«Руководство по тестированию веб-безопасности» (WSTG v.4.1) Впервые на русском!!! Полное Руководство OWASP !!!
OWASP. Руководство по тестированию веб-безопасности
Объем: 602 стр.
Год: 2020г.
«Руководство по тестированию веб-безопасности» (WSTG v.4.1) является
основным ресурсом для тестирования кибербезопасности для
разработчиков веб-приложений и специалистов по безопасности.
WSTG - это всеобъемлющее руководство по тестированию безопасности
веб-приложений и веб-сервисов. WSTG, созданный совместными усилиями профессионалов в области кибербезопасности и волонтеров, предоставляет набор лучших практик, используемых тестировщиками проникновения и организациями по всему миру.
Цена: 2500 рублей.
По всем вопросам: mikhailtarasov2016@yandex.ru
OWASP. Руководство по тестированию веб-безопасности
Объем: 602 стр.
Год: 2020г.
«Руководство по тестированию веб-безопасности» (WSTG v.4.1) является
основным ресурсом для тестирования кибербезопасности для
разработчиков веб-приложений и специалистов по безопасности.
WSTG - это всеобъемлющее руководство по тестированию безопасности
веб-приложений и веб-сервисов. WSTG, созданный совместными усилиями профессионалов в области кибербезопасности и волонтеров, предоставляет набор лучших практик, используемых тестировщиками проникновения и организациями по всему миру.
Цена: 2500 рублей.
По всем вопросам: mikhailtarasov2016@yandex.ru
TikTok открывает экспертам свои алгоритмы для изучения
TikTok запустит Центр прозрачности и подотчетности и призывает другие компании последовать его примеру.
Разработчики TikTok намерены доказать всему миру, что им нечего скрывать, и открыть доступ к своим алгоритмам сортировки и обмена пользовательскими видео, позволяя экспертам «наблюдать политики модерации в режиме реального времени». По словам гендиректора TikTok Кевина Майера (Kevin Mayer), таким образом мессенджер окажется на шаг впереди других представителей отрасли, которые должны последовать его примеру.
«Мы считаем, что вся наша отрасль должна соответствовать исключительно высоким стандартам. Именно поэтому мы уверены, что все компании должны раскрывать регуляторам свои алгоритмы, политики модерации и потоки данных. Мы не стали дожидаться появления соответствующих нормативных актов, и вместо этого TikTok сам сделал первый шаг, запустив Центр прозрачности и подотчетности для модерации и практики обработки данных», - сообщил Майер.
Решение руководства TikTok запустить Центр прозрачности и подотчетности подоспело как раз вовремя. В среду, 29 июля, в антимонопольном комитете Конгресса США в режиме видеоконференции прошли слушания с участием гендиректоров Google, Apple, Amazon и Facebook. Целью слушаний была оценка возможностей компаний и их поведения в сфере честной конкуренции. В течение пяти часов они отвечали на вопросы комитета, в том числе касательно блокировки конкурентов, сбора пользовательских данных и пр. По итогам слушаний комитет подтвердил собранные раннее сведения о нарушениях антимонопольного законодательства со стороны компаний.
Хотя гендиректор TikTok и не был вызван «на ковер», ранее глава Facebook Марк Цукерберг приводил TikTok как пример конкуренции в отрасли социальных медиа и использовал компанию в качестве демонстрации того, почему американским технологическим компаниям необходимо сохранять свободу, чтобы противостоять росту Китая.
Согласно подготовленным перед слушаниями замечаниям Цукерберга, соревнование между Facebook и зарубежными конкурентами является «идеологической борьбой».
«Мы верим в такие ценности, как демократия, конкуренция, инклюзивность и свобода слова, на которых была построена американская экономика. Многие технологические компании разделяют эти ценности, но нет никакой гарантии, что наши ценности в итоге победят. Например, Китай строит свою собственную версию интернета, ориентированную на совершенно другие идеи, и экспортирует свое видение в другие страны», - отметил Цукерберг.
