Технология ViewState по умолчанию включена в ASP.NET, и зачастую ее используют бездумно. Это приводит к различным проблемам: отсутствие фильтрации, непонимание того, как правильно должно работать веб-приложение. Если прибавить ко всему этому низкий уровень знаний среднестатистического специалиста касательно правильной организации безопасности веб-приложения, открываются большие возможности для проведения различных атак.

Сегодня социальные сети и интернет-порталы стали по-настоящему массовыми сервисами, которыми пользуются миллионы людей. При этом многие пользователи регулярно забывают пароли к своим страницам и почтовым ящикам, после чего в службы поддержки приходят тысячи писем с просьбой о помощи. Специально для подобных ситуаций интернет-ресурсы предлагают процедуру восстановления пароля.
Именно процесс восстановления пароля при ближайшем рассмотрении может оказаться слабым местом в системе безопасности популярных онлайн-сервисов.

Основой модели безопасности, заложенной в современные браузеры, является механизм «Same origin policy». Суть его заключается в следующем: современные браузеры следят за тем, чтобы сценарии, загружаемые с какого-либо сайта, могли отправлять запросы исключительно к домену, с которого они были загружены. Исключение составляет лишь возможность передавать POST-запросы на другой домен и возможность подключать к странице файлы JavaScript и CSS. При этом не существует никаких легальных способов читать данные, полученные с другого домена.

Облачные вычисления (англ. cloud computing) — технология распределённой обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как Интернет-сервис.

Все чаще в сети Интернет можно встретить сайты, которые скрывают передаваемые параметры приложению посредством модуля Apache – mod_rewrite. Часто у web-разработчиков создается иллюзия того, что таким образом можно защитить web-приложение от атак с использованием уязвимостей SQL Injection, Cross-Site Scripting и подобных. На самом деле, это является распространенным заблуждением.

Tcl (Tool Command Language, http://www.tcl.tk) – скриптовый язык, часто применяемый с графической библиотекой Tk. Используя функционал Tcl, мы имеем возможность работать с сокетами, в данном случае открывается некоторая перспектива использования маршрутизатора для выполнения следующих действий:
• разработка собственного варианта “бэкдора” с целью закрепления системы и доступа к ней в обход штатных механизмов защиты;
• использование маршрутизатора для проведения сканирования портов в различных сегментах сети;
• использование маршрутизатора для проброса действующих портов на порт интерфейса, организации обратного (реверсного) доступа к удаленным устройствам;
• разработка вариантов сценариев для перебора паролей (брутфорса) различных устройств и серверов в сети.

Соответствие требованиям регуляторов – одна из основных прикладных задач обеспечения безопасности компаний и организаций различных отраслей и масштабов. Несмотря на тенденцию усиления регуляторных рисков, процесс compliance management может быть разумно встроен в систему управления ИТ и ИБ, реализованную на основе общепризнанных методик и рекомендаций.

В данной статье был рассмотрен аудит сетевых устройств Cisco IOS на примере стандарта PCI DSS. Но не стоит забывать и про другие системы, т.к. целью злоумышленника обычно становится «самое слабое звено в цепи».

Одной из проблем, возникающих при планировании системы менеджмента информационной безопасности, является необходимость оценить актуальность угроз, создаваемых различными источниками. В статье приводится анализ существующих источников статистических данных.

В данной статье будет рассмотрена настройка стандартной Linux-системы (с учетом стандартного ПО, поставляющегося в комплекте с дистрибутивом) для соответствия стандарту PCI DSS на примерах RHEL 5 и Fedora Core 12. Для каждого требования стандарта будут даны рекомендации по настройке системы, как на основе существующих технических стандартов (CIS, NIST, SANS), так и на основе опыта настройки подобных систем.

В последнее в профессиональной среде широко обсуждаются различные юридические вопросы проведения тестов на проникновение и аудита информационной безопасности. Как часто бывает при столкновении “физиков” с “лириками”, дискуссия зачастую порождает совершенно противоположные мнения, вплоть до срочной необходимости привлечения всех аудиторов к уголовной ответственности по широкому спектру статей УК РФ. В рамках данной публикации делается попытка свести воедино все вопросы и рассмотреть их с точки зрения российского законодательства и сложившейся практики.

Многолетняя экспертиза аналитического центра PT Research, а также опыт компании Positive Technologies по проведению тестов на проникновение и аудитов информационной безопасности показывают, что ошибки в защите веб-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации.
Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных Web-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».

Доклад на международной конференции "Рускрипто 2010"

В данной публикации собрана подборка наиболее быстрых техник эксплуатации слепых SQL-инъекций (error-based) на примере широко распространенных баз данных.

Уязвимость типа «Внедрение операторов SQL» по данным исследований, проводимых сотрудниками компании Positive Technologies, является наиболее часто встречаемым недостатком в Web-приложениях. Техника эксплуатации указанной уязвимости за последнее время в значительной степени изменилась и упростилась. Простота использования широко используется злоумышленниками для автоматизированного заражения Web-приложений вредоносным кодом.
Данная публикация подробно рассказывает, каким образом атакующий может воспользоваться уязвимостью типа «Внедрение операторов SQL» для того, чтобы скомпрометировать Web-приложение и/или всю систему в целом, в том числе, с обходом программных фильтров безопасности и Web Application Firewall (WAF). Презентация содержит самые актуальные техники эксплуатации уязвимости типа «Внедрение операторов SQL». Приведены рекомендации по защите.

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, в рамках проекта WASC Web Application Security Statistics Project 2008, представили статистику уязвимостей WEB-приложений за 2008 год.

Бесспорно, использование WAF вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях.Разработчики подобных фильтров обещают наиболее простое и дешевое решение "от всех проблем", а администраторы (в очередной раз) искренне верят в неприступность собственных систем. Но как будет рассказано на выступлении, WAF - это не долгожданная "серебряная пуля". Как и все, что создано человеком WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах.Презентация с выступления на Chaos Constructions 2009

Протокол Bluetooth обладает достаточно надежными механизмами безопасности, включающими в себя методы противодействия несанкционированным подключениям (аутентификация) и прослушиванию трафика (шифрование). Однако, при анализе деталей реализации или стандартных настроек стеков Bluetooth различных производителей выясняется, что все далеко не так хорошо.

Современные системы часто используют дополнительные системные драйверы для расширения функциональных возможностей. Как правило их используют в таких системах, как антивирусы, межсетевые экраны, IDS/IPS, средства виртулизации, эмуляторы, средства защиты ПО от модификации, драйвера устройств.
Уязвимости драйверов позволяют неограниченно повышать привилегии и получать доступ к ядру операционной системы. В докладе приведены примеры обнаруженных уязвимостей в антивирусах, виртуальных машинах, средствах защиты уровня узла, а также описаны утилиты и методы поиска уязвимостей и подходах к защите.Доклад был подготовлен для конференции Рускрипто'2009.

Несмотря на то, что недостатки однофакторного метода аутентификации с использованием парольной фразы неоднократно озвучивались в «научно-популярной» и специализированной литературе, данный способ является простым, дешевым и наиболее распространенным методом осуществления аутентичности пользователя в большинстве современных информационных систем.
Эксперты компания Positive Technologies в рамках публикации «Анализ проблем парольной защиты» провели анализ 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам.

В процессе анализа ежемесячных обновлений от Microsoft мое внимание привлек бюллетень MS09-008, а точнее, его часть, в которой фигурирует имя WPAD. Этот бюллетень исправляет целый ряд уязвимостей в службах Microsoft DNS и Microsoft WINS, среди которых значится «Уязвимость регистрации WPAD», однако данное имя не первый раз встречается в уведомлениях по безопасности.

Как показывает многолетний опыт компании Positive Technologies по проведению работ по тестированию на проникновение и аудитов информационной безопасности - уязвимости в Web-приложениях по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации.

Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол

статье рассматриваются уязвимости систем одноразовых паролей (One-Time-Password, OTP), приводятся практические примеры и резульаты работ по оценке систем аутентификации, основанных на OTP.

Безопасность Web-приложений уже не первый год является важным элементом защиты информационных систем. Учитывая тенденцию к переносу стандартных клиент-сервеных приложений в Web-среду, растущую популярность технологий AJAX и других элементов Web 2.0 можно констатировать, что с течением времени актуальность защиты онлайн-приложений только растет.

Обзор опубликован на портале SecurityLab.ru и в журнале «Защита информации. Инсайд».

Наличие уязвимости «Межсайтовое выполнение сценариев» (Cross-site Scripting, XSS) позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя. Этот код обычно создается на языках HTML/Javascript, но могут быть использованы VBScript, ActiveX, Java, Flash, или другие поддерживаемые браузером технологии.

Проект WASC Web Application Security Statistics Project 2007 является совместной инициативой лидеров индустрии защиты Web-приложений, направленной на лучшее понимание природы уязвимостей Web-приложений.

Тесты на проникновение, проводимые компанией Positive Technologies, на практике показывают, что наиболее распространенным недостатком являются плохо контролируемые клиенты беспроводных сетей. Ошибки в настройке, незащищенные сети в профиле подключений и т.д. позволяют злоумышленнику обойти периметр сетевой безопасности и получить доступ к корпоративным информационным системам. Для демонстрации этой проблемы эксперты компании Positive Technologies разработали утилиту wep0ff-ng, с тем, чтобы быстрее и более надёжно оценивать риски, связанные с использованием протокола WEP клиентами беспроводных сетей.

Как показывает опыт компании Positive Technologies по проведению тестов на проникновение и аудитов информационной безопасности - уязвимости в Web-приложениях одни из наиболее распространенных недостатков защиты сетевой безопасности. Несмотря на то, что уязвимости Web-приложений неоднократно описаны в "научно-популярной" и специализированной литературе, достаточно редко встречаются превентивные или компенсационные защитные механизмы, снижающие риски эксплуатации уязвимостей online-сервисов.

Защита уязвимых Web-приложений может осуществляться либо путем устранения уязвимостей в Web-приложении либо с использованием специализированных средств защиты Web-приложений WAF.

В последнее время в сообществе специалистов по безопасности Web-приложений широко обсуждается «новый» тип уязвимостей, получивший название Cross-Site Request Forgery (CSRF или XSRF). Предлагаемая вниманию читателя статья содержит описание этого типа уязвимостей, методов его использования и основные походы к защите.

Одной из отличительных особенностей сканера XSpider является наличие модуля эвристического анализа Web-приложений. Конечно, существуют специализированные сканеры Web-приложений, например, Nikto, но они не обладают возможностями по определению недостатков в других службах. С другой стороны, сканеры общего назначения, такие как Nessus, обладают ...

Компанией Positive Technologies, в ходе работ по оценке защищенности сетей в 2006 г., была получена статистика по уязвимостям Web-приложений. Данные основаны на результатах автоматизированного сканирования узлов публичного хостинг-провайдера и ручного анализа защищенности Web-приложений.

В данной статье приведена техника, позволяющая восстановить ключ WEP без доступа к AP, находясь в диапазоне радиовидимости станции, ищущей сеть. Например, ключ WEP к домашней точке доступа может быть получен в то время, как её владелец работает на ноутбуке в самолете или офисе

Эта публикация открывает серию статей, призванных познакомить пользователей с особенностями использования сканера уязвимостей XSpider для решения тех или иных задач, встающих перед специалистом в области ИБ.

Термин «Wardriving» или «Боевые выезды» широко известен в мире безопасности беспроводных сетей. В ходе «боевого выезда» исследователь с помощью сетевого адаптера в режиме мониторинга осуществляет сбор информации об общедоступных точках доступа. На основе полученных данных строится ...

Системы обнаружения беспроводных атак (Wireless Intrusion Detection System, WIDS) пока не настолько популярны, как их проводные аналоги, но современные тенденции позволяют предсказывать рост числа их внедрений. Положительным фактором является ...

Сравнение включает две части. Первая часть посвящена использованию сканеров безопасности в процессе тестирования сети на устойчивость к взлому. Вторая часть посвящена функциональным возможностям сканеров безопасности.

Сравнение рассматривает шесть наиболее распространненых сканеров безопасности.

В ходе исследования ставилась задача оценить степень защищенности компьютерных сетей организаций от возможных внешних сетевых атак. Другими словами, оценивалась "хакероустойчивость" корпоративных сетей, имеющих выход в Интернет. Проблемы внутренней информационной безопасности компаний в настоящем обзоре не рассматриваются.