Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...QADay
Kyiv Quality Assurance Day 2019
ЄВГЕНІЙ ТОЛЧИНСКИЙ
«Як manual QA може протестувати проект з боку security»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kyiv.qaday.org
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...QADay
Kyiv Quality Assurance Day 2019
ЄВГЕНІЙ ТОЛЧИНСКИЙ
«Як manual QA може протестувати проект з боку security»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kyiv.qaday.org
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web ...QAFest
В своем докладе на практических примерах поведаю вам, как проводить поиск различных видов уязвимостей для улучшения безопасности веб-приложений. Специальными гостями нашей программы будут:
- xss
- sql injection
- man in the middle
- brute force
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
Александр Коротин, Специалист по анализу защищенности в «Лаборатории Касперского», в своем докладе рассказывает об особенностях безопасности систем управления турбинами в электроэнергетике.
Подробнее о конференции: https://kas.pr/kicsconf2021
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Що ми будемо робити на вебінарі? Ми розберемо такі явища
✅ як нарцистичний розлад особистості,
✅ грандіозний нарцисизм,
✅ газлайтинг,
✅ знецінення,
✅ гойдалки вина-лють-вина,
✅ нарцистичне розширення,
✅ бомбардування любов’ю,
✅ мімікрування,
✅ створення ілюзорного майбутнього,
✅ контроль,
✅ спалахи гніву,
✅ вгадування майбутнього,
✅ вибір перебором, трошки хлібчика, щоб не подох,
✅ відштовхування/кидання/блокування,
✅ покарання мовчанням.
МАНІПУЛЯЦІЇ: ХТО КОГО І ДЛЯ ЧОГО? - Інна ТіторенкоDakiry
ВЕБІНАР: "МАНІПУЛЯЦІЇ: ХТО КОГО І ДЛЯ ЧОГО?":
Що таке маніпуляції?
Які бувають види маніпуляції, як їх відрізнити?
Хто і чому маніпулює?
Чи добре чи погано маніпулювати?
І звичайно, як їм протистояти?
Під час доповіді поговоримо про участь бізнес-аналітиків і розкриємо основні складові discovery workshop:
- Організація. Коли проведення воркшопу, окрім стартової фази, є максимально ефективним?
- Підготовка. Як почати з нічого і якісно підготуватись до воркшопу у стислі терміни?
- Проведення: Workshop Do’s and Don’ts. Приклади технік і вправ, а також приблизний план самого воркшопу.
- Оформлення кінцевих результатів або презентації, що запам’ятовуються
З понеділка йду на новий проект. The tester’s version - Олександра ЗубальDakiry
З понеділка йду на новий проект. The tester’s version - Олександра Зубаль:
- Коли тестувальнику починати тестувати? Очікування VS реальність
- Новий проєкт. Шо робити?
- Старий проєкт, але змінюється тестувальник. Шо робити?
- Як все зібрати докупи, розкласти по поличках і почати нормально спати ночами?
2. - QA gangsta Lead в
- Больше 3 лет тестирую на наличие Web уязвимостей
- Больше 6 лет в тестировании
- Провожу тренинги по OWASP TOP 10
- Спикер множественных конференций по тестированию:
QA Fest, SQA Days, BAQ conference и тд.
- Член программного комитета QA Fest
- Веду блог по Security testing https://svyat.tech
Свят Логин
15. DOM-моделиA7:XSS
- Изменить страницу сайта
- Выполнить действия от имени какого-то
пользователя
- Воровство куки
- Атака на браузер (сафари и експлорер 7)
Аврора ms10_002_aurora
- Кейлоггер
- Сканирование внутренней сети
17. Поиск XSS -> OWASP ZAP
OWASP ZAP- это инструмент для
тестирования на проникновения и
нахождения уязвимостей в веб-
приложениях.
A7:XSS
18. Каковы плюсы OWASP ZAP
- Перехват прокси
- Автоматизированный сканер
- Fuzzing
- Поддержка аутентификаций и
сессий
- Мощный API на основе REST
- Поддержка большого количества
скриптовых языков
- Активно развивается
международной командой
добровольцев
A7:XSS
20. Как защититьсяA7:XSS
● Использование фреймворков, которые автоматически убирают
возможность эксплуатации XSS
● Ознакомиться с Cheat Sheet OSSASP «Профилактика XSS»
● Ознакомиться с OATSP Cheat Sheet «DOM based XSS Prevention» .