Майер ответил на этот комментарий в своем блоге, заявив, что он намерен сосредоточиться на «честной и открытой конкуренции», а не на борьбе с «язвительными нападками нашего конкурента, а именно Facebook, выдаваемых за патриотизм».
Источник: https://www.securitylab.ru/news/510675.php
TikTok запустит Центр прозрачности и подотчетности и призывает другие компании последовать его примеру.
Разработчики TikTok намерены доказать всему миру, что им нечего скрывать, и открыть доступ к своим алгоритмам сортировки и обмена пользовательскими видео, позволяя экспертам «наблюдать политики модерации в режиме реального времени». По словам гендиректора TikTok Кевина Майера (Kevin Mayer), таким образом мессенджер окажется на шаг впереди других представителей отрасли, которые должны последовать его примеру.
«Мы считаем, что вся наша отрасль должна соответствовать исключительно высоким стандартам. Именно поэтому мы уверены, что все компании должны раскрывать регуляторам свои алгоритмы, политики модерации и потоки данных. Мы не стали дожидаться появления соответствующих нормативных актов, и вместо этого TikTok сам сделал первый шаг, запустив Центр прозрачности и подотчетности для модерации и практики обработки данных», - сообщил Майер.
Решение руководства TikTok запустить Центр прозрачности и подотчетности подоспело как раз вовремя. В среду, 29 июля, в антимонопольном комитете Конгресса США в режиме видеоконференции прошли слушания с участием гендиректоров Google, Apple, Amazon и Facebook. Целью слушаний была оценка возможностей компаний и их поведения в сфере честной конкуренции. В течение пяти часов они отвечали на вопросы комитета, в том числе касательно блокировки конкурентов, сбора пользовательских данных и пр. По итогам слушаний комитет подтвердил собранные раннее сведения о нарушениях антимонопольного законодательства со стороны компаний.
Хотя гендиректор TikTok и не был вызван «на ковер», ранее глава Facebook Марк Цукерберг приводил TikTok как пример конкуренции в отрасли социальных медиа и использовал компанию в качестве демонстрации того, почему американским технологическим компаниям необходимо сохранять свободу, чтобы противостоять росту Китая.
Согласно подготовленным перед слушаниями замечаниям Цукерберга, соревнование между Facebook и зарубежными конкурентами является «идеологической борьбой».
«Мы верим в такие ценности, как демократия, конкуренция, инклюзивность и свобода слова, на которых была построена американская экономика. Многие технологические компании разделяют эти ценности, но нет никакой гарантии, что наши ценности в итоге победят. Например, Китай строит свою собственную версию интернета, ориентированную на совершенно другие идеи, и экспортирует свое видение в другие страны», - отметил Цукерберг.
Майер ответил на этот комментарий в своем блоге, заявив, что он намерен сосредоточиться на «честной и открытой конкуренции», а не на борьбе с «язвительными нападками нашего конкурента, а именно Facebook, выдаваемых за патриотизм».
Источник: https://www.securitylab.ru/news/510675.php
SecurityLab.ru
TikTok открывает экспертам свои алгоритмы для изучения
TikTok запустит Центр прозрачности и подотчетности и призывает другие компании последовать его примеру.
Илон Маск рассказал новые подробности о разрабатываемых чипах для мозга
По словам предпринимателя данной системой можно будет управлять с помощью смартфона.
Глава компаний SpaceX и Tesla Илон Маск рассказал о возможностях мозговых чипов, над которыми сейчас работают его специалисты.
По словам предпринимателя, конечная цель данной разработки заключается в том, чтобы наладить прямую связь между мозгом и компьютером.
Предприниматель и основатель компании SpaceX Илон Маск заявил, что мозговые чипы, над созданием которых работает его стартап Neuralink, позволят людям слышать звуки, которые ранее были за пределами привычных частот.
