Я твой WAF payload шатал
WAF bypass, False Positive, False Negative и вот это вот всеhttps://habr.com/ru/post/540188/
WAF bypass, False Positive, False Negative и вот это вот всеhttps://habr.com/ru/post/540188/
SQL-инъекции' union select null,null,null --
Рассмотрим виды SQL-инъекциий, инструментарий поиска и способы защиты. https://habr.com/ru/post/542190/
Рассмотрим виды SQL-инъекциий, инструментарий поиска и способы защиты. https://habr.com/ru/post/542190/
Пентест-лаборатория Test lab 15 — ху из зэ н0в1ч0к?
Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.
В статье мы вспомним, какие задания встречались в предыдущей лаборатории и поможем подготовиться к новой Test lab 15. https://habr.com/ru/post/544206/
Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.
В статье мы вспомним, какие задания встречались в предыдущей лаборатории и поможем подготовиться к новой Test lab 15. https://habr.com/ru/post/544206/
Пентестим по-белому в домашних условиях
Обзор TWAPT - сборника нескольких оффлайн платформ для тестирования на проникновение, представленных в едином Docker-образе. https://habr.com/ru/company/pentestit/blog/551978/
Обзор TWAPT - сборника нескольких оффлайн платформ для тестирования на проникновение, представленных в едином Docker-образе. https://habr.com/ru/company/pentestit/blog/551978/
WAF Bypass теперь и в Docker
WAF Bypass by Pentestit - написанный на Python3 инструмент с открытым исходным кодом, позволяющий проверить любой WAF на количество False Positive / False Negative (ложные срабатывания и пропуски атак), используя предустановленные пейлоады (при желании, набор полезных нагрузок можно изменить). hub.docker.com/r/nemesida/waf-bypass
WAF Bypass by Pentestit - написанный на Python3 инструмент с открытым исходным кодом, позволяющий проверить любой WAF на количество False Positive / False Negative (ложные срабатывания и пропуски атак), используя предустановленные пейлоады (при желании, набор полезных нагрузок можно изменить). hub.docker.com/r/nemesida/waf-bypass
👍1🔥1
Reverse engineering: обратная разработка приложений для самых маленьких
Деассемблируем машинный код, скомпилированный без отладочной информации и без использования оптимизаций (gcc -O0), в дополнение ко всему обработанный утилитой strip https://habr.com/ru/company/pentestit/blog/555590/
Деассемблируем машинный код, скомпилированный без отладочной информации и без использования оптимизаций (gcc -O0), в дополнение ко всему обработанный утилитой strip https://habr.com/ru/company/pentestit/blog/555590/
Фишинг: ловись рыбка большая и маленькая
https://habr.com/ru/company/pentestit/blog/558138/
https://habr.com/ru/company/pentestit/blog/558138/
Назойливые боты, ложные срабатывания, сложное и постоянное обслуживание - какие проблемы испытывают администраторы при использовании WAF? Как такие проблемы решает Nemesida WAF, и как он борется с атаками на веб-приложения в 2021 году. https://habr.com/ru/company/pentestit/blog/565770/
image_2022-03-27_00-19-01.png
1 MB
API Pentesting Mindmap или как часто вы теребите свою апишечку?
P.S.: Используйте Nemesida WAF (включая Deep API Inspection) для защиты REST API (nemesida-waf.ru)
P.S.: Используйте Nemesida WAF (включая Deep API Inspection) для защиты REST API (nemesida-waf.ru)
🔥2
Обход сигнатур WAF: Расшифровка доклада на PHDays 11
19 мая Романов Роман выступил на PHDays 11 с докладом, где вкратце рассказал о том, как в 2022 году с помощью WAF противостоять атакам на веб-приложения и почему сигнатурный метод - не лучший для этого выбор. https://habr.com/ru/company/pentestit/blog/666720/
19 мая Романов Роман выступил на PHDays 11 с докладом, где вкратце рассказал о том, как в 2022 году с помощью WAF противостоять атакам на веб-приложения и почему сигнатурный метод - не лучший для этого выбор. https://habr.com/ru/company/pentestit/blog/666720/
👍3🔥1
А тем временем WAF Bypass Tool становится популярнее и уже скоро приблизится к 1к звездам на GitHub.
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить собственный WAF на наличие пропусков атак и ложных срабатываний. Доступен в виде набора скриптов и Docker-образа. Попробуйте и вы! https://github.com/nemesida-waf/waf-bypass
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить собственный WAF на наличие пропусков атак и ложных срабатываний. Доступен в виде набора скриптов и Docker-образа. Попробуйте и вы! https://github.com/nemesida-waf/waf-bypass
👍3🔥2
Вышел WAF Bypass Tool 2.0:
- добавлена поддержка вывода команд cURL для удобной перепроверки запросов в ручном режиме
- добавлена поддержка использования утилиты, используя pipx
- переработан вывод в формате JSON для интеграции инструмента в инфраструктуру для автоматизации проверок
- прочие улучшения и исправления
Спасибо за вклад: JamesConlan96, dankegel
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить WAF на ложные срабатывания и пропуски, используя предустановленный и изменяемый набор полезных нагрузок. Доступен в виде Python-скриптов и Docker-контейнера.
