Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Ruslan Begaliev
Как правильно поставить ТЗ на создание сайта.
Как правильно закладывать структуру сайта при разработке.
Какие KPI поставить перед подрядчиком при SEO. оптимизации сайта.
Как самостоятельно проверить эффективность контекстной рекламы.
Как анализировать ROI в контекстной рекламе.
Improving web application defenses against XSS.Grid Dynamics
The web is rapidly developing, however common web applications still have problems. One of which is XSS (Cross-Site scripting), which took 7th place in OWASP-10 in 2017. We’ll talk about the vulnerability itself, exploitation methods and how to be protected from it.
Презентация системы управления контентом сайта "ModernCMS" для номинации Startup Challenge, конкурса информационных технологий "Золотой Байт 2013-2014".
Не судите строго, это моя первая презентация направленная на серьёзные цели.
Stuck in the Middle with You: Exploring the Connections Between Your App and ...Justin Weiss
Our apps are becoming more complicated and more distributed. We’re extracting APIs and handling callbacks and pings from the services we depend on. We’re using our data and services from different clients, like rich JavaScript applications and mobile apps. And as we fling our logic into more places, it’s harder to see what’s actually going on between them. If you’re working in applications that have become a forest of APIs and services, or you’ve ever said, “I really wish I could just see what kind of data this server thinks I’m handing it, and what I’m getting back,” this talk is for you. With a few tools and some simple techniques, you’ll watch the data go from your apps to your APIs and see your responses, callbacks, and pings come back.
Usage Of Paros & Charles For SSL DebuggingPradeep Patel
Paros and Charles are tools that can intercept SSL encrypted traffic by acting as a man-in-the-middle. They emulate the server when talking to the client and the client when talking to the server, allowing the intercepted traffic to be viewed and analyzed in plain text. To use Paros, one configures it as either an outgoing or local proxy and then sets the browser to use that proxy. Any HTTPS traffic can then be seen by Paros, including usernames and passwords. Paros also allows modifying the intercepted traffic using traps. Charles works similarly by configuring it as the proxy on the client device. These tools are useful for debugging, development, and testing applications using SSL, not for illegal hacking.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Ruslan Begaliev
Как правильно поставить ТЗ на создание сайта.
Как правильно закладывать структуру сайта при разработке.
Какие KPI поставить перед подрядчиком при SEO. оптимизации сайта.
Как самостоятельно проверить эффективность контекстной рекламы.
Как анализировать ROI в контекстной рекламе.
Improving web application defenses against XSS.Grid Dynamics
The web is rapidly developing, however common web applications still have problems. One of which is XSS (Cross-Site scripting), which took 7th place in OWASP-10 in 2017. We’ll talk about the vulnerability itself, exploitation methods and how to be protected from it.
Презентация системы управления контентом сайта "ModernCMS" для номинации Startup Challenge, конкурса информационных технологий "Золотой Байт 2013-2014".
Не судите строго, это моя первая презентация направленная на серьёзные цели.
Stuck in the Middle with You: Exploring the Connections Between Your App and ...Justin Weiss
Our apps are becoming more complicated and more distributed. We’re extracting APIs and handling callbacks and pings from the services we depend on. We’re using our data and services from different clients, like rich JavaScript applications and mobile apps. And as we fling our logic into more places, it’s harder to see what’s actually going on between them. If you’re working in applications that have become a forest of APIs and services, or you’ve ever said, “I really wish I could just see what kind of data this server thinks I’m handing it, and what I’m getting back,” this talk is for you. With a few tools and some simple techniques, you’ll watch the data go from your apps to your APIs and see your responses, callbacks, and pings come back.
Usage Of Paros & Charles For SSL DebuggingPradeep Patel
Paros and Charles are tools that can intercept SSL encrypted traffic by acting as a man-in-the-middle. They emulate the server when talking to the client and the client when talking to the server, allowing the intercepted traffic to be viewed and analyzed in plain text. To use Paros, one configures it as either an outgoing or local proxy and then sets the browser to use that proxy. Any HTTPS traffic can then be seen by Paros, including usernames and passwords. Paros also allows modifying the intercepted traffic using traps. Charles works similarly by configuring it as the proxy on the client device. These tools are useful for debugging, development, and testing applications using SSL, not for illegal hacking.
Charles Proxy, um canivete suíço para o dia a dia de desenvolvimento (testes)Grupo de Testes Carioca
Charles Proxy é uma das ferramentas mais poderosas para auxilio ao desenvolvimento e testes no dia a dia. Você já pensou em poder ver tudo que está acontecendo na comunicação entre seu app e o servidor? E se você puder manipular facilmente todas as informações de Request ou Response? O objetivo da palestra é trazer um pouco da experiência das trincheiras, demonstrando as principais funcionalidades da ferramenta e como você pode se beneficiar delas para facilitar seu trabalho.
Modern Tools for API Testing, Debugging and MonitoringNeil Mansilla
Presented at DocuSign Momentum DevCon 2015 in San Francisco by Neil Mansilla. During the presentation, I discussed a number of useful community tools for API testing/debugging, followed by several live demos of Runscope API testing and monitoring tools. For more information, or to try Runscope, visit https://www.runscope.com
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...Ontico
HighLoad++ 2017
Зал «Мумбай», 7 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2900.html
Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"?
...
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QAFest
Цель моего доклада, показать, что XSS-атаки - это не всегда просто, а если даже и просто, то во многих стлучаях может привести к серьезным последствиям для бизнеса. Я подробно остановлюсь на следующих аспектах:
- типы XSS-аттак
- какие последствия
- какими инструментами можно и нужно тестировать
Similar to Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать (20)
Как обеспечить безопасность клиентских сайтовrevisium
Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
6. — начинаются, как только сайт появился в
поисковой выдаче
— никогда не прекращаются
— выборка сайтов на основе SERP (GHDB)
— два вида атак: сканирование и эксплуатация
уязвимостей
10. — взломают сайт через соседний по аккаунту
— перехватят доступы через WI-FI в кафе, украдет троян
на компьютере, уведут через «фишинг» или
взломанный email
— «сбрутят» пароль от FTP/SSH
— внедрят вирусный код через phpmyadmin в базу
данных
— сам веб-мастер установит зараженный компонент
— «рутанут» сервер VPS/хостинга
11.
12. — перехват (кража) доступов
— брутфорс атака на FTP/SSH/панель хостинга
— взлом сайта через соседние сайты на аккаунте
— компрометация сервера хостинга
13. — грамотный выбор хостера
— изолированное размещение сайтов
— ограничение по IP, двухфакторная аутентификация
— регулярная смена паролей
— работа по безопасному каналу (VPN)
— нет FTP, да - SFTP или хотя бы FTPS
— минимизация доступных функций в панели
14. — недобросовестный подрядчик (веб-мастер,
программист, контент-менеджер) оставляет
«закладки»
— подрядчик устанавливает зараженные
компоненты (nulled, не покупает)
— утечка доступов к хостингу/сайту у подрядчиков
— социальная инженерия / фишинг
15. — управлять доступами (сразу менять после
завершения работ, предоставлять
минимальные привилегии на минимальный
срок)
— аудит после проведения работ
— инструктаж подрядчиков
— работа по договору
16. — выработать политику безопасности
— технические меры защиты
— организационные меры защиты
— информирование подрядчиков/персонал, контроль за
исполнением
— уязвимостью часто бывает сам человек
— безопасность - это процесс
— только комплексный подход гарантирует
безопасность