Laravel < 8.4.2 Remote Code Execution при включенном debug-режиме. https://waf.pentestit.ru/vulns/7557
Занимаетесь администрированием или разработкой сайтов или API и считаете, что SQLi, RCE и XSS не место в 2021 году, потому что все используют PDO, HTML Purifier и т.д.? А как насчет "хоп, хоп, и в продакшн"?
Nemesida WAF точно и с минимальным временем обработки запроса заблокирует атаки на веб-приложения, независимо от языка разработки и фреймворка.
Использование комбинированного анализа на основе машинного обучения позволяет практически без ложных срабатывай отличить легитимный запрос от атаки, в том числе блокировать попытки подбора пароля и СМС флуд.
А наличие сканера уязвимостей, входящего в комплект поставки, позволит интегрировать Nemesida WAF в полный цикл разработки: от первичной проверки на уязвимости до публичного релиза.
Nemesida WAF доступен в виде облачной и коробочной версий. Протестируйте в течение 14-ти дней и узнайте, как часто атакуют ваш веб-ресурс. Подробнee: https://waf.pentestit.ru/manuals/4079
Nemesida WAF точно и с минимальным временем обработки запроса заблокирует атаки на веб-приложения, независимо от языка разработки и фреймворка.
Использование комбинированного анализа на основе машинного обучения позволяет практически без ложных срабатывай отличить легитимный запрос от атаки, в том числе блокировать попытки подбора пароля и СМС флуд.
А наличие сканера уязвимостей, входящего в комплект поставки, позволит интегрировать Nemesida WAF в полный цикл разработки: от первичной проверки на уязвимости до публичного релиза.
Nemesida WAF доступен в виде облачной и коробочной версий. Протестируйте в течение 14-ти дней и узнайте, как часто атакуют ваш веб-ресурс. Подробнee: https://waf.pentestit.ru/manuals/4079
Я твой WAF payload шатал
WAF bypass, False Positive, False Negative и вот это вот всеhttps://habr.com/ru/post/540188/
WAF bypass, False Positive, False Negative и вот это вот всеhttps://habr.com/ru/post/540188/
SQL-инъекции' union select null,null,null --
Рассмотрим виды SQL-инъекциий, инструментарий поиска и способы защиты. https://habr.com/ru/post/542190/
Рассмотрим виды SQL-инъекциий, инструментарий поиска и способы защиты. https://habr.com/ru/post/542190/
Пентест-лаборатория Test lab 15 — ху из зэ н0в1ч0к?
Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.
В статье мы вспомним, какие задания встречались в предыдущей лаборатории и поможем подготовиться к новой Test lab 15. https://habr.com/ru/post/544206/
Ежегодно Pentestit выпускает уникальные лаборатории тестирования на проникновения. По своей сути, Test lab являются реальными копиями корпоративных сетей, которые содержат различные ошибки конфигураций. Каждый желающий может попробовать свои силы на практике совершенно бесплатно. Лаборатории разрабатываются с учетом наиболее распространенных уязвимостей. В Test lab используются различные сетевые сервисы (Mail, DNS, AD, VPN, WAF, и т.д), веб-приложения, API и прикладные программы, а также дополнительные вспомогательные элементы инфраструктуры для придания реалистичности.
В статье мы вспомним, какие задания встречались в предыдущей лаборатории и поможем подготовиться к новой Test lab 15. https://habr.com/ru/post/544206/
Пентестим по-белому в домашних условиях
Обзор TWAPT - сборника нескольких оффлайн платформ для тестирования на проникновение, представленных в едином Docker-образе. https://habr.com/ru/company/pentestit/blog/551978/
Обзор TWAPT - сборника нескольких оффлайн платформ для тестирования на проникновение, представленных в едином Docker-образе. https://habr.com/ru/company/pentestit/blog/551978/
WAF Bypass теперь и в Docker
WAF Bypass by Pentestit - написанный на Python3 инструмент с открытым исходным кодом, позволяющий проверить любой WAF на количество False Positive / False Negative (ложные срабатывания и пропуски атак), используя предустановленные пейлоады (при желании, набор полезных нагрузок можно изменить). hub.docker.com/r/nemesida/waf-bypass
WAF Bypass by Pentestit - написанный на Python3 инструмент с открытым исходным кодом, позволяющий проверить любой WAF на количество False Positive / False Negative (ложные срабатывания и пропуски атак), используя предустановленные пейлоады (при желании, набор полезных нагрузок можно изменить). hub.docker.com/r/nemesida/waf-bypass
Reverse engineering: обратная разработка приложений для самых маленьких
Деассемблируем машинный код, скомпилированный без отладочной информации и без использования оптимизаций (gcc -O0), в дополнение ко всему обработанный утилитой strip https://habr.com/ru/company/pentestit/blog/555590/
Деассемблируем машинный код, скомпилированный без отладочной информации и без использования оптимизаций (gcc -O0), в дополнение ко всему обработанный утилитой strip https://habr.com/ru/company/pentestit/blog/555590/
Фишинг: ловись рыбка большая и маленькая
https://habr.com/ru/company/pentestit/blog/558138/
https://habr.com/ru/company/pentestit/blog/558138/
Назойливые боты, ложные срабатывания, сложное и постоянное обслуживание - какие проблемы испытывают администраторы при использовании WAF? Как такие проблемы решает Nemesida WAF, и как он борется с атаками на веб-приложения в 2021 году. https://habr.com/ru/company/pentestit/blog/565770/
image_2022-03-27_00-19-01.png
1 MB
API Pentesting Mindmap или как часто вы теребите свою апишечку?
P.S.: Используйте Nemesida WAF (включая Deep API Inspection) для защиты REST API (nemesida-waf.ru)
P.S.: Используйте Nemesida WAF (включая Deep API Inspection) для защиты REST API (nemesida-waf.ru)
Обход сигнатур WAF: Расшифровка доклада на PHDays 11
19 мая Романов Роман выступил на PHDays 11 с докладом, где вкратце рассказал о том, как в 2022 году с помощью WAF противостоять атакам на веб-приложения и почему сигнатурный метод - не лучший для этого выбор. https://habr.com/ru/company/pentestit/blog/666720/
19 мая Романов Роман выступил на PHDays 11 с докладом, где вкратце рассказал о том, как в 2022 году с помощью WAF противостоять атакам на веб-приложения и почему сигнатурный метод - не лучший для этого выбор. https://habr.com/ru/company/pentestit/blog/666720/
А тем временем WAF Bypass Tool становится популярнее и уже скоро приблизится к 1к звездам на GitHub.
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить собственный WAF на наличие пропусков атак и ложных срабатываний. Доступен в виде набора скриптов и Docker-образа. Попробуйте и вы! https://github.com/nemesida-waf/waf-bypass
WAF Bypass Tool - инструмент с открытым исходным кодом, позволяющий проверить собственный WAF на наличие пропусков атак и ложных срабатываний. Доступен в виде набора скриптов и Docker-образа. Попробуйте и вы! https://github.com/nemesida-waf/waf-bypass