Проверьте свой WAF, пока за вас это не сделал злоумышленник.
https://github.com/nemesida-waf/waf-bypass
- добавлена поддержка вывода команд cURL для удобной перепроверки запросов в ручном режиме
- добавлена поддержка использования утилиты, используя pipx
- переработан вывод в формате JSON для интеграции инструмента в инфраструктуру для автоматизации проверок
- прочие улучшения и исправления
Спасибо за вклад: JamesConlan96, dankegel
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить WAF на ложные срабатывания и пропуски, используя предустановленный и изменяемый набор полезных нагрузок. Доступен в виде Python-скриптов и Docker-контейнера.
Проверьте свой WAF, пока за вас это не сделал злоумышленник.
https://github.com/nemesida-waf/waf-bypass
🔥2
Серьезная уязвимость в ModSecurity v3 (CVE-2024-1019)
В популярном WAF ModSecurity (libModSecurity) обнаружена уязвимость CVE-2024-1019 (8.6 HIGH), позволяющая произвести обход защиты. Уязвимость возникает из-за декодирования символов URL-адреса в запросе до определения компонента пути URL-адреса запроса и дополнительного компонента строки запроса. Передавая символ %3F в URL-адресе, ModSecurity производит декодирование и ошибочно интерпретирует ? как символ отделения URL-адреса от строки запроса. https://nemesida-waf.ru/vulns/12775
В популярном WAF ModSecurity (libModSecurity) обнаружена уязвимость CVE-2024-1019 (8.6 HIGH), позволяющая произвести обход защиты. Уязвимость возникает из-за декодирования символов URL-адреса в запросе до определения компонента пути URL-адреса запроса и дополнительного компонента строки запроса. Передавая символ %3F в URL-адресе, ModSecurity производит декодирование и ошибочно интерпретирует ? как символ отделения URL-адреса от строки запроса. https://nemesida-waf.ru/vulns/12775
🔥1
Вышел WAF Bypass Tool 2.1.2 с прогрес-баром и ... ETA.
Спасибо за вклад http://github.com/nrathaus.
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить WAF на ложные срабатывания и пропуски, используя предустановленный и изменяемый набор полезных нагрузок. Доступен в виде Python-скриптов и Docker-контейнера.
Проверьте свой WAF, пока за вас это не сделал злоумышленник.
https://github.com/nemesida-waf/waf-bypass
Спасибо за вклад http://github.com/nrathaus.
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить WAF на ложные срабатывания и пропуски, используя предустановленный и изменяемый набор полезных нагрузок. Доступен в виде Python-скриптов и Docker-контейнера.
Проверьте свой WAF, пока за вас это не сделал злоумышленник.
https://github.com/nemesida-waf/waf-bypass
🔥1
Теперь официально: применение в Немезида ВАФ технологий ИИ закреплено в реестре российского ПО
В 2017 году мы адаптировали машинное обучение для работы с Немезида ВАФ, о чем рассказывали на различных технических конференциях и площадках. С того времени мы начали упорно работать над адаптацией межкомпонентного взаимодействия, получив те самые 99,98% точности выявления атак (против примерных 46.62% точности для сигнатурного анализа) сперва в лабораторных условиях, а после - на боевом трафике. И все это - на обычном CPU и без нейронных сетей.
С тех пор модуль машинного обучения Немезида ВАФ - одна из ключевых отличительных особенностей качественного и зрелого решения. И чтобы показать это на деле, мы решили разработать специализированный опенсорсный инструмент - WAF Bypass Tool - с помощью которого можно оценить качество работы решений класса Web Application Firewall.
Попробуйте и вы.
- Немезида ВАФ: https://nemesida-waf.ru/buy/4079
- WAF Bypass Tool: https://github.com/nemesida-waf/waf-bypass
В 2017 году мы адаптировали машинное обучение для работы с Немезида ВАФ, о чем рассказывали на различных технических конференциях и площадках. С того времени мы начали упорно работать над адаптацией межкомпонентного взаимодействия, получив те самые 99,98% точности выявления атак (против примерных 46.62% точности для сигнатурного анализа) сперва в лабораторных условиях, а после - на боевом трафике. И все это - на обычном CPU и без нейронных сетей.
С тех пор модуль машинного обучения Немезида ВАФ - одна из ключевых отличительных особенностей качественного и зрелого решения. И чтобы показать это на деле, мы решили разработать специализированный опенсорсный инструмент - WAF Bypass Tool - с помощью которого можно оценить качество работы решений класса Web Application Firewall.
Попробуйте и вы.
- Немезида ВАФ: https://nemesida-waf.ru/buy/4079
- WAF Bypass Tool: https://github.com/nemesida-waf/waf-bypass
🔥3