Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Техники пентеста для активной защиты - Николай ОвчарукHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Николай Овчарук
Служба IT безопасности, Воля
Техники пентеста для активной защиты
О спикере: Занимается техническим аудитом, расследованием инцидентов, разработкой и внедрением средств защиты. Играет в CTF.
Доклад посвящён специфике.NET Framework в рамках очередной версии хит-парада угроз безопасности приложений OWASP TOP 10, опубликованной в ноябре этого года. Поговорим о том, каким образом каждая из угроз может проявляться в.NET-приложениях, как от этого защищаться и, немного, об общем подходе к разработке защищённых приложений в.NET
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
С чего начать свой путь этичного хакера? - Вадим ЧакрянHackIT Ukraine
Презентация с форума http://hackit-ukraine.com/
Вадим Чакрян
С чего начать свой путь этичного хакера?
Руководитель проекта Hackup {Learning} Network
О спикере: Руководитель проектов Hackup {Learning} Network, Харьковского OWASP сообщества, ISACA KNURE; Инструктор сетевой академииCisco; независимый тренер-консультант по вопросам информационной безопасности.
Нестандартные сценарии при проведении тестов на проникновение.
Пара не слишком-то и нестандартных случаев из практики. Показательно с точки зрения распространённости таких ошибок.
Спасибо Руслану Сабитову за предоставленную презентацию по аналогичной теме. Иначе было бы сложно сделать её в день доклада =)
Из доклада вы узнаете, как безопасно передавать данные между мобильным приложением и бэкендом. А также поймете, что SSL для этого недостаточно безопасен и до идеального решения нужно сделать ещё много шагов.
The document discusses various techniques for hacking APIs, including bypassing restrictions, parameter tampering, ZIP bombs, JavaScript attacks, cryptographic attacks like length extension and request hijacking, and XML injection attacks. It provides examples of specific API vulnerabilities and recommends thoroughly testing APIs for issues like these by evaluating logic, restrictions, specific file types and encodings, and ensuring proper validation of inputs.
The document profiles Sergey Belov and discusses his background as a pentester, writer, and bug bounty hunter. It then outlines some potential ways Nginx could be used for MitM/phishing attacks, including modifying requests through reverse proxies and DNS rebinding to target internal resources. The document cautions that additional steps like DNS poisoning would be needed and that the techniques carry instability risks and should be removed from security reports.
This document discusses exploiting vulnerabilities related to HTTP host header tampering. It notes that tampering with the host header can lead to issues like password reset poisoning, cache poisoning, and cross-site scripting. It provides examples of how normal host header usage can be tampered with, including by spoofing the header to direct traffic to malicious sites. The document also lists some potential victims of host header attacks, like Drupal, Django and Joomla, and recommends developers check settings to restrict allowed hosts. It proposes methods for bruteforcing subdomains and host headers to find vulnerabilities.
This document discusses security issues with Samsung Smart TVs from 2008-2014. It finds that the Smart TVs run apps in an insecure manner: 1) Apps can access and steal files from other apps due to lack of sandboxing. 2) Bugs like XSS have high impact as apps can access low-level device APIs. 3) Apps do not properly secure secret data due to using an insecure file:// protocol. The document encourages developers to design apps with security in mind and users to only install trusted apps.
Waf.js: How to Protect Web Applications using JavaScriptDenis Kolegov
The document discusses techniques for protecting web applications from client-side attacks using JavaScript (Waf.js). It covers the following key points in 3 sentences:
Waf.js provides defenses like CSRF prevention, DOM-based XSS prevention, and detection of unwanted applications. It utilizes parsers like Acorn and DOMPurify to parse and sanitize inputs to prevent injections. The document outlines approaches used by Waf.js to build the AST of an input and search for dangerous code like function calls to prevent attacks while minimizing false positives.
The document describes a test stand developed at Gubkin Russian State University of Oil and Gas to test control systems for oil and gas facilities. The test stand uses a simulation model to mimic the behavior of real equipment. This allows control systems to be tested and debugged before implementation at a site. Using the test stand can decrease commissioning time and accidents by identifying issues early. It also improves control system performance and lowers costs by optimizing implementation. The test stand manages simulation scripts and generates reports to verify control system algorithms.
Impact Analysis в тестировании
В непрерывном процессе разработки продукта появляются и реализуются различные фичи, дополнительные возможности, мы работаем с меняющимися требованиями заказчика, наш продукт постоянно улучшается и изменяется.
В таких условиях можно столкнуться с неприятной ситуацией, когда становится трудно отследить последствия производимых изменений и модификаций: оценить, какие же части программы могут быть затронуты и насколько сильно.
В итоге: тестирование проведено в соответствии с лучшими практиками, но какая-то часть продукта, какой-то его модуль или функционал может быть упущен из внимания или недостаточно глубоко проверен.
Но изменения в продукте не всегда являются проблемой, если применять методику анализа этих изменений или Импакт Анализ. В ISTQB данная методика трактуется, как часть планомерной работы с рисками.
Этот анализ помогает отслеживать последствия изменений в продукте. Он помогает выяснить, какие части программы могут быть затронуты, и оценить, насколько сильно скажутся эти изменения непосредственно на измененной функциональности, а также на остальном продукте. Все это дает возможность правильно спланировать процесс тестирования и не упустить из вида никакие части тестируемого продукта.
Я хочу рассказать о своем опыте введения и использования "Impact analysis" в ряде проектов нашей компании:
- о причинах введения этого анализа на проектном уровне;
- о том, как именно и в каком виде мы используем IA в своих проектах;
- о некоторых важных особенностях внедрения подобной методики;
- о полученной практической пользе от этого нововведения.
С помощью "Impact analysis" наша компания смогла решить проблемы, с которыми мы сталкивались достаточно длительное время.
Доклад будет полезен специалистам, которые сталкиваются с необходимостью учитывать и анализировать изменения в продукте. Теперь этот процесс станет проще и удобнее.
The document discusses penetration testing of iOS applications. It provides an overview of the key aspects of testing including:
- Setting up the testing environment with tools like Xcode, Instruments, Burp Suite, and SQLite Manager.
- Performing whitebox testing through source code analysis, identifying HTTP/WS calls, file system interactions, and manual code review.
- Proxying the iOS simulator to intercept and analyze network traffic.
- Exploring various data storage mechanisms like plists, SQLite databases, and the keychain for sensitive data.
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
Антивирусная система Яндекса ежедневно обнаруживает тысячи взломанных сайтов. Периодически среди них встречаются крупные и известные интернет-ресурсы.
Администраторы сайтов часто оказываются не готовы к тому, что злоумышленник может пробраться через внешний периметр и исполнить произвольный код на стороне сервера. В результате перед ними встаёт нелегкая задача: обнаружить последствия и предотвратить дальнейшие проблемы.
Доклад посвящён практикам и инструментам, которые могут существенно повысить эффективность противодействия вредоносной активности, и профилактике её возникновения.