Итоги вебинара

Приветствую всех читателей моего блога. Вчерашний вебинар прошёл, по моему мнению, очень хорошо. Обсудили множество вопросов, нашёл в своём докладе несколько неосвещённых моментов. Приятно было видеть сегодня с утра здесь и на форумах положительные отзывы слушателей.
Напоминаю что в течение пары дней будет выложена аудиозапись вебинара, а ещё дня через 2, по просьбе слушателей, статья с тем что мы обсуждали.

Хочу ещё раз поблагодарить всех кто принял участие в вебинаре, оставлял критику и отзывы по его окончанию. Для меня, как для человека впервые проводившего вебинар, это очень важно. Спасибо!

Бесплатный вебинар «Выбор виртуального хостинга с точки зрения безопасности»

Приветствую вас, уважаемые читатели. Хочу пригласить веб-мастеров (да и вообще всех кому интересна тема защиты сайтов) на бесплатный вебинар «Выбор виртуального хостинга с точки зрения безопасности», который я буду проводить 25 ноября. На нём будут рассмотрены почти два десятка пунктов, связанных с защитой веб-сайтов, на которые стоит обращать внимание в процессе выбора виртуального хостинга. Обсудим наиболее часто встречающиеся при этом подводные камни, последствия, которые они за собой влекут, способы избежать столкновения с ними.

Читать далее «Бесплатный вебинар «Выбор виртуального хостинга с точки зрения безопасности»»

История взлома одной браузерной игры. Возврат контроля.

Доброго времени суток. Я занимаюсь аудитом защищённости веб-приложений. По простому — тестами на проникновение в отношении веб-сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать в виде таких вот статей, но редко (для меня это первый случай) бывают ситуации когда клиент разрешает публикацию подобного материала с подробным описанием всех имевшихся проблем и предпринятых действий. Естественно, тут вы не встретите никаких конкретных имён, названия фирмы-заказчика и т. д. Упоминания таких данных мне, наверное, никто никогда не разрешит. Надеюсь что для вас, уважаемые читатели, данная статья окажется интересной и полезной.

Читать далее «История взлома одной браузерной игры. Возврат контроля.»

Новый формат предоставления услуг

Всем доброго времени суток! Сегодня у меня не обычный, можно даже сказать немного праздничный, день. С этого момента полностью меняется формат предоставления платных услуг связанных с созданием и защитой веб-приложений, а также консультаций в данной области.

Читать далее «Новый формат предоставления услуг»