Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
Александр Сидоров "Как защитить пользователей от вирусов и фишинга"Yandex
Рассказ об основных API Безопасного Поиска Яндекса, позволяющих проверять, представляет ли страница опасность для пользователей: Safe Browsing API Яндекса, Lookup/check_porn API, HTTP-заголовок «за компьютером ребёнок» X-Yandex-Family-Search:yes, предупреждающий DNS, Яндекс.XML, API Яндекс.Вебмастера, страница диагностики заражённого сайта. В докладе вы узнаете о том, насколько полной и точной является эта информация, как она уже применяется в сервисах и приложениях Яндекса и его партнёров и где ещё может быть применена. А также было рассказано о том, как сравнить Яндекс с другими источниками данных об опасных веб-страницах, и о дополнительных возможностях партнёрства с крупными порталами, социальными сетями и антивирусными компаниями.
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
"86% всех сайтов имеют хотя бы одну серьезную уязвимость" WhiteHat Security
Уязвимости приложений относящиеся к управлению сессиями занимают 2ое место в десятке самых распространенных уязвимостей. Уязвимые к атаке сессии позволяют злоумышленнику перехватить сессию пользователя, получить его логин-пароль , тем самым полностью завладеть данными пользователя в веб-приложении. •рассмотрим, как вообще устроена сессия в веб-приложении
•на живых примерах изучим распространенные в уязвимости веб-сессий
•разберем рекоммендации по устранению данных уязвимостей
•рассмотрим несколько инструменты необходимых при тестировании безопасности веб-сессий
Будут рассмотрены следующие уязвимости: Session Fixation, Session Hijacking, Cross-Site Request Forgery.
Данный доклад позволит вам не только ознакомиться с теорией, как тестировать безопасность веб-сессии, но и даст "стартовые" знания для того, чтобы попробовать это тестирование на своем проекте.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
Александр Сидоров "Как защитить пользователей от вирусов и фишинга"Yandex
Рассказ об основных API Безопасного Поиска Яндекса, позволяющих проверять, представляет ли страница опасность для пользователей: Safe Browsing API Яндекса, Lookup/check_porn API, HTTP-заголовок «за компьютером ребёнок» X-Yandex-Family-Search:yes, предупреждающий DNS, Яндекс.XML, API Яндекс.Вебмастера, страница диагностики заражённого сайта. В докладе вы узнаете о том, насколько полной и точной является эта информация, как она уже применяется в сервисах и приложениях Яндекса и его партнёров и где ещё может быть применена. А также было рассказано о том, как сравнить Яндекс с другими источниками данных об опасных веб-страницах, и о дополнительных возможностях партнёрства с крупными порталами, социальными сетями и антивирусными компаниями.
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
"86% всех сайтов имеют хотя бы одну серьезную уязвимость" WhiteHat Security
Уязвимости приложений относящиеся к управлению сессиями занимают 2ое место в десятке самых распространенных уязвимостей. Уязвимые к атаке сессии позволяют злоумышленнику перехватить сессию пользователя, получить его логин-пароль , тем самым полностью завладеть данными пользователя в веб-приложении. •рассмотрим, как вообще устроена сессия в веб-приложении
•на живых примерах изучим распространенные в уязвимости веб-сессий
•разберем рекоммендации по устранению данных уязвимостей
•рассмотрим несколько инструменты необходимых при тестировании безопасности веб-сессий
Будут рассмотрены следующие уязвимости: Session Fixation, Session Hijacking, Cross-Site Request Forgery.
Данный доклад позволит вам не только ознакомиться с теорией, как тестировать безопасность веб-сессии, но и даст "стартовые" знания для того, чтобы попробовать это тестирование на своем проекте.
Услуги и решения Softline в области информационной безопасности. Прикладные и инфраструктурные решения. Соответствие требованиям (compliance). Сетевая безопасность. Аудит информационной безопасности.
Кибербезопасность новой информационной среды (10.03.01. Информационная безопа...Александр Владыка
Образовательная программа "Кибербезопасность новой информационной среды" по направлению подготовки бакалавриата "Информационная безопасность" для абитуриентов, поступающих летом 2017 года в Московский Политех
Лето нашей мечты - сдать ЕГЭ, поступить на бюджет и начать карьеру с 1-го курсаАлександр Владыка
Презентация правил приёма в Московский Политех летом 2017 года. Для абитуриентов и родителей. По всем вопросам обращайтесь в отдел продвижения образовательных программ к Александру Владыке 8 495 223-05-23 доб. 1261
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Доклад Максима Гопея для "Съесть собаку #8", PHP, 20/04/17
Тезисы:
- Моделирование угрозы
- Виды атак и уязвимостей в коде
- Как проверять безопасность систем
- Выводы.