25. Векторы атаки: SQL, LDAP, XPathA1:Injection
Select *
From users
Where
user_name = ‘$username’
AND password = ‘$password’
Authorization
User
Pass
26. Векторы атаки: SQL, LDAP, XPath
Authorization
User
Pass
Svyat
1234
A1:Injection
Select *
From users
Where
user_name = ‘Svyat’
AND password = ‘1234’
id username password email
1 Svyat 1234 svyat@com.ua
27. Векторы атаки: SQL, LDAP, XPath
Authorization
User
Pass
admin
‘ OR 1=1 --
A1:Injection
Select *
From users
Where
user_name = ‘admin’
AND password = ‘’ OR 1=1 --’
28. Векторы атаки: SQL, LDAP, XPath
Authorization
User
Pass
admin
‘ OR 1=1 --
A1:Injection
Select *
From users
Where
user_name = ‘admin’
AND password = ‘’
OR 1=1 --
id username password email
0 admin ________ admin@com.ua
30. SQL injectionПоиск SQL injection -> SQLmap
SQLmap- это инструмент с открытым
исходным кодом для тестирования на
проникновение, который
автоматизирует процесс выявления и
эксплуатирования уязвимостей SQL-
инъекций и захват серверов баз
данных.
A1:Injection
31. SQL injectionРабота с SQLmap
-u для указания URL
--data для передачи локаторов для ввода
--cookie для передачи куки для запросов
--dbs смотрим какие базы доступны
--table смотрим таблицу
--columns смотрим колонки
--dump скачиваем путь к базе
A1:Injection
34. SQL injectionКак защититься
1) Использование безопасного фреймворка для обработки
вводимых данных пользователем (Алхимия)
1) Использование «белого списка» и «черного списка» на
стороне сервера
1) Для любых динамических запросов избегайте специальных
символов либо используйте фильтрацию введенного
1) Использование LIMIT и других элементов управления SQL в
запросах
A1:Injection
41. Как защититься
1. Не позволяйте посторонним лицам иметь доступ в
вашу сеть.
2. Когда вы сами пользуетесь публичными точками
доступа, то, хотя бы, помните об угрозе перехвата
пароля.
A3:SensitiveDataExposure
46. Как защититься
● Многофакторная аутентификация для предотвращения автоматических атак
● Не отправляйте в URL данные для работы с приложением
● Внедрение проверок с плохими паролями
https://github.com/danielmiessler/SecLists/tree/master/Passwords
● Используйте пароли с инструкциями NIST 800-63 в разделе 5.1.1
https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret
● Ограничение или увеличение задержки неудачных попыток входа в систему
A2:BrokenAuthentication
Следующий пример Хранимой xss, в учасниках у нас все тот же сео менеджер и обычный пользователь. Менеджер нашел уже уязвимость которая не требует отправки особых урлов. А обнаружил что есть уязвимость, которую единожды внедрил на сайт и все пока ее не убирут разрабы, она будет воспроизводиться постоянно. А именно засунул скриптик с картинкой в поле которое не подразумивает работу с картинками, но после отправки картинка отобразиться во всей своей красе и при каждом заходе пользователи будут видить ту самую рекламу в простом месенджере
t
http:get.hack.from.user?key=t
f
http:get.hack.from.user?key=f
n
http:get.hack.from.user?key=n
Это опаснейшая уязвимость, позволяющая злоумышленнику получить доступ к базе данных и возможность читать/изменять/удалять информацию, которая для него не предназначена.
Такие уязвимости будем искать с помощью приложения sqlmap.
В случае, если ваш идентификатор украдет злоумышленник, а в системе не были реализованы проверки, скажем IP-адреса сессии, или проверки наличия более одного соединения в одной сессии, злоумышленник сможет получить доступ в систему с правами вашего аккаунта. А если это интернет-банк или кабинет платежной системы, о последствиях такого несанкционированного доступа Вы можете легко догадаться сами.
К этой уязвимости можно отнести брут форс, перехват сессии, использование таблица с хешированными данными