Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Как скрыть версии веб-сервера Apache и PHP (на Linux и Windows)
Сокрытие версий Apache и PHP — это один из элементов в обеспечении безопасности веб-сервера. Знание версий этих программ может облегчить задачу злоумышленника по поиску известных для данной версии уязвимостей и, как следствие, в достижение основной цели – проникновению. Конечно, злоумышленник может просто перебирать все известные уязвимости для всех версий Apache и PHP, но эта активность может попасть в поле зрение mod_security, fail2ban или сисадмина. В результате чего IP, с которого ведётся атака, будет награждён баном. В любом случае, если мы спрячем версии, это никак не отразится на качестве работы нашего сервера (пользователи этого просто не заметят), а взломщикам это прибавит работы.
Давайте, для начала, посмотрим, какую информацию выдают наши сервера на разных операционных системах. Для этого попытаемся открыть страницу или каталог, которых не существуют:
Первый скриншот — это Windows с Apache 2.4:
Очень неплохо, нет ни версии сервера, ни данных об ОС.
Это Linux Mint (Ubuntu) c Apache 2.4:
Нам с потрохами...
Давайте, для начала, посмотрим, какую информацию выдают наши сервера на разных операционных системах. Для этого попытаемся открыть страницу или каталог, которых не существуют:
Первый скриншот — это Windows с Apache 2.4:
Очень неплохо, нет ни версии сервера, ни данных об ОС.
Это Linux Mint (Ubuntu) c Apache 2.4:
Нам с потрохами...
Статья Как настроить fail2ban для защиты сервера Apache HTTP
Сервер Apache HTTP в производственной среде может оказаться под различного рода атаками. Атакующие могут пытаться получить несанкционированный доступ к ограниченным директориям, используя атаку перебором (брут-форсинг) или выполняя зловредные скрипты. Некоторые вредоносные боты могут сканировать ваши веб-сайты на разного рода уязвимости или собирать e-mail адреса или веб-формы для рассылки спама.
Сервер Apache HTTP поставляется с полной совместимой системой логирования для захвата различных ненормальных событий, служащих индикатором таких атак. Тем не менее, это не тривиальная задача систематически парсить детальные логи Апача и быстро реагировать на потенциальные атаки (например забанить/разбанить подозрительные IP адреса), т. к. они совершенно непредсказуемы. И тогда, чтобы облегчить им жизнь, на помощь системный администраторам приходит fail2ban.
Fail2ban — это инструмент с открытым кодом, он предназначен для предотвращения различных атак, он основывается на системных логах и автоматически инициализирует превентивные меры, например, банит IP адрес с помощью iptables, блокирует соединения через запрет доступа в
Сервер Apache HTTP поставляется с полной совместимой системой логирования для захвата различных ненормальных событий, служащих индикатором таких атак. Тем не менее, это не тривиальная задача систематически парсить детальные логи Апача и быстро реагировать на потенциальные атаки (например забанить/разбанить подозрительные IP адреса), т. к. они совершенно непредсказуемы. И тогда, чтобы облегчить им жизнь, на помощь системный администраторам приходит fail2ban.
Fail2ban — это инструмент с открытым кодом, он предназначен для предотвращения различных атак, он основывается на системных логах и автоматически инициализирует превентивные меры, например, банит IP адрес с помощью iptables, блокирует соединения через запрет доступа в
/etc/hosts или предупреждает о событиях...Статья Стресс-тест сети (DoS веб-сайта) со SlowHTTPTest в Kali Linux: slowloris, slow body и slow read атаки в одном инструменте
Стресс-тесты сети могут дать важные данные о проблемах, связанных с производительностью сервера, о неправильной (недостаточной) его настройке. Даже чтобы проверить, правильно ли настроен и работает mod_evasive пригодятся утилиты для имитации DoS атак.
Связанные статьи по защите веб-сервера:
Связанные статьи по DoS:
Эта программа реализует наиболее общие замедляющие работу сети DoS атаки уровня приложений, такие как...
Связанные статьи по защите веб-сервера:
Связанные статьи по DoS:
- Стресс-тест сети с Low Orbit Ion Cannon (LOIC)
- Стресс-тест сети (DoS веб-сайта) с SlowHTTPTest в Kali Linux: slowloris, slow body и slow read атаки в одном инструменте (вы её читаете)
Эта программа реализует наиболее общие замедляющие работу сети DoS атаки уровня приложений, такие как...
Статья Уязвимости форматных строк и метод перенаправления выполнения в процессе - Изучение методов эксплуатации на примерах, часть 14
Доброго времени суток кодбай. В предыдущей статье мы имели дело с глобальной переменной и контролируя данные приводили ее к конкретному значению. В этой статье мы познакомимся с одним методом перенаправления выполнения в процессе, который похож на метод перезаписи адреса возврата. Поехали…
Описание ExploitMe
format4 рассматривает один метод перенаправления выполнения в процессе.
