Какой рейтинг вас больше интересует?
|
Главная / Главные темы / Тэг «pentestit»
Методология аудита безопасности веб-приложения 2015-06-02 13:07:06
+ развернуть текст сохранённая копия
Сегодня мы поговорим о методологии проведения тестирования на проникновение веб-приложений. Одним из методов аудита веб-сайта является тестирование на проникновение BlackBox (BlackBox — «черный ящик»), при котором специалист располагает только общедоступной информацией о цели исследования.
В данном методе используется модель внешнего злоумышленника, мотивированного на взлом некого веб-сайта для извлечения коммерческой выгоды или из хулиганских побуждений. Об исследуемой системе обычно заранее ничего, кроме названия компании и адреса веб-сайта, неизвестно. В контексте данной статьи будет рассмотрено как поведение злоумышленника, так и пентестера, легитимность действий которого подтверждена заказчиком аудита. Подтверждение аудита может происходить разными способами — как информационным письмом с указанием объекта аудита (и исключений), так и с помощью специальных маркеров непосредственно на атакуемом сайте.
Читать дальше →
Тэги: penetration, pentestit, testing, аудит, безопасность, блог, веб, веб-разработка, информационная, компании, сайта
Исследование безопасности коммерческих сайтов 2015-05-19 15:09:40
+ развернуть текст сохранённая копия
Наши коллеги из компании SiteSecure провели исследование безопасности коммерческих сайтов в зоне .ru в первом квартале 2015 года. Его результаты оказались весьма интересными, поэтому мы решили опубликовать их в нашем блоге.Целью исследования является не только определение состояния безопасности сайтов в доменной зоне .ru, но и роль поисковых систем в этом.
Читать дальше →
Тэги: it-систем, pentestit, sitesecure, безопасность, блог, веб-приложений, веб-разработка, информационная, компании, тестирование
Обзор площадки для тестирования веб-уязвимостей OWASP Top-10 на примере bWAPP 2015-02-14 15:35:20
Привет, Хабр!
В этой статье предлагаю читателю ознакомится с уязвимостями веб- ...
+ развернуть текст сохранённая копия
Привет, Хабр!
В этой статье предлагаю читателю ознакомится с уязвимостями веб-приложений (и не только), по классификации OWASP Top-10, и их эксплуатацией на примере bWAPP.
Читать дальше →
Тэги: bee-box, owasp, pentest, безопасность, веб-разработка, информационная, образование
Лучшие практики и рекомендации по защите php-приложений от XSS-атак 2014-02-05 12:57:35
Лучшие практики и рекомендации по защите php-приложений от XSS-атак
Создание ...
+ развернуть текст сохранённая копия
Лучшие практики и рекомендации по защите php-приложений от XSS-атак
Создание функционирующего веб-приложения – это только полдела. Современные онлайн-сервисы и веб-приложения, помимо собственного контента, хранят данные пользователей. Защита этих данных зависит от правильно написанного кода с точки зрения надёжности и безопасности.
Большинство уязвимостей связано с неправильной обработкой данных, получаемых извне, или недостаточно строгой их проверкой. Одной из таких уязвимостей является межсайтовое выполнение сценариев (Сross Site Sсriрting, XSS), которая может привести к дефейсу сайта, перенаправлению пользователя на зараженный ресурс, вставке в веб-ресурс вредоносного кода, краже COOKIE-файлов, сессии и прочей информации. Противостоять XSS своими сила поможет применение лучших практик и рекомендаций по безопасному программированию, о которых и пойдет речь ниже.
Читать дальше →
Тэги: pentestit, php, безопасность, блог, информационная, компании
Вопросы безопасности в веб-технологиях / Хроники пентестера 2011-09-22 13:33:47
Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для ...
+ развернуть текст сохранённая копия
Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для нарушителей всех мастей. Тут всегда хватит места и для матерых SEOшников, и для желающих нести свои мысли в массы путем подмены содержимого страниц, и, разумеется, веб-приложения являются первоочередной мишенью при преодолении внешнего периметра компаний, как в тестированиях на проникновение, так и в суровой жизни.
Повсеместно низкая безопасность веб-приложений обусловлена множеством факторов: от качества разрабатываемого кода и выбранного языка программирования, до используемых конфигураций на стороне веб-сервера. Масло в огонь добавляет еще тот факт, что безопасность веб-приложений держится особняком относительно общей стратегии безопасности. Менеджеры структурных подразделений инициируют процессы развития бизнеса, которые в свою очередь, так или иначе, базируются на веб-технологиях. При этом служба управления информационной безопасностью в среднестатистической компании как бы закрывает глаза на то, что приобретаемое решение может содержать уязвимости. Более того, из опыта проводимых работ, больше половины ИБ подразделений в российских компаниях даже не подозревают, кто ответственен за внешний, официальный сайт компании, не говоря уже о том, кто занимается его безопасностью. Потому веб-приложения и взламывают на потоке.
Читать дальше →
Тэги: pentest, security, web, проникновение, тест
Главная / Главные темы / Тэг «pentestit»
|
Взлеты Топ 5
Падения Топ 5
|