«Мозговые чипы смогут помочь восстановить движение человеку с поврежденным спинным мозгом, а также позволят транслировать музыку прямо в мозг или регулировать уровень гормонов», - пишет The Independent.
Помимо этого, с помощью данного чипа человек сможет снять тревогу или сконцентрироваться на размышлениях.
Впервые о способе прямого подключения человеческого мозга к компьютеру Маск сообщил летом 2019 года. По словам предпринимателя данной системой можно будет управлять с помощью смартфона.
Ранее Маск заявил , что его компания Neuralink готова в ближайшее время внедрить чип в мозг человека.Миллиардер пояснил, что имплант устанавливается под кости черепа, соединяется с мозгом при помощи электродов и начинает выполнять функции человеческого органа.
Источник: https://www.securitylab.ru/news/510793.php
По словам предпринимателя данной системой можно будет управлять с помощью смартфона.
Глава компаний SpaceX и Tesla Илон Маск рассказал о возможностях мозговых чипов, над которыми сейчас работают его специалисты.
По словам предпринимателя, конечная цель данной разработки заключается в том, чтобы наладить прямую связь между мозгом и компьютером.
Предприниматель и основатель компании SpaceX Илон Маск заявил, что мозговые чипы, над созданием которых работает его стартап Neuralink, позволят людям слышать звуки, которые ранее были за пределами привычных частот.
«Мозговые чипы смогут помочь восстановить движение человеку с поврежденным спинным мозгом, а также позволят транслировать музыку прямо в мозг или регулировать уровень гормонов», - пишет The Independent.
Помимо этого, с помощью данного чипа человек сможет снять тревогу или сконцентрироваться на размышлениях.
Впервые о способе прямого подключения человеческого мозга к компьютеру Маск сообщил летом 2019 года. По словам предпринимателя данной системой можно будет управлять с помощью смартфона.
Ранее Маск заявил , что его компания Neuralink готова в ближайшее время внедрить чип в мозг человека.Миллиардер пояснил, что имплант устанавливается под кости черепа, соединяется с мозгом при помощи электродов и начинает выполнять функции человеческого органа.
Источник: https://www.securitylab.ru/news/510793.php
SecurityLab.ru
Илон Маск рассказал новые подробности о разрабатываемых чипах для мозга
По словам предпринимателя данной системой можно будет управлять с помощью смартфона.
Языки программирования для хакинга
Навык программирования необходим хакеру. Программы пишут на языках программирования, следовательно чтобы взломать программу, хакеру необходимо понять логику этой программы, найти в ней изъян и эксплуатировать его.
Языки программирования для Web-взлома и пентестинга
Если Вас интересует взлом и пентестинг сайтов, то вы должны выучить языки, перечисленные ниже, хотя бы на базовом уровне.
HTML
JavaScript
SQL (самое важное)
PHP
Perl
Языки программирования для написания эксплойтов
Написание эксплойтов - это продвинутая часть хакинга, она требует более высокого уровня владения языками программирования. Каждому профессиональному хакеру необходимо владеть навыками написания эксплойтов, это возможно сделать на любом языке программирования, таком как C, C++, Ruby, Python и др.
C/C++
Python (самое важное)
Ruby
Java
Языки программирования для реверсивной инженерии
Реверсивный инжиниринг, также называемый обратным инжинирингом, представляет собой процессы извлечения знаний или информации о конструкции из чего-либо созданного человеком и их воспроизведения или воспроизведения чего-либо, основывающегося на добытой информации.
Реверс-инжиниринг кода (обратная разработка кода) - это процесс анализа машинного кода программы, который ставит своей целью понять принцип работы, восстановить алгоритм, обнаружить недокументированные возможности программы, и т.п.
язык ассемблера
Источник: https://blog.askmentor.io/iazyki-proghrammirovaniia-dlia-khakingha/
Навык программирования необходим хакеру. Программы пишут на языках программирования, следовательно чтобы взломать программу, хакеру необходимо понять логику этой программы, найти в ней изъян и эксплуатировать его.
