DevSecOps: организация фаззинга исходного кода
Узнав результаты голосования, проведённого в одной из наших прошлых статей, мы решили более подробно обсудить вопрос организации фаззинга. Кроме того, в рамках онлайн-встречи по информационной безопасности "Digital Security ON AIR" мы представили доклад, основанный на нашем опыте в DevSecOps, где...
Google продвигает новый стандарт WebBundles — потенциально опасную для веба технологию «упаковки» веб-сайтов
В общем потоке новостей остался незамеченным совместный призыв продукт-менеджера Chrome Кенджи Бахе и веб-консультанта Google Юсуке Уцуномии об использовании нового стандарта Web Bundles, разработанного Google. На chromium.googlesource появился соответствующий мануал по использованию WebBundles и,...
HackTheBox. Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc
Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox. В данной статье копаемся в NSF ресурсе, разбираемся с RCE эксплоитом для CMS Umbraco и находим вектор LPE через UsoSvc с помощью PowerUp. Подключение к лаборатории осуществляется через VPN. Рекомендуется не...
Как кибербезопасность трансформирует рынок ИТ (часть 3)
Несмотря на ежегодный рост бюджетов и разнообразия средств по информационной безопасности, каждый год мы получаем только кратное увеличение статистики по числу инцидентов, рост объёма утечек и фишинговых писем и пр. Почему так происходит? Возможно, нарастающая сложность и размер информационных...
Shodan — темный близнец Google
Источник S in IoT stands for SecurityПро Shodan уже не раз писали, в том числе и здесь. Я хочу предложить еще раз пробежаться по возможностям этого замечательного инструмента и принципам его работы. Сразу хочу оговориться, ситуация с этим поисковиком вполне классическая для исследователей" в...
[Из песочницы] Проблемы автономных СКУД — Там, откуда не ждали
Всем доброго времени суток. Начну с предыстории, о том, что меня побудило провести данное исследование, но прежде предупрежу: все практические действия были выполнены с согласия управляющих структур. Любая попытка использовать данный материал в целях проникновения на закрытую территорию без права...
[Из песочницы] Обработка персональных данных удаленно: риски и возможные последствия
Речь все о тех же рекомендациях руководства страны по переводу работников предприятий (государственных и негосударственных) на удаленный режим в условиях пандемии. Возможно ли организовать процесс работы с персональными данными (ПДн) в домашних условиях и что диктуют нам законодательство и...
HackTheBox. Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье мы проэксплкатируем RCE в OpenNetAdmin, покопаемся в конфигах веб сервера, прокинем порт с помощью SSH Forwarding, крякнем пароль к ключу SSH и используем технику GTFOBins для повышения привилегий....
Риторика в качестве инструмента безопасника
Сотрудники порой как дети малые. Говоришь одно – делают другое. Либо вообще не делают. Просишь не приклеивать стикеры с паролями на монитор – прячут под клавиатуру. Напоминаешь быть внимательными к подозрительной почте – кивают и тут же забывают. Мне эта ситуация всегда напоминает журнал учёта...
Исследование: на черном рынке растет популярность торговли доступами к корпоративным сетям
Эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. Выявленный тренд...
Hack The Box. Прохождение Control. SQL инъекция и LPE через права на службу
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье проникаем в систему через SQL инъекцию, копаемся в истории командной строки и повышаем свои привилегии благодаря имеющимся правам на службу. Подключение к лаборатории осуществляется через VPN....
Переход на удаленку: бизнес-процессы спасли, что с безопасностью?
В середине апреля мы опросили руководителей и ИБ-специалистов компаний, насколько легко, дорого им дался перевод коллективов в хоум-офисы. Кратким резюме может быть такое: бизнес-процессы выстояли, люди адаптировались, вопросы безопасности – не до них пока. Те же вопросы задали и за рубежом. Под...
«Мы все уронили»: тестируем модель города на полигоне
Пока весь мир на карантине, команда Positive Technologies спустилась в бункер и пообщалась с ИБ-комьюнити в рамках онлайн-шоу «ИБшник на удаленке». С конца марта они провели десяток трансляций шоу, где эксперты в сфере инфобеза обсудили темы, актуальные в период изоляции и перестройки всех деловых...
Пока все дома: как защитить инфраструктуру IT-компании на удаленке
Карантин заставил IT-отрасль перейти на удаленку. Оказалось, что инфраструктура многих компаний к такому не готова — удаленный доступ дается на скорую руку, а VPN-сервера конфигурируют за пару дней. А еще дистанционная работа обостряет человеческий фактор, из-за которого продуманная безопасность...
Новогодние поздравления и COVID-19: как хакеры используют новости
Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой...
Дайджест по посадкам. ИБ-специалисту на заметку
Весна, карантин и заколосившаяся рассада на подоконнике навеяли забавное название для поста. Но содержимое его вполне серьёзно. Работаю я в SearchInform и раньше довольно часто доводилось слышать мнение, что DLP-система и суд – понятия несовместимые. Мол, эта игра не стоит свеч. Так было лет 9...
HackTheBox. Прохождение Mango. NoSQL инъекция и LPE через JJS
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье эксплуатируем NoSQL инъекцию в форме авторизации, а также повышаем привилегии через JJS. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или...
Необычные и вполне очевидные факторы, влияющие на трафик корпоративных сетей и работу провайдеров
Поговорим о нескольких интересных зависимостях, связанных со скачками трафика в сетях компаний, а также кибербезопасностью ИТ-инфраструктуры. Например, дополнительную нагрузку на сеть может вызывать даже простая установка вторых мониторов на рабочих местах сотрудников. Читать дальше →...