Проект Web-Scout

Здравствуйте. Хочу представить вам проект Web-Scout (WS). WS представляет из себя сканер нацеленный на исследование веб-сайтов и веб-приложений со следующими возможностями: Читать далее «Проект Web-Scout»

История взлома одной браузерной игры. Возврат контроля.

Доброго времени суток. Я занимаюсь аудитом защищённости веб-приложений. По простому — тестами на проникновение в отношении веб-сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать в виде таких вот статей, но редко (для меня это первый случай) бывают ситуации когда клиент разрешает публикацию подобного материала с подробным описанием всех имевшихся проблем и предпринятых действий. Естественно, тут вы не встретите никаких конкретных имён, названия фирмы-заказчика и т. д. Упоминания таких данных мне, наверное, никто никогда не разрешит. Надеюсь что для вас, уважаемые читатели, данная статья окажется интересной и полезной.

Читать далее «История взлома одной браузерной игры. Возврат контроля.»

Веб-разведка: релиз версии 1.0.1a

Здравствуйте. Сегодня я наконец-то закончил работу над версией 1.0.1a. Новый релиз содержит 10 значительных изменений, перечисленных под катом. Читать далее «Веб-разведка: релиз версии 1.0.1a»

Статья «XSS: Разведка боем»

Здравствуйте. Рад представить вам свою новую статью на тему нестандартного использования XSS-уязвимостей. В ней рассказывается как  с помощью нехитрого JS-кода и простого PHP-приложения получать визуальные копии целых веб-приложений от лица сторонних пользователей.

Рекомендую сразу качать PDF-вариант чтоб читать материал в нормальном оформлении и с адекватной шириной страницы.

Читать далее «Статья «XSS: Разведка боем»»

[Из старого] Контроль файловой структуры сайта

В данной статье я хочу рассказать как веб-мастеру можно достаточно простым способом контролировать целостность файловой структуры всего своего сайта. Вариант подходит практически для каждого хостинга, главное чтоб базировался он не на Windows.

Начнём с главного. Зачем это нужно? Большинство сайтов сейчас состоит из двух основных частей — файловой структуры и базы данных. Первая, в основном, занята внутренней работой сайта, а вторая — хранением информации. Почти во всех случаев при нападении или вирусном инфицировании меняется именно файловая структура. Например, взломщик стремится как можно быстрее загрузить шелл на атакуемый сервер, а вирусы вписывают свои тела почти во все php/html/js-файлы. Для того чтоб таких инцидентов не возникало разработчики и администраторы принимают множество мер — от использования антивирусов до развёртывания WAF. Но что делать если атака уже произошла? Понятное дело, что надо устранять её последствия и причины, но от первого пункта до конечного здесь порой может пройти целый месяц, а то и больше.

Читать далее «[Из старого] Контроль файловой структуры сайта»