подсказки:
format4, VM
Исходный код
Описание ExploitMe
format4 рассматривает один метод перенаправления выполнения в процессе.
подсказки:
- objdump -TR твой друг
format4, VM
Исходный код
C:
#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
int target;
void hello()
{
printf("code execution redirected! you win\n");
_exit(1);
}
void vuln()
{
char buffer[512];
fgets(buffer, sizeof(buffer), stdin);
printf(buffer)...Статья Хитрости Unicode и эксплуатация XSS при лимите ввода длиной в 20 символов
Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда возникают проблемы - например, проблема в количестве символов, которое мы можем ввести, для эксплуатации данной уязвимости. В этом посте мы рассмотрим, как можно решить такую проблему, уложившись, например, лишь в 20 символов.
Совместимость с юникодом
В Unicode одни и те же сложные буквы, вроде Й, Ё, Ç и т.д., можно представить в двух формах - в виде одной буквы или в виде одной базовой буквы (например, «C») и модификаторов. Такой подход был введен в стандарт для обеспечения совместимости с существующими ранее стандартными наборами символов. Таким образом, стандарт нормализации Unicode описывает два вида отношений между символами: Canonical и Compatibility.
Каноническая эквивалентность предполагает, что последовательность двух кодовых пунктов является полностью взаимозаменяемой. Т.е., комбинация из двух символов может...
Совместимость с юникодом
В Unicode одни и те же сложные буквы, вроде Й, Ё, Ç и т.д., можно представить в двух формах - в виде одной буквы или в виде одной базовой буквы (например, «C») и модификаторов. Такой подход был введен в стандарт для обеспечения совместимости с существующими ранее стандартными наборами символов. Таким образом, стандарт нормализации Unicode описывает два вида отношений между символами: Canonical и Compatibility.
Каноническая эквивалентность предполагает, что последовательность двух кодовых пунктов является полностью взаимозаменяемой. Т.е., комбинация из двух символов может...
Статья Анализ CVE-2019-2215(/dev/binder UAF)
За последние несколько недель, я пытался понять недавний Android Binder Use-After-Free (UAF), опубликованный Проектом Google Project Zero (p0). Этот баг на самом деле не новый, проблема была обнаружена и исправлена в основном ядре в феврале 2018 года, однако, p0 обнаружил, что многие популярные устройства не получили патч. Некоторые из этих устройств являлись: телефоны Pixel 2, Huawei P20 Samsung Galaxy S7, S8 и S9. Я считаю, что многие из этих устройств получили патчи за последние пару недель, и тем самым, окончательно «убили жука».
Покопавшись с отладчиком ядра на виртуальной машине (под управлением Android-x86) и протестировав уязвимый Pixel 2, я довольно хорошо понял эксплойт, написанный Дженном Хорном и Мэдди Стоуном. Без понимания Binder’a (объекта binder_thread конкретно), а также того, как работает Vectored I/O (на рус. векторизованные входы/выходы), можно легко запутаться в эксплойте. Они виртуозно эксплуатировали этот эксплойт, поэтому я подумал, что было бы здорово...
Статья Поиск угроз замаскированных под стандартные процессы Windows [Перевод]
Доброго времени суток, codeby.
Первоисточник: Тут
Перевод: Перевод выполнен от команды Codeby
Важной стороной эффективного поиска угроз является понимание того, что является нормальным в среде. Если специалист в процессе поиска угроз способен определить нормальное поведение в системе, то любое отклонение от нормы, скорее всего, будет связано с тем, что тот или иной субъект недавно вошел в среду. Этот субъект может быть новой установленной программой, новым пользователем или злоумышленником.
На конечных точках выполнение определенных процессов Windows хорошо документировано. Если мы можем прогнозировать нормальное поведение этих процессов при выполнении, то мы можем легко отметить выполнение похожих, но ненормальных процессов в системах. Чтобы сбить с толку специалистов по безопасности, и аналитиков, злоумышленники в настоящее время прибегают к использованию исполняемых файлов с такими же именами, что и системные процессы. Таким образом, беглый взгляд пользователя или даже специалиста может не идентифицировать вредоносный фрагмент двоичного файла в системе. Этот метод...
Первоисточник: Тут
Перевод: Перевод выполнен от команды Codeby
Важной стороной эффективного поиска угроз является понимание того, что является нормальным в среде. Если специалист в процессе поиска угроз способен определить нормальное поведение в системе, то любое отклонение от нормы, скорее всего, будет связано с тем, что тот или иной субъект недавно вошел в среду. Этот субъект может быть новой установленной программой, новым пользователем или злоумышленником.
На конечных точках выполнение определенных процессов Windows хорошо документировано. Если мы можем прогнозировать нормальное поведение этих процессов при выполнении, то мы можем легко отметить выполнение похожих, но ненормальных процессов в системах. Чтобы сбить с толку специалистов по безопасности, и аналитиков, злоумышленники в настоящее время прибегают к использованию исполняемых файлов с такими же именами, что и системные процессы. Таким образом, беглый взгляд пользователя или даже специалиста может не идентифицировать вредоносный фрагмент двоичного файла в системе. Этот метод...
self-xss или как ещё заполучить cookie
Вновь всех приветствую.
Ещё одна короткая заметка будет о том,как ещё можно выкрасть IP и Cookie жертвы.
Поможет нам в этом автор утилиты thelinuxchoice.
Он же автор таких инструментов как ShellPhish и Blackeye
Основой способа является ,опять-таки,социальная инженерия и сервис коротких ссылок Bitly.
Атака такого плана была задумана над получением контроля web-счетов жертв путём их обмана.
А именно,за счёт принуждения перехода по ссылке с вредоносным кодом,который выполняется в браузере.
Злоумышленник получает данные IP-адреса,User-Agent и Cookie жертвы.
Информация предоcтавлена исключительно для ознакомления.
Автор утилиты,автор обзора и Администрация ресурса напоминают об ответственности в случае незаконного применения рассматриваемого инструмента.
Установка:
В утилиту встроена функция редиректа на тот ресурс,который требуется указать.
По дефолту это Инстаграм,но можно указать свой.
Именно на него попадёт тестируемый субъект.
Предлагается также указать сервис из двух,откуда тестируемые лица подцепят,сами того не ведая,файл с...
Ещё одна короткая заметка будет о том,как ещё можно выкрасть IP и Cookie жертвы.
Поможет нам в этом автор утилиты thelinuxchoice.
Он же автор таких инструментов как ShellPhish и Blackeye
Основой способа является ,опять-таки,социальная инженерия и сервис коротких ссылок Bitly.
Атака такого плана была задумана над получением контроля web-счетов жертв путём их обмана.
А именно,за счёт принуждения перехода по ссылке с вредоносным кодом,который выполняется в браузере.
Злоумышленник получает данные IP-адреса,User-Agent и Cookie жертвы.
Информация предоcтавлена исключительно для ознакомления.
Автор утилиты,автор обзора и Администрация ресурса напоминают об ответственности в случае незаконного применения рассматриваемого инструмента.
Установка:
Код:
# git clone https://github.com/thelinuxchoice/self-xss.git
# cd self-xss
# bash self-xss.shВ утилиту встроена функция редиректа на тот ресурс,который требуется указать.
По дефолту это Инстаграм,но можно указать свой.
Именно на него попадёт тестируемый субъект.
Предлагается также указать сервис из двух,откуда тестируемые лица подцепят,сами того не ведая,файл с...
Pixload: вредоносный скрипт в изображении
Добрый день,Уважаемые Форумчане и Друзья.
Когда-то стали известны способы размещения вредоносного кода в изображении.
Немногим позднее появилась атака Polyglot,когда вредоносный файл одновременно является изображением и JavaScript-кодом.
В основном,это касалось файлов BMP,при этом,2 первых байта представляли 16-ричное представление символов ВМ в изображении ВМP.
Далее,4 байта отвечают за размер,затем 4 нулевых байта и байты,отвечающие за смещение данных.
При выполнении техники Polyglot,контролируется размер изображения,а 16-ричные символы представляются так,чтобы компьютерами интерпретировались иначе.
Т.е.,чтобы выполнялись как код.
Соответственно,появился генератор полезной нагрузки Pixload,который создал Alexandr Savca (chinarulezzz).
И который представляю Вашему вниманию.
Pixload умеет сгенерировать нагрузку в файлах BMP,GIF,JPG и PNG .
Работает он как с дефолтными файлами,которые прилагаются в его директории,так и может начинять небольшие произвольные файлы соответствующего формата.
В отличии от других аналогичных техник,файлы не требуется конвертировать в иконки и т.п.
Если кому потребуется начинка из shell-кода х86 как в старые добрые времена,то смотрим...
Когда-то стали известны способы размещения вредоносного кода в изображении.
Немногим позднее появилась атака Polyglot,когда вредоносный файл одновременно является изображением и JavaScript-кодом.
В основном,это касалось файлов BMP,при этом,2 первых байта представляли 16-ричное представление символов ВМ в изображении ВМP.
Далее,4 байта отвечают за размер,затем 4 нулевых байта и байты,отвечающие за смещение данных.
При выполнении техники Polyglot,контролируется размер изображения,а 16-ричные символы представляются так,чтобы компьютерами интерпретировались иначе.
Т.е.,чтобы выполнялись как код.
Соответственно,появился генератор полезной нагрузки Pixload,который создал Alexandr Savca (chinarulezzz).
И который представляю Вашему вниманию.
Pixload умеет сгенерировать нагрузку в файлах BMP,GIF,JPG и PNG .
Работает он как с дефолтными файлами,которые прилагаются в его директории,так и может начинять небольшие произвольные файлы соответствующего формата.
В отличии от других аналогичных техник,файлы не требуется конвертировать в иконки и т.п.
Если кому потребуется начинка из shell-кода х86 как в старые добрые времена,то смотрим...