Конспект вебинара о веб-вирусах

-->
Здравствуйте. Готов конспект недавно прошедшего вебинара о веб-вирусах.
Его аудио-запись можно взять здесь.
Для большего удобства предлагаю прочесть конспект в PDF.
Сам он находится ниже.

Конспект вебинара "Выбор виртуального хостинга с точки зрения безопасности"

-->
Наконец-то я добрался до составления конспекта. 

Аудио-запись можно взять здесь, а сам конспект ниже.

Если кому удобнее в PDF, то пожалуйста.

Запись вебинара о веб-вирусах

Здравствуйте. Для тех кто не смог посетить недавний вебинар выкладываю его аудио-запись.

Перевод документации w3af (руководство+плагины)

Здравствуйте. Пару месяцев назад наша команда перевела пользовательское руководство w3af и описание всех его плагинов. Долго время мы вели переговоры с разработчиками, и даже договорились о публикации данных переводов, но почему-то до сих пор на официальном сайте они не появились (выложено только руководство, и то на SVN).
Поэтому сегодня мы решили опубликовать их. Если вы не знаете что это за фреймворк, обязательно рекомендую с ним ознакомиться. В плане проведения тестов на проникновение вещь очень полезная.

Руководство пользователя
Перевод описания плагинов

Приглашаю на очередной бесплатный вебинар

Приветствую Вас, уважаемые читатели. Снова хочу пригласить на бесплатный вебинар связанный с веб-безопасностью. На этот раз будем обсуждать веб-вирусы. Будут рассмотрены:

• основные схемы заражения сайтов
• действия веб-мастеров при заражении
• способы предотвращения заражений

В общем будет много интересного :)

Запись вебинара "Выбор виртуального хостинга с точки зрения безопасности"

Здравствуйте. Как и обещал, выкладываю аудио-запись вебинара.
Час 1
Час 2

Не мог даже представить себе что волнение в голосе будет на записи так хорошо различимо. Но ничего, в первый раз бывает :)

Касательно вопросов которые мне задавали. Ответ по поводу проблем с кодировкой выложу позже. Наверное вместе со статьёй. Что касается приоритета php.ini и httpd.conf, то наибольший приоритет имеет тот файл, который  загружается последний. В данном случае это httpd.conf. Если после этого в какой-то директории будет находиться .htaccess, изменяющий что-то в конфигурации php, то приоритетнее будет его содержимое.

Итоги вебинара

Приветствую всех читателей моего блога. Вчерашний вебинар прошёл, по моему мнению, очень хорошо. Обсудили множество вопросов, нашёл в своём докладе несколько неосвещённых моментов. Приятно было видеть сегодня с утра здесь и на форумах положительные отзывы слушателей.
Напоминаю что в течение пары дней будет выложена аудиозапись вебинара, а ещё дня через 2, по просьбе слушателей, статья с тем что мы обсуждали.

Хочу ещё раз поблагодарить всех кто принял участие в вебинаре, оставлял критику и отзывы по его окончанию. Для меня, как для человека впервые проводившего вебинар, это очень важно. Спасибо!

Бесплатный вебинар "Выбор виртуального хостинга с точки зрения безопасности"

Приветствую вас, уважаемые читатели. Хочу пригласить веб-мастеров (да и вообще всех кому интересна тема защиты сайтов) на бесплатный вебинар «Выбор виртуального хостинга с точки зрения безопасности», который я буду проводить 25 ноября. На нём будут рассмотрены почти два десятка пунктов, связанных с защитой веб-сайтов, на которые стоит обращать внимание в процессе выбора виртуального хостинга. Обсудим наиболее часто встречающиеся при этом подводные камни, последствия, которые они за собой влекут, способы избежать столкновения с ними.

История взлома одной браузерной игры. Возврат контроля.

Доброго времени суток. Я занимаюсь аудитом защищённости веб-приложений. По простому — тестами на проникновение в отношении веб-сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать в виде таких вот статей, но редко (для меня это первый случай) бывают ситуации когда клиент разрешает публикацию подобного материала с подробным описанием всех имевшихся проблем и предпринятых действий. Естественно, тут вы не встретите никаких конкретных имён, названия фирмы-заказчика и т. д. Упоминания таких данных мне, наверное, никто никогда не разрешит. Надеюсь что для вас, уважаемые читатели, данная статья окажется интересной и полезной.

Новый формат предоставления услуг

Всем доброго времени суток! Сегодня у меня не обычный, можно даже сказать немного праздничный, день. С этого момента полностью меняется формат предоставления платных услуг связанных с созданием и защитой веб-приложений, а также консультаций в данной области.

Hack4Sec - Перевод документации Burp Suite для версии 1.4.01

Здравствуйте. Сегодня, на сайте команды Hack4Sec опубликован русскоязычный перевод документации Burp Suite последней версии. С каждой новой версией убеждаюсь в том, что BS - отличная вещь, и что скоро он мне заменит все мелкие скрипты и утилиты используемые при исследовании веб-приложений.
Всем кто занимается веб-безопасностью и до сих пор с ним не знаком - очень рекомендую зайти на http://portswigger.net/ и почитать описание.
Ну и ссылки на саму документацию:
http://rghost.ru/23497211
https://hack4sec.opendrive.com/files?46960396_8AH3E
И на оригинальный пост в блоге нашей команды:
http://hack4sec.blogspot.com/2011/09/burp-suite-1401.html

Веб-разведка: релиз версии 1.0.1a

Здравствуйте. Сегодня я наконец-то закончил работу над версией 1.0.1a. Новый релиз содержит 10 значительных изменений, перечисленных под катом.

Релиз команды Hack4Sec - Аналитический Центр

Здравствуйте. Сегодня под флагом команды Hack4Sec состоялся выпуск нового приложения, автором которого я являюсь. Это Аналитический Центр - приложение предназначенное для сбора и хранения информации при объёмных pen-тестах. Особенно оно может помочь при командной работе. Ниже приводится содержимое соответствующего поста в блоге команды Hack4Sec (оригинал).

Статья "XSS: Разведка боем"

Здравствуйте. Рад представить вам свою новую статью на тему нестандартного использования XSS-уязвимостей. В ней рассказывается как  с помощью нехитрого JS-кода и простого PHP-приложения получать визуальные копии целых веб-приложений от лица сторонних пользователей.
Рекомендую сразу качать PDF-вариант чтоб читать материал в нормальном оформлении и с адекватной шириной страницы.

Релиз команды Hack4Sec - Веб-разведка

Здравствуйте! Наконец настал час публикации первого релиза команды Hack4Sec, основным автором которого я являюсь. Для меня это даже небольшой праздник, так как на разработку ВР у меня ушло довольно много времени (примерно 6 месяцев). На данный момент продукт находится на стадии альфа-тестирования и я заранее благодарен всем кто будет им пользоваться и сообщать о недочётах (надеюсь не многочисленных) в его работе. Ознакомиться с кратким описанием продукта, а также скачать его, можно на сайте нашей команды:
http://hack4sec.blogspot.com/2011/05/blog-post.html

Аудит DiafanCMS

Буквально пару недель назад я закончил проводить анализ платного движка DiafanCMS. Вначале, увидев очень низкую стоимость продукта, я решил что уязвимостей здесь должно быть много. Но в последствии оказалось что я ошибся. Разработчикам DiafanCMS удалось создать очень хороший продукт с понятным, хорошо структурированным кодом, и отличной защитой. Но я не был бы собой еслиб мне не удалось найти несколько изъянов :), хоть и не критичного уровня риска. Кстати все баги были исправлены достаточно быстро, чего я от платных продуктов в последнее время перестал ожидать.
Теперь я знаю какую CMS выбрать если встанет необходимость поднятия какого-нибудь сайта в короткий срок. Однозначно Diafan. И документация есть, и внутри всё грамотно устроено, и в защищённости сам убедился.А платность продукта, при их цене, вообще никакой проблемы не делает.

Аудит NgCMS

До нового года удалось познакомиться с проектом NgCMS. Это очень не плохой движок с приличным набором пользовательского функционала. Разочаровало одно - нет документации для разработчиков, из-за чего пришлось разбираться в NgCMS практически с нуля. Код внутри оказался достаточно простым и интуитивно понятным, но только тогда когда я хоть чуть-чуть стал понимать азы устройства этой системы. Кстати, такое положение вещей очень редко встречается в бесплатных CMS. Мне чаще попадается очень запутанный код, который с трудом поддаётся анализу (это если исключить очень популярные движки, хотя тут же на ум приходит WordPress... Вообщем вы меня поняли :) ).
В процессе анализа я был сильно удивлён. Дело в том, что были прикрыты практически все места где была хотя бы малейшая вероятность обнаружения уязвимости. Всё грамотно экранировалось, приводилось к нужному типу и т.д. Видно разработчики NgCMS очень хорошие программисты.
Кончилось всё тем что меня поблагодарили и пригласили провести аудит следующей версии, которая должна выйти в ближайшее время :)

Аудит KasselerCMS

Несколько месяцев назад провёл аудит KasselerCMS. Почему пишут об этом только сейчас? Здесь есть несколько причин. Самая первая - данный блог у меня ведётся по типу портфолио, поэтому заносить я сюда буду сообщения о любых аудитах, переводах и прочем. Вторая - выход исправлений. На самом деле если бы я захотел опубликовать данную информацию сразу, то просто не смог бы т.к. обязался перед разглашением факта проверки ждать выхода патчей. Патчи выпускались довольно долго, потому что некоторые найденные проблемы были достаточно не простыми, и разработчикам пришлось много чего переписать. Но несколько дней назад мне всё же дали добро и вот пишу данное сообщение :)
Вообщем в итоге все остались довольны - я нашёл несколько уязвимостей, как и хотел, а разработчики повысили безопасность своего продукта. 

[Из старого] Контроль файловой структуры сайта

В данной статье я хочу рассказать как веб-мастеру можно достаточно простым способом контролировать целостность файловой структуры всего своего сайта. Вариант подходит практически для каждого хостинга, главное чтоб базировался он не на Windows.

Начнём с главного. Зачем это нужно? Большинство сайтов сейчас состоит из двух основных частей — файловой структуры и базы данных. Первая, в основном, занята внутренней работой сайта, а вторая — хранением информации. Почти во всех случаев при нападении или вирусном инфицировании меняется именно файловая структура. Например, взломщик стремится как можно быстрее загрузить шелл на атакуемый сервер, а вирусы вписывают свои тела почти во все php/html/js-файлы. Для того чтоб таких инцидентов не возникало разработчики и администраторы принимают множество мер — от использования антивирусов до развёртывания WAF. Но что делать если атака уже произошла? Понятное дело, что надо устранять её последствия и причины, но от первого пункта до конечного здесь порой может пройти целый месяц, а то и больше.

[Из старого] WebScarab — инструмент для анализа защищённости веб-приложений

Автор: Кузьмин Антон

Дата: 18-02-2009

Официальная страница: http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Последняя версия на момент написания статьи: 20070504-1631

Ограничения: Написан на Java. Для запуска требуется Java JRE/JDK версии 1.4.2 или выше.

ОС: Проект кросс-платформенный.

[Из старого] Перевод официальной документации к плагинам w3af

Перевёл: Кузьмин Антон
Дата: ~05.06.2009

Плагины аудита

xsrf

Плагин ищет уязвимости категории Cross Site Request Forgeries (XSRF)

Для проведения элементарной проверки на XSRF приложение должно отсылать пользователю cookie и принимать от него же один или несколько параметров.

[Из старого] Перевод официальной документации в w3af

Перевод официальной документации в w3af.

Переводчик: Кузьмин Антон

Версия w3af на момент перевода: 1.0-rc2

Официальные сайты: w3af.sourceforge.net / w3af.sf.net
Дата: ~05.06.2009

Введение

Этот документ является пользовательским руководством к фреймворку для атак и аудита веб-приложений w3af. Здесь будет дана базовая информация о фреймворке, о принципах его работы и возможностях.

[Из старого] Siege - утилита для нагрузочного тестирования web-серверов

Перевёл: Кузьмин Антон (Kuzya)

Дата: ~22.07.2009

Автор: Джеффри Фалмер (Jeffrey Fulmer)

Май 2006

• Введение
• Параметры запуска
• Конфигурационный файл
• Формат URL
• Файл ссылок
• Переменные
• Логировангие
• Статистика исследования
• Распространение
• Платформы
• Авторы
• Информация о лицензии

[Из старого] Перевод официальной документации Nikto 2

Перевёл: Кузьмин Антон
Дата: ~23.03.2009 


Глава 1. Введение.

1. Краткий обзор

Nikto – это инструмент для тестирования веб-серверов. Он занимается поиском стандартных или плохо защищённых файлов и уязвимостей связанных с неправильной настройкой ПО сервера.

[Из старого] Paros - инструмент для тестирования web-приложений

Перевёл: Кузьмин Антон

Дата: 17-02-2009

Домашняя страница: http://www.parosproxy.org/

Последняя версия на момент написания статьи: 3.2.13

Ограничения: Написан на Java. Для запуска требуется Java JRE/JDK версии 1.4.2 или выше.

ОС: Проект кросс-платформенный.

[Из старого] ab – Утилита для нагрузочного тестирования Apache-серверов

Оригинальная версия: http://httpd.apache.org/docs/2.2/programs/ab.html

Перевёл: Кузьмин Антон

Дата: 16-04-2009

 

AB — это утилита для нагрузочного тестирования  веб-серверов Apache. Он специально создан для того что бы Вы могли проанализировать стойкость своего веб-сервера к большим нагрузкам. В частности он может показать сколько одновременных запросов сервер может выдержать.