Мы сделали это! В новом релизе Nemesida WAF мы добавили функционал отправки событий на API для Free-версии. А это значит, что и Free-версия Nemesida WAF стала доступна для интеграции с SIEM и другими системами, а информация об атаках будет доступна и в личном кабинете.
Nemesida WAF Free: waf.pentestit.ru/about/2511
Nemesida WAF API: waf.pentestit.ru/manuals/5611
Личный кабинет: waf.pentestit.ru/manuals/1446
Virtual Appliance (vmdk-диск для KVM/VMware/Virtualbox с уже установленными компонентами Nemesida WAF под Debian 10, 1,3 GB): repository.pentestit.ru/vm/NemesidaWAF-VA.zip
Nemesida WAF Free: waf.pentestit.ru/about/2511
Nemesida WAF API: waf.pentestit.ru/manuals/5611
Личный кабинет: waf.pentestit.ru/manuals/1446
Virtual Appliance (vmdk-диск для KVM/VMware/Virtualbox с уже установленными компонентами Nemesida WAF под Debian 10, 1,3 GB): repository.pentestit.ru/vm/NemesidaWAF-VA.zip
До сих пор на сигнатурах? Тогда мы идем к вам!
25.09.19 в 15:00 (МСК) на получасовом вебинаре расскажем, в чем особенность Nemesida WAF и почему после машинного обучения не хочется возвращаться к сигнатурному анализу, покажем вспомогательные модули (ЛК, сканер уязвимостей и т.д.) и как в один клик можно решить проблему ложных срабатываний, продемонстрируем различные способы обхода сигнатурного WAF. waf.pentestit.ru/events/5939
25.09.19 в 15:00 (МСК) на получасовом вебинаре расскажем, в чем особенность Nemesida WAF и почему после машинного обучения не хочется возвращаться к сигнатурному анализу, покажем вспомогательные модули (ЛК, сканер уязвимостей и т.д.) и как в один клик можно решить проблему ложных срабатываний, продемонстрируем различные способы обхода сигнатурного WAF. waf.pentestit.ru/events/5939
Как типичные и не очень ошибки разработчиков и администраторов позволяют атакующему получить полный контроль над корпоративной сетью. Выступление на DevOpsConf 2020. https://www.youtube.com/watch?v=pwU9gsniKI8
Пс, парень, твоей странице <script>alert('скрипт');</script> не нужен?
В статье расскажем про хранимые, отображаемы типы XSS и XSS в DOM-объектах, проведем обзор фреймворков для их поиска (XXSer и XXStrike) и узнаем, как точно Nemesida WAF Free блокирует попытки эксплуатации XSS https://habr.com/ru/post/535642/
#XSS #XSSer #XXStrike #NemesidaWAF #WebSecurity
В статье расскажем про хранимые, отображаемы типы XSS и XSS в DOM-объектах, проведем обзор фреймворков для их поиска (XXSer и XXStrike) и узнаем, как точно Nemesida WAF Free блокирует попытки эксплуатации XSS https://habr.com/ru/post/535642/
#XSS #XSSer #XXStrike #NemesidaWAF #WebSecurity
Laravel < 8.4.2 Remote Code Execution при включенном debug-режиме. https://waf.pentestit.ru/vulns/7557
Занимаетесь администрированием или разработкой сайтов или API и считаете, что SQLi, RCE и XSS не место в 2021 году, потому что все используют PDO, HTML Purifier и т.д.? А как насчет "хоп, хоп, и в продакшн"?
Nemesida WAF точно и с минимальным временем обработки запроса заблокирует атаки на веб-приложения, независимо от языка разработки и фреймворка.
Использование комбинированного анализа на основе машинного обучения позволяет практически без ложных срабатывай отличить легитимный запрос от атаки, в том числе блокировать попытки подбора пароля и СМС флуд.
А наличие сканера уязвимостей, входящего в комплект поставки, позволит интегрировать Nemesida WAF в полный цикл разработки: от первичной проверки на уязвимости до публичного релиза.
Nemesida WAF доступен в виде облачной и коробочной версий. Протестируйте в течение 14-ти дней и узнайте, как часто атакуют ваш веб-ресурс. Подробнee: https://waf.pentestit.ru/manuals/4079
Nemesida WAF точно и с минимальным временем обработки запроса заблокирует атаки на веб-приложения, независимо от языка разработки и фреймворка.
Использование комбинированного анализа на основе машинного обучения позволяет практически без ложных срабатывай отличить легитимный запрос от атаки, в том числе блокировать попытки подбора пароля и СМС флуд.
А наличие сканера уязвимостей, входящего в комплект поставки, позволит интегрировать Nemesida WAF в полный цикл разработки: от первичной проверки на уязвимости до публичного релиза.
Nemesida WAF доступен в виде облачной и коробочной версий. Протестируйте в течение 14-ти дней и узнайте, как часто атакуют ваш веб-ресурс. Подробнee: https://waf.pentestit.ru/manuals/4079
Я твой WAF payload шатал
WAF bypass, False Positive, False Negative и вот это вот всеhttps://habr.com/ru/post/540188/
WAF bypass, False Positive, False Negative и вот это вот всеhttps://habr.com/ru/post/540188/
SQL-инъекции' union select null,null,null --
Рассмотрим виды SQL-инъекциий, инструментарий поиска и способы защиты. https://habr.com/ru/post/542190/
Рассмотрим виды SQL-инъекциий, инструментарий поиска и способы защиты. https://habr.com/ru/post/542190/
Пентест-лаборатория Test lab 15 — ху из зэ н0в1ч0к?
Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.
В статье мы вспомним, какие задания встречались в предыдущей лаборатории и поможем подготовиться к новой Test lab 15. https://habr.com/ru/post/544206/
Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.
В статье мы вспомним, какие задания встречались в предыдущей лаборатории и поможем подготовиться к новой Test lab 15. https://habr.com/ru/post/544206/
Пентестим по-белому в домашних условиях
Обзор TWAPT - сборника нескольких оффлайн платформ для тестирования на проникновение, представленных в едином Docker-образе. https://habr.com/ru/company/pentestit/blog/551978/
Обзор TWAPT - сборника нескольких оффлайн платформ для тестирования на проникновение, представленных в едином Docker-образе. https://habr.com/ru/company/pentestit/blog/551978/
WAF Bypass теперь и в Docker
WAF Bypass by Pentestit - написанный на Python3 инструмент с открытым исходным кодом, позволяющий проверить любой WAF на количество False Positive / False Negative (ложные срабатывания и пропуски атак), используя предустановленные пейлоады (при желании, набор полезных нагрузок можно изменить). hub.docker.com/r/nemesida/waf-bypass
WAF Bypass by Pentestit - написанный на Python3 инструмент с открытым исходным кодом, позволяющий проверить любой WAF на количество False Positive / False Negative (ложные срабатывания и пропуски атак), используя предустановленные пейлоады (при желании, набор полезных нагрузок можно изменить). hub.docker.com/r/nemesida/waf-bypass
👍1🔥1
Reverse engineering: обратная разработка приложений для самых маленьких
Деассемблируем машинный код, скомпилированный без отладочной информации и без использования оптимизаций (gcc -O0), в дополнение ко всему обработанный утилитой strip https://habr.com/ru/company/pentestit/blog/555590/
Деассемблируем машинный код, скомпилированный без отладочной информации и без использования оптимизаций (gcc -O0), в дополнение ко всему обработанный утилитой strip https://habr.com/ru/company/pentestit/blog/555590/
Фишинг: ловись рыбка большая и маленькая
https://habr.com/ru/company/pentestit/blog/558138/
https://habr.com/ru/company/pentestit/blog/558138/
Назойливые боты, ложные срабатывания, сложное и постоянное обслуживание - какие проблемы испытывают администраторы при использовании WAF? Как такие проблемы решает Nemesida WAF, и как он борется с атаками на веб-приложения в 2021 году. https://habr.com/ru/company/pentestit/blog/565770/