Смотрим шире. Бесплатные инструменты для комплексной работы с уязвимостями
«Чем можно контролировать уязвимости? Подскажи, плиз», — обратился недавно знакомый. Вроде ничего странного. Но к концу обсуждения я вдруг понял, что человек ждет список инструментов, которые только находят и закрывают уязвимости... Читать далее...
Обычный Client Side с необычной эксплуатацией
Это статья о клиентских уязвимостях, которые мне показались интересными. Целью статьи является показать, что иногда из, казалось бы, скучных уязвимостей с низким импактом, можно выжимать больше, чем кажется. Читать далее...
Топ самых интересных CVE за декабрь 2023 года
Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе...
Искусство следопыта в корпоративной инфраструктуре
В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции...
Интервью с руководителем отдела анализа защищённости Angara Security Михаилом Суховым о пентесте
Я много бывал за последнее время на разных ИБ‑мероприятиях, где проходили различные киберучения. Много писал об уязвимостях, об ИБ‑решениях, борющихся с ними, специалистах, выявляющих бреши в инфраструктурах. И как раз на последней ИБ‑конференции я решил поговорить с одним из участников...
Как оценить эффективность WAF и зачем вообще это все нужно? Часть 3
Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенного в компании-производителе, решил рассказать о тяготах...
Кто проживает на дне океана: неуязвимости среди находок в VM-отчетах
В прошлой статье о VM (от англ. - vulnerability management) мы рассказали, с какими проблемами можно столкнуться при анализе и управлении рисками Сегодня спустимся на уровень ниже и поговорим об интересных находках, скрывающихся в глубинах готовых VM-отчетов. Одна из задач контроля уязвимостей –...
Как оценить эффективность WAF и зачем вообще это все нужно? Часть 2
Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенного в компании-производителе, решил рассказать о тяготах...
Импортозамещаем AI и 3D-совещания, взламываем ВКС, ждем пришествия ИИ
Недавно прошла Видео+Конференция 2023. В этот раз арендовали очень просторный и удобный конференц-холл, хватило места и побродить поглазеть, и вкусно поесть, и комфортно отдохнуть в мягких креслах. А вы зачем ходите на айти-мероприятия?) Читать далее...
Как оценить эффективность WAF и зачем вообще это все нужно. Часть 1
Привет! Меня зовут Лев Палей, и я собаку съел на всяких сравнениях, технико-экономических обоснованиях и всей этой истории с выбором каких-либо решений. Теперь я работаю по другую сторону сделки. Поэтому, после некоторого времени, проведенного в компании-производителе, решил рассказать о тяготах...
Топ самых интересных CVE за ноябрь 2023 года
В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали! Читать далее...
Отчёт о SOC‑Forum 2023
Информационная служба Хабра посетила конференцию SOC‑Forum 2023, проходившую 14–15 ноября 2023 года в Москве. SOC‑Forum — это ещё одно крупное ежегодное мероприятие в сфере информационной безопасности, наравне с Positive Hack Day и OFFZone. В отличие от двух последних мероприятий этот форум, на мой...
Как взломать сервис, в котором используется десериализация данных
Привет! Я Артемий Богданов, эксперт по практической безопасности Start X. Сегодня я расскажу, как небезопасная десериализация может привести к взлому сервиса. Сериализация и последующая десериализация бывают нужны, когда необходимо сохранить объект в строку, а затем в точности восстановить его...
Червь-ботнет P2P Infect активно распространяется на серверах Redis, через уязвимости LUA
Приветствую, читатели. И начну я сразу же с вопроса. Что вы знаете о червях? Нет, не тех, что обитают в земле, а о компьютерных паразитах. Скорее всего, большинство ответит, мол, их называют червями, потому что они, подобно этим существам, способны распространяться между устройствами без...
Как начать карьеру в пентесте: опыт сотрудника Angara Security
Мы продолжаем цикл материалов о старте карьеры в кибербезопасности. Этот материал подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы, welcome в комментарии или в личные сообщения нашему...
Бородатый обманщик. Методика TARPIT в защите и нападении
Существует стратегия информационной безопасности, суть которой сводится к непропорциональному расходованию ресурсов атакующей стороны. Ресурсов вычислительных, временных и человеческих. Добро пожаловать под кат если вас интересует: Как затруднить атакующему фазу разведки? Отчего nmap может серьезно...
Большая дыра в безопасности Android: почему смартфоны с зеленым роботом подвержены кражам?
Многим пользователям смартфонов знакомо такие понятия как «привязка к аккаунту». У различных вендоров смартфонах есть свои механизмы защиты смартфонов от кражи: у Apple — FMI, у Xiaomi — Mi Cloud, а у Google — FRP. Однако у Android есть давняя уязвимость, которая позволяет обходить практически...
История о том, как я шеринги ломал
Всех приветствую, дорогие читатели! В этой статье поделюсь с вами историей о том, как я тестировал приложения различных шеринговых сервисов, начиная с сервисов по аренде самокатов/велосипедов и заканчивая повербанками. Моя заинтересованность в тестировании привела к раскрытию различного рода...