Языки программирования для Web-взлома и пентестинга
Если Вас интересует взлом и пентестинг сайтов, то вы должны выучить языки, перечисленные ниже, хотя бы на базовом уровне.
HTML
JavaScript
SQL (самое важное)
PHP
Perl
Языки программирования для написания эксплойтов
Написание эксплойтов - это продвинутая часть хакинга, она требует более высокого уровня владения языками программирования. Каждому профессиональному хакеру необходимо владеть навыками написания эксплойтов, это возможно сделать на любом языке программирования, таком как C, C++, Ruby, Python и др.
C/C++
Python (самое важное)
Ruby
Java
Языки программирования для реверсивной инженерии
Реверсивный инжиниринг, также называемый обратным инжинирингом, представляет собой процессы извлечения знаний или информации о конструкции из чего-либо созданного человеком и их воспроизведения или воспроизведения чего-либо, основывающегося на добытой информации.
Реверс-инжиниринг кода (обратная разработка кода) - это процесс анализа машинного кода программы, который ставит своей целью понять принцип работы, восстановить алгоритм, обнаружить недокументированные возможности программы, и т.п.
язык ассемблера
Источник: https://blog.askmentor.io/iazyki-proghrammirovaniia-dlia-khakingha/
Хакеры в Челябинске похитили бензин с заправки на 10 миллионов рублей
Они приговорены к условному лишению свободы на срок от 2 до 4 лет с испытательными сроками от 4 до 5 лет.
В Тракторозаводском районном суде 17 сотрудников — два IT-специалиста и 15 операторов-кассиров АЗС — признаны виновными в совершении преступления по ч. 2,3,4 ст. 159 УК РФ (мошенничество, совершенное группой лиц по предварительному сговору, в крупном и особо крупном размерах).
Работодатель подсудимых — топливная компания «Прайс». Они совершали хищение денег на протяжение двух лет: с мая 2015-го по апрель 2017 гг. Общая сумма хищений достигла 10,5 млн руб.
У мошенников была своя рабочая схема по сбыту денежных средства. Когда клиент оплачивал топливо наличными, операторы после получения денег и отпустив топливо, в специальной программе отменяли операцию. Затем сообщали программистам, которые вносили корректировку, удаляя количество проданных литров топлива. Полученные в результате таких манипуляций деньги соучастники делили между собой.
Они приговорены к условному лишению свободы на срок от 2 до 4 лет с испытательными сроками от 4 до 5 лет. Кроме этого, было изъято имущество приговоренных: гаражный бокс, земельный участок, три автомобиля. Один из обвиняемых добровольно возместил ущерб на сумму 142 тыс. руб.
Источник: https://www.securitylab.ru/news/510998.php
Они приговорены к условному лишению свободы на срок от 2 до 4 лет с испытательными сроками от 4 до 5 лет.
В Тракторозаводском районном суде 17 сотрудников — два IT-специалиста и 15 операторов-кассиров АЗС — признаны виновными в совершении преступления по ч. 2,3,4 ст. 159 УК РФ (мошенничество, совершенное группой лиц по предварительному сговору, в крупном и особо крупном размерах).
Работодатель подсудимых — топливная компания «Прайс». Они совершали хищение денег на протяжение двух лет: с мая 2015-го по апрель 2017 гг. Общая сумма хищений достигла 10,5 млн руб.
У мошенников была своя рабочая схема по сбыту денежных средства. Когда клиент оплачивал топливо наличными, операторы после получения денег и отпустив топливо, в специальной программе отменяли операцию. Затем сообщали программистам, которые вносили корректировку, удаляя количество проданных литров топлива. Полученные в результате таких манипуляций деньги соучастники делили между собой.
Они приговорены к условному лишению свободы на срок от 2 до 4 лет с испытательными сроками от 4 до 5 лет. Кроме этого, было изъято имущество приговоренных: гаражный бокс, земельный участок, три автомобиля. Один из обвиняемых добровольно возместил ущерб на сумму 142 тыс. руб.
