами на пути к результату. И опишу инструменты, которые сработали: за 3 года стабильность работы сайта hh.ru выросла в 10 раз.
CONTINUOUS INTEGRATION ДЛЯ ЧАЙНИКОВ ВМЕСТЕ С TEAMCITYPavel Tsukanov
то такое "Непрерывная Интеграция", зачем она нужна и с чем ее едят? Правда ли, что она нужна только для тестировщиков? На все эти вопросы мы постараемся найти ответы в ходе выступления Щербакова Ильи на нашей следующей юзер-группе.
Состояние сетевой безопасности в 2016 году Qrator Labs
Отчёт компаний Qrator и Wallarm, представленный вашему вниманию, посвящён главным событиям и основным тенденциям в области сетевой безопасности.
Отдельное внимание в отчёте уделяется проблематике DDoS, инфраструктуры Интернета и уязвимостям, а также взломам широко используемого ПО и других продуктов с электронной составляющей — устройств, подключённых к Сети.
Интеграция TeamCity и сервера символов | Алексей СоловьевPositive Hack Days
1. Что такое сервер отладочных символов, его предназначение.
2. Отладочная информация (отладочные символы) – информация, которую генерирует компилятор на основе исходных кодов. Содержит информацию об именах файлов исходников, переменных, процедур, функций.
3. Сервер отладочной информации – сервер, основное предназначение которого – хранение отладочной информации, ее индексирование и предоставления доступа.
Модель системы Continuous Integration в компании Positive Technologies | Тиму...Positive Hack Days
1. Первоначальные типовые схемы, предлагаемые DevOps для всех проектов компании:
Build – Deploy – Testing – Promote
2. Реализация схемы на примерах наших проектов в TeamCity.
3. К чему мы пришли. Общая схема Continuous Integration:
Build – Deploy – Testing – Promote – Publishing – Delivery – Install & Update
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...Positive Hack Days
1. Описание старого процесса сбора данных о тестах: как было до, что хорошего, что плохого
2. Influxdb, как хранилище time-series данных,
3. Zabbix - мониторинг нагрузочных стендов: windows и linux агенты, активный сбор данных, autodiscovery виртуальных машин в esx
4. Grafana, как способ превратить графики и дашборды в конфетку
5. Автоматизация нагрузки от пользователей через web-UI при помощи Jmeter, отображение статистики в реальном времени, CI в Teamcity
Node.js Меньше сложности, больше надежности Holy.js 2021Timur Shemsedinov
If Node.js is your everyday tool, it's almost certain that you use it in the wrong way, Timur will prove that in a very short review, uncover anti-patterns in your daily standard solutions, and show you the way to much better practices. The only thing that creates obstacles in your way to knowledge is your laziness.
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Такой (не)безопасный веб
1. Такой (не)безопасный веб
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies
2. Positive Technologies – это:
MaxPatrol – уникальная система анализа
защищенности и соответствия стандартам
XSpider – инновационный сканер безопасности
Positive Research – один из крупнейших
исследовательских центров в Европе
Positive Hack Days – международный форум по
практической информационной безопасности
3. Мы
Проводим более 20-ти крупномасштабных
тестирований на проникновение в год
Анализируем защищенность веб-приложений
на потоке
Участвуем в ПК 3, разработке СТО БР ИББС
Развиваем SecurityLab.ru – самый
популярный интернет-портал, посвященный
информационной безопасности
Лицензиаты ФСТЭК, ФСБ, Министерства
обороны РФ
4. Опасный мир веб-приложений
По данным компании Positive Technologies за 2010-
2011 год
• 64% сайтов содержат критические уязвимости
• 98% сайтов содержат уязвимости средней степени риска
• Если ваш сайт содержит уязвимость RCE, то с
вероятностью в 92% он будет заражен вредоносным
кодом (!)
http://www.ptsecurity.ru/lab/analytics/
Данные основываются на детальном анализе 123 сайтов, в которых было обнаружено 1817
уязвимостей различной степени риска.
6. Языки программирования веб-ресурсов
4% Самым
распространенным
14% языком веб-
программирования
стал PHP
Значительная доля
19% приложений
написана на
63% ASP.NET или Java
Доля сайтов на
Perl и Ruby крайне
мала
PHP ASP.NET Java другие
7. Характерные уязвимости для сайтов на различных
языках программирования
PHP Доля сайтов ASP.NET Доля сайтов Java Доля сайтов
Cross-Site Request Cross-Site Insufficient
73% 39% 41%
Forgery Scripting Authorization
Cross-Site Request Cross-Site Request
SQL Injection 61% 35% 35%
Forgery Forgery
Cross-Site Insufficient Anti- Application
43% 35% 29%
Scripting automation Misconfiguration
Insufficient Anti- Insufficient
42% SQL Injection 22% 29%
automation Authentication
Application
Path Traversal 42% 17% OS Commanding 29%
Misconfiguration
81% сайтов на PHP содержат критические уязвимости
Наименее распространены критические уязвимости
среди сайтов, написанных на ASP.NET
8. Веб-сервера, используемые участниками
тестирования
16% Самым
предпочитаемым
веб-сервером
оказался Apache, на
10% втором месте –
Microsoft IIS, на
третьем – Nginx
57%
Кроме них
17% участники выбирали
Jboss, Tomcat, IBM
HTTP Server, Oracle
Application Server и
другие
Apache IIS Nginx другие
9. Уязвимости конфигурации и функционирования веб-
серверов
% сайтов Apache IIS nginx
90% 83%
75%
80%
67%
70%
60% 54%
50% 43%
39%
40% 33%
29% 26% 25% 25%
30%
20% 9% 8%
5% 5% 4% 5% 3% 0%
10% 0% 1%
0%
Information Insufficient Predictable Improper Directory Server Insecure Indexing
Leakage Transport Layer Resource Filesystem Indexing Misconfiguration
Protection Location Permissions
Наилучший уровень защищенности среди веб-серверов
показал Microsoft IIS
Среди сайтов на Nginx гораздо больший процент
содержащих уязвимости, связанные с ошибками
администрирования
10. Распространенность уязвимостей высокой степени
риска на сайтах из различных секторов экономики
% сайтов 88%
90% 75%
80% 65%
70%
50%
60% 43%
50%
40%
30%
20%
10%
0%
Финансовый сектор Промышленность Государственный сектор
Информационные технологии
Телекоммуникации
Сайты финансового и промышленного секторов
лидируют по защищенности от критических
уязвимостей
Худший показатель у ресурсов телекоммуникационной
области
11. Системы управления содержимым сайта
17%
58% используют
коммерческие
системы управления
содержимым, 25% -
свободные, 17% -
25% 58%
написанные
специально для
приложения
Коммерческие
Свободные
Собственной разработки
12. Сравнение уровня уязвимости сайтов с CMS различных
типов
% сайтов Коммерческие Свободные Собственной разработки
70% 65% 65%
60% 59%
60% 55%
47% 48%
50% 45%
40%
38%
40% 34% 33%
29% 28% 30%
30% 24%
20%
20%
10% 10%
8%
10% 5%
0% 0% 2%
0%
SQL Injection OS Commanding Path Traversal Malware Detect
Remote File Inclusion (RFI) Scripting
Cross-Site Cross-Site Request Forgery Injection
Null Byte
Практически по всем критическим и распространенным
уязвимостям сайты с CMS собственной разработки
демонстрируют наихудшие показатели защищенности
Сайты со свободными CMS чаще содержат уязвимость OS
Commanding и значительно чаще оказываются заражены
вредоносным кодом
13. Простые правила обеспечения безопасности веб-
приложений
Используемые идентификаторы и
пароли
Разграничение доступа
Отсутствие избыточных компонент
Использование встроенных и
сторонних средств защиты
Своевременная установка обновлений
и мониторинг безопасности
14. Простые правила обеспечения безопасности веб-
приложений
Безопасность операционных систем (на примере Windows)