3. Определение ИБ
Информационная безопасность – это практическая защита информации от
несанкционированного доступа, использования, разглашения, нарушения
целостности, модификации, чтения, инспектирования, записи или уничтожения.
Информационная безопасность — состояние сохранности информационных
ресурсов и защищенности законных прав личности и общества в
информационной сфере.
Информационная безопасность – это процесс обеспечения конфиденциальности,
целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только
авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и методов ее
обработки.
Доступность: Обеспечение доступа к информации и связанным с ней активам
авторизованных пользователей по мере необходимости.
5. Еще немного терминологии
Угроза - это потенциально возможное событие,
которое посредством воздействия на компоненты
информационной системы (ИС) может привести к
нанесению ущерба.
Уязвимость - это свойство ИС, использование
которого нарушителем может привести к реализации
угрозы.
Атака - это любое действие нарушителя, которое
приводит к реализации угрозы путем использования
уязвимостей информационной системы.
8. Веб-приложение
Веб-приложение — клиент-серверное приложение, в котором
клиентом выступает браузер, а сервером — веб-сервер. Логика
веб-приложения распределена между сервером и клиентом,
хранение данных осуществляется, преимущественно, на сервере,
обмен информацией происходит по сети. Одним из преимуществ
такого подхода является тот факт, что клиенты не зависят от
конкретной операционной системы пользователя, поэтому веб-
приложения являются межплатформенными сервисами.
Клиент-серверная архитектура
9. О технологиях веб-разработки
Языки веб-программирования (сервер):
ASP.NET, C/C++, Java, Perl, PHP, Python, Ruby,
Nodejs
Для реализации GUI (клиент):
HTML, XHTML, CSS (Sass, Less)
Создание интерактивного интерфейса на
стороне клиента:
ActiveX, Adobe Flash, Adobe Flex, Java, JavaScript,
Silverlight
10. Основные элементы
1. Браузер и компьютер пользователя
2. Канал связи для всех компонентов (SSL/TLS)
3. Firewall, IPS (Intrusion Prevention System), WAF
(виртуальный пачтинг)
4. Балансировка нагрузки (DoS)
5. Веб-сервер
6. Веб-приложение
7. Серверная часть (СУБД, XML и т.д.)
11. Безопасность веб-приложения
Наиболее часто используемые уязвимости:
• На стороне сервера
– SQL-injection
– Подбор паролей
– Инклуды (includes)
– Выполнение команд операционной системы
• На стороне клиента
– XSS (межсайтовое выполнение сценариев)
– CSRF (перенаправление/подделка HTTP-запросов)
13. Какие цели преследуют злоумышленники?
• Черный SEO
• Распространение спама
• Распространение вредоносного кода
• Кража и искажение данных cайта
• Удаление содержимого сайта (DoS-атаки)
• Использование сайта в качестве площадки для
проведения атак на другие ресурсы
• Just for fun (ради шутки)
14. Методы используемые злоумышленниками
• Подбор паролей
• Уязвимости «нулевого» дня
• Тестирование функций (Fuzzing)
• Поиск уязвимостей на основе анализа исходного
кода веб-приложения и его компонентов
• Взлом сайта путем проведения атаки на другие
сайты расположенные на общем хостинге
• Уязвимости в смежных компонентах системы
• Социальная инженерия / вредоносное ПО и т.д.
16. Инклуды
Инклуды — тип уязвимостей, при котором существует возможность вывести
содержимое определенного файла на сервере или же вставить содержимое
файла с другого сервера внутрь сайта.
Локальные инклуды — инклуды, при которых имеется возможность лишь
выводить содержимое любых файлов но в пределах данного сервера. Может
использоваться для получения конфигурационных файлов и последующего
доступа к административной панели или даже базе данных.
Удаленные инклуды — уязвимости, при которых злоумышленник может
определенным запросом вывести содержимое файла со стороннего сайта внутри
данного. С помощью этого злоумышленник может вставить свой вредоносный
скрипт, например, шелл (скрипт для управления всеми файлами на сервере, как
бы ftp с веб-оболочкой) и получить доступ ко всему серверу.
...
$page=$_GET['page'];
include ($page);
...
17. Защита
Фильтрация и ограничение подключаемых в
приложении страниц с использованием
произвольных входных параметров, а также
необходимы соответствующие настройки
сервера для ограничения инклудов.
18. Внедрение SQL (Injection)
Это один из распространённых способов
взлома веб-приложений, работающих с
базами данных, основанный на внедрении в
запрос произвольного SQL-кода.
Атака типа внедрения SQL может быть
возможна из-за некорректной обработки
входных данных, используемых в SQL-
запросах.
19. Внедрение SQL (Injection)
Веб-приложение использует входные данные при
конструировании SQL-запросов к БД
...
$id=$_GET['id'];
$query="SELECT * FROM accounts WHERE id='".$id."';
$ret=mysql_query($query);
...
Злоумышленник подготавливает запрос
http://mysite.com/app/accountView?id=‘ or ‘1 =‘1
При этом может быть сформирован запрос который может вернуть
все записи таблицы
SELECT * FROM accounts WHERE custID=‘’ or ‘1’=‘1’
20. Защита
Для защиты от данного типа атак необходимо
тщательно фильтровать входные параметры,
значения которых будут использованы для
построения SQL-запроса.
21. CSRF (Сross Site Request Forgery)
«Межсайтовая подделка запроса» (XSRF) — вид атак на посетителей веб-сайтов,
использующий недостатки протокола HTTP. Если жертва заходит на сайт,
созданный злоумышленником, от её лица тайно отправляется запрос на другой
сервер (например, на сервер платёжной системы), осуществляющий некую
вредоносную операцию (например, перевод денег на счёт злоумышленника).
Атака осуществляется путем размещения на веб-странице ссылки или скрипта,
пытающегося получить доступ к сайту, на котором атакуемый пользователь
заведомо уже аутентифицирован.
Например, пользователь Тахмина может просматривать форум, где другой
пользователь, Зебо, разместила сообщение. Пусть Зебо создала тег <img>, в
котором в качестве источника картинки указан URL, при переходе по которому
выполняется действие на сайте банка Тахмины, например:
Если банк Тахмины хранит ее информацию об аутентификации в куки и если куки
еще не истекли, при попытке загрузить картинку браузер Тахмины отправит
запрос на перевод денег на счет Зебо и подтвердит аутентификацию при помощи
куки. Таким образом, транзакция будет успешно завершена, хотя ее
подтверждение произойдет без ведома Тахмины.
Зебо: Привет, Тахмина! Посмотри, какой милый котик:
<img src="http://example.com/do?account=Tahmina&amount=1000000&for=Zebo">
22. Защита
Наиболее простым для понимания способом защиты от данного
типа атак является механизм, когда веб-сайты должны требовать
подтверждения большинства действий пользователя и проверять
поле HTTP_REFERER, если оно указано в запросе. Но этот способ
может быть небезопасен, и использовать его не рекомендуется.
Другим распространённым способом защиты является механизм,
при котором с каждой сессией пользователя ассоциируется
дополнительный секретный ключ, предназначенный для
выполнения запросов. Пользователь посылает этот ключ среди
параметров каждого запроса, и перед выполнением каких-либо
действий сервер проверяет этот ключ. Преимуществом данного
механизма, по сравнению с проверкой Referer, является
гарантированная защита от атак данного типа. Недостатком же
являются: требование возможности организации
пользовательских сессий и требование динамической генерации
HTML-кода активных страниц сайта.
23. XSS (Сross Site Sсriрting)
«Межсайтовый скриптинг» — тип атаки на веб-системы, заключающийся
во внедрении в выдаваемую веб-системой страницу вредоносного кода
(который будет выполнен на компьютере пользователя при открытии им
этой страницы) и взаимодействии этого кода с веб-сервером
злоумышленника. Является разновидностью атаки «внедрение кода».
Классифицируются два вида XSS по вектору атаки.
Отраженные XSS:
http://example.com/search.php?q=<script>DoSomething();</script>
Устойчивые (хранимые) XSS:
Специфичны для сайтов Веб 2.0 (форумов, блогов, вики), когда на сервере
хранятся пользовательские тексты и рисунки. Скрипты вставляются в эти тексты и
рисунки.
Классика: увод сессионной куки через XSS
24. Защита
Экранировать нужно все пользовательские
тексты. (Например: делать htmlspecialchars()
для полей, где это необходимо, жестоко
фильтровать все html теги.)