Источник: https://www.securitylab.ru/news/510998.php
www.securitylab.ru
Хакеры в Челябинске похитили бензин с заправки на 10 миллионов рублей
Они приговорены к условному лишению свободы на срок от 2 до 4 лет с испытательными сроками от 4 до 5 лет.
Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.
Уязвимость ( CVE-2020-6519 ) была обнаружена исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле нынешнего года версии Chrome 84 проблема уже исправлена.
CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов.
Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс".
Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP.
Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман.
Источник: https://www.securitylab.ru/news/511069.php
Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.
Уязвимость в браузерах на базе движка Chromium позволяет злоумышленникам обойти политику защиты контента (Security Policy, CSP) на сайтах с целью похищения данных и внедрения вредоносного кода.
Уязвимость ( CVE-2020-6519 ) была обнаружена исследователем безопасности компании PerimeterX Галом Вайзманом (Gal Weizman). Проблема присутствует в Chrome, Opera и Edge на Windows, Mac и Android и затрагивает миллиарды интернет-пользователей. Что касается Chrome, то уязвимыми являются версии от 73 (выпущена в марте 2019 года) до 83. В выпущенной в июле нынешнего года версии Chrome 84 проблема уже исправлена.
CSP - это web-стандарт, обеспечивающий дополнительный уровень защиты и помогающий обнаруживать и смягчать некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных. CSP позовляет администраторам web-сайтов указывать домены, которые браузер может считать доверенным источником для загрузки исполняемых скриптов. Браузеры с поддержкой этого стандарта будут выполнять и загружать файлы только с указанных доменов.
Среди прочих, CSP используют такие интернет-гиганты, как ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom. Проблема не затрагивает GitHub, Google Play Store, LinkedIn, PayPal, Twitter, страницу авторизации Yahoo и "Яндекс".
Для эксплуатации уязвимости злоумышленник сначала должен получить доступ к web-серверу (например, подобрав пароль с помощью брутфорса, или каким-либо другим способом), чтобы иметь возможность модифицировать используемые им JavaScript-коды. Затем атакующий может добавлять в JavaScript-код атрибуты frame-src и child-src, позволяя внедренному коду загрузить и выполнить их и тем самым обойти CSP.
Поскольку для эксплуатации уязвимости нужен доступ к web-серверу, она сичитается среднеопасной (6,5 балла из 10 по шкале CvSS). Однако, так как баг влияет на обеспечение соблюдения политики защиты контента, его эксплуатация может иметь серьезные последствия, предупредил Вайзман.
Источник: https://www.securitylab.ru/news/511069.php
SecurityLab.ru
Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.
Кредит Европа Банк перевел веб-сайт, онлайн- и мобильный банкинг под защиту PT Application Firewall
«Кредит Европа Банк» усилил безопасность своих веб-ресурсов с помощью WAF (web application firewall) компании Positive Technologies.
«Кредит Европа Банк» усилил безопасность своих веб-ресурсов с помощью WAF (web application firewall) компании Positive Technologies. Под защиту PT Application Firewall [1] банк перевел несколько десятков приложений. В среднем за месяц с помощью WAF «Кредит Европа Банк» выявляет около 8500 событий безопасности высокой степени риска (по собственной шкале PT AF), около 3000 — средней и 10 000 низкой степени риска.
АО «Кредит Европа Банк (Россия)» оказывает услуги розничным и корпоративным клиентам, а также предприятиям малого и среднего бизнеса. Для реализации услуг банк использует несколько десятков веб-ресурсов: официальный сайт, интернет- и мобильные банки для физических и юридических лиц, промостраницы и другие веб-приложения.
«Самый уязвимый компонент сетевого периметра компаний — это веб-ресурсы. По нашим данным, три четверти (77%) векторов проникновения в локальные сети компаний связаны с недостаточной защитой веб-приложений, несанкционированный доступ к приложению возможен на 39% сайтов , а угроза утечки важных данных присутствует в 68% веб-приложений . Риски, связанные с хранением и обработкой данных веб-ресурсов, подразумевают повышенные требования к средствам защиты веб-ресурсов», — комментирует Арсений Реутов, руководитель отдела исследований по защите приложений Positive Technologies.
«Кредит Европа Банк» использует межсетевой экран уровня веб-приложений PT Application Firewall для превентивной защиты нескольких десятков своих веб-ресурсов: официальный сайт www.crediteurope.ru , интернет- и мобильные банки для физических и юридических лиц, различные лендинговые страницы и другие информационные ресурсы. В настоящее время PT Application Firewall удалось выявить и заблокировать такие попытки атак, как сбор информации о внутренней конфигурации веб-ресурса, внедрение SQL-кода, XSS (внедрение в выдаваемую веб-системой страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы и взаимодействии кода с веб-сервером злоумышленника), а также попытки подбора паролей и использования различных сканеров для поиска уязвимостей в веб-приложениях. В среднем за месяц WAF выявляет около 8500 событий безопасности высокой степени риска (по собственной шкале PT AF), около 3000 — средней и 10 000 низкой степени риска.
«Мы рассматривали WAF разных производителей, но остановили свой выбор на PT Application Firewall. Для нас было важно получить продукт, учитывающий специфику атак на ресурсы финансовой отрасли, — для любой кредитно-финансовой организации прежде всего актуально противодействие атакам, направленным на получение доступа к данным, содержащим платежную информацию, данным карт клиентов и серверам веб-ресурсов с последующей компрометацией преступниками корпоративной сети. PT Application Firewall позволяет выявлять события, связанные с подобными типами атак на объекты защиты: базы данных, сервисы онлайн-оплаты, серверы веб-ресурсов», — комментирует Александр Иванович Сагалаков, начальник группы безопасности информационных систем АО «Кредит Европа Банк (Россия)».
Партнером по внедрению стала компания «ДиалогНаука». Решение было развернуто в режиме обратного прокси-сервера — когда межсетевой экран блокирует аномальные запросы, направленные на приложения. Благодаря разнообразию защитных механизмов, поддержке различных режимов работы и схем реализации PT Application Firewall гибко встроился в инфраструктуру банка, не нарушая существующих бизнес-процессов, и обеспечивает непрерывную работу приложений. В дальнейших планах последовательное подключение к WAF всех остальных приложений банка.
«Кредит Европа Банк» усилил безопасность своих веб-ресурсов с помощью WAF (web application firewall) компании Positive Technologies.
«Кредит Европа Банк» усилил безопасность своих веб-ресурсов с помощью WAF (web application firewall) компании Positive Technologies. Под защиту PT Application Firewall [1] банк перевел несколько десятков приложений. В среднем за месяц с помощью WAF «Кредит Европа Банк» выявляет около 8500 событий безопасности высокой степени риска (по собственной шкале PT AF), около 3000 — средней и 10 000 низкой степени риска.
АО «Кредит Европа Банк (Россия)» оказывает услуги розничным и корпоративным клиентам, а также предприятиям малого и среднего бизнеса. Для реализации услуг банк использует несколько десятков веб-ресурсов: официальный сайт, интернет- и мобильные банки для физических и юридических лиц, промостраницы и другие веб-приложения.
«Самый уязвимый компонент сетевого периметра компаний — это веб-ресурсы. По нашим данным, три четверти (77%) векторов проникновения в локальные сети компаний связаны с недостаточной защитой веб-приложений, несанкционированный доступ к приложению возможен на 39% сайтов , а угроза утечки важных данных присутствует в 68% веб-приложений . Риски, связанные с хранением и обработкой данных веб-ресурсов, подразумевают повышенные требования к средствам защиты веб-ресурсов», — комментирует Арсений Реутов, руководитель отдела исследований по защите приложений Positive Technologies.
«Кредит Европа Банк» использует межсетевой экран уровня веб-приложений PT Application Firewall для превентивной защиты нескольких десятков своих веб-ресурсов: официальный сайт www.crediteurope.ru , интернет- и мобильные банки для физических и юридических лиц, различные лендинговые страницы и другие информационные ресурсы. В настоящее время PT Application Firewall удалось выявить и заблокировать такие попытки атак, как сбор информации о внутренней конфигурации веб-ресурса, внедрение SQL-кода, XSS (внедрение в выдаваемую веб-системой страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы и взаимодействии кода с веб-сервером злоумышленника), а также попытки подбора паролей и использования различных сканеров для поиска уязвимостей в веб-приложениях. В среднем за месяц WAF выявляет около 8500 событий безопасности высокой степени риска (по собственной шкале PT AF), около 3000 — средней и 10 000 низкой степени риска.
«Мы рассматривали WAF разных производителей, но остановили свой выбор на PT Application Firewall. Для нас было важно получить продукт, учитывающий специфику атак на ресурсы финансовой отрасли, — для любой кредитно-финансовой организации прежде всего актуально противодействие атакам, направленным на получение доступа к данным, содержащим платежную информацию, данным карт клиентов и серверам веб-ресурсов с последующей компрометацией преступниками корпоративной сети. PT Application Firewall позволяет выявлять события, связанные с подобными типами атак на объекты защиты: базы данных, сервисы онлайн-оплаты, серверы веб-ресурсов», — комментирует Александр Иванович Сагалаков, начальник группы безопасности информационных систем АО «Кредит Европа Банк (Россия)».
Партнером по внедрению стала компания «ДиалогНаука». Решение было развернуто в режиме обратного прокси-сервера — когда межсетевой экран блокирует аномальные запросы, направленные на приложения. Благодаря разнообразию защитных механизмов, поддержке различных режимов работы и схем реализации PT Application Firewall гибко встроился в инфраструктуру банка, не нарушая существующих бизнес-процессов, и обеспечивает непрерывную работу приложений. В дальнейших планах последовательное подключение к WAF всех остальных приложений банка.
«PT Application Firewall уже на пилотном проекте показал себя как надежное решение, соответствующее всем заявленным требованиям. Продукт быстро и бесшовно интегрировался в инфраструктуру банка, включает возможность гибкой настройки правил защиты веб-приложений и событий, а также удобный интерфейс дашборда администратора. Также нельзя не отметить работу технической поддержки продукта, которая помогает нам при создании индивидуальных правил детектирования событий информационной безопасности для уникальных случаев», — рассказывает Андрей Викторович Шконда, старший специалист группы безопасности информационных систем АО «Кредит Европа Банк (Россия)».
[1] PT Application Firewall предназначен для выявления и блокирования современных атак на веб-порталы, ERP-системы, мобильные приложения, системы дистанционного банковского обслуживания. Благодаря комбинации инновационных технологий и уникальных механизмов PT Application Firewall обеспечивает непрерывную проактивную защиту веб-приложений от большинства атак, включая OWASP Top 10, автоматизированные атаки, атаки на стороне клиента и атаки нулевого дня. PT Application Firewall поддерживает различные режимы и схемы работы, а также может быть реализован в отказоустойчивой конфигурации с балансировкой нагрузки.
Источник: https://www.securitylab.ru/news/511168.php
[1] PT Application Firewall предназначен для выявления и блокирования современных атак на веб-порталы, ERP-системы, мобильные приложения, системы дистанционного банковского обслуживания. Благодаря комбинации инновационных технологий и уникальных механизмов PT Application Firewall обеспечивает непрерывную проактивную защиту веб-приложений от большинства атак, включая OWASP Top 10, автоматизированные атаки, атаки на стороне клиента и атаки нулевого дня. PT Application Firewall поддерживает различные режимы и схемы работы, а также может быть реализован в отказоустойчивой конфигурации с балансировкой нагрузки.
Источник: https://www.securitylab.ru/news/511168.php