Смотрим шире. Бесплатные инструменты для комплексной работы с уязвимостями

«‎Чем можно контролировать уязвимости? Подскажи, плиз», — обратился недавно знакомый. Вроде ничего странного. Но к концу обсуждения я вдруг понял, что человек ждет список инструментов, которые только находят и закрывают уязвимости... Читать далее...

Все блоги / Про интернет

Обычный Client Side с необычной эксплуатацией

Это статья о клиентских уязвимостях, которые мне показались интересными. Целью статьи является показать, что иногда из, казалось бы, скучных уязвимостей с низким импактом, можно выжимать больше, чем кажется. Читать далее...

Все блоги / Про интернет

Топ самых интересных CVE за декабрь 2023 года

Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе...

Все блоги / Про интернет

Искусство следопыта в корпоративной инфраструктуре

В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции...

Все блоги / Про интернет

Интервью с руководителем отдела анализа защищённости Angara Security Михаилом Суховым о пентесте

Я много бывал за последнее время на разных ИБ‑мероприятиях, где проходили различные киберучения. Много писал об уязвимостях, об ИБ‑решениях, борющихся с ними, специалистах, выявляющих бреши в инфраструктурах. И как раз на последней ИБ‑конференции я решил поговорить с одним из участников...

Все блоги / Про интернет

Как оценить эффективность WAF и зачем вообще это все нужно? Часть 3

Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенного в компании-производителе, решил рассказать о тяготах...

Все блоги / Про интернет

Кто проживает на дне океана: неуязвимости среди находок в VM-отчетах

В прошлой статье о VM (от англ. - vulnerability management) мы рассказали, с какими проблемами можно столкнуться при анализе и управлении рисками Сегодня спустимся на уровень ниже и поговорим об интересных находках, скрывающихся в глубинах готовых VM-отчетов. Одна из задач контроля уязвимостей –...

Все блоги / Про интернет

Как оценить эффективность WAF и зачем вообще это все нужно? Часть 2

Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенного в компании-производителе, решил рассказать о тяготах...

Все блоги / Про интернет

Импортозамещаем AI и 3D-совещания, взламываем ВКС, ждем пришествия ИИ

Недавно прошла Видео+Конференция 2023. В этот раз арендовали очень просторный и удобный конференц-холл, хватило места и побродить поглазеть, и вкусно поесть, и комфортно отдохнуть в мягких креслах. А вы зачем ходите на айти-мероприятия?) Читать далее...

Все блоги / Про интернет

Как оценить эффективность WAF и зачем вообще это все нужно. Часть 1

Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенного в компании-производителе, решил рассказать о тяготах...

Все блоги / Про интернет

Топ самых интересных CVE за ноябрь 2023 года

В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали! Читать далее...

Все блоги / Про интернет

Отчёт о SOC‑Forum 2023

Информационная служба Хабра посетила конференцию SOC‑Forum 2023, проходившую 14–15 ноября 2023 года в Москве. SOC‑Forum — это ещё одно крупное ежегодное мероприятие в сфере информационной безопасности, наравне с Positive Hack Day и OFFZone. В отличие от двух последних мероприятий этот форум, на мой...

Все блоги / Про интернет

Как взломать сервис, в котором используется десериализация данных

Привет! Я Артемий Богданов, эксперт по практической безопасности Start X. Сегодня я расскажу, как небезопасная десериализация может привести к взлому сервиса. Сериализация и последующая десериализация бывают нужны, когда необходимо сохранить объект в строку, а затем в точности восстановить его...

Все блоги / Про интернет

Червь-ботнет P2P Infect активно распространяется на серверах Redis, через уязвимости LUA

Приветствую, читатели. И начну я сразу же с вопроса. Что вы знаете о червях? Нет, не тех, что обитают в земле, а о компьютерных паразитах. Скорее всего, большинство ответит, мол, их называют червями, потому что они, подобно этим существам, способны распространяться между устройствами без...

Все блоги / Про интернет

Как начать карьеру в пентесте: опыт сотрудника Angara Security

Мы продолжаем цикл материалов о старте карьеры в кибербезопасности. Этот материал подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы, welcome в комментарии или в личные сообщения нашему...

Все блоги / Про интернет

Бородатый обманщик. Методика TARPIT в защите и нападении

Существует стратегия информационной безопасности, суть которой сводится к непропорциональному расходованию ресурсов атакующей стороны. Ресурсов вычислительных, временных и человеческих. Добро пожаловать под кат если вас интересует: Как затруднить атакующему фазу разведки? Отчего nmap может серьезно...

Все блоги / Про интернет

Большая дыра в безопасности Android: почему смартфоны с зеленым роботом подвержены кражам?

Многим пользователям смартфонов знакомо такие понятия как «привязка к аккаунту». У различных вендоров смартфонах есть свои механизмы защиты смартфонов от кражи: у Apple — FMI, у Xiaomi — Mi Cloud, а у Google — FRP. Однако у Android есть давняя уязвимость, которая позволяет обходить практически...

Все блоги / Про интернет

История о том, как я шеринги ломал

Всех приветствую, дорогие читатели! В этой статье поделюсь с вами историей о том, как я тестировал приложения различных шеринговых сервисов, начиная с сервисов по аренде самокатов/велосипедов и заканчивая повербанками. Моя заинтересованность в тестировании привела к раскрытию различного рода...

Все блоги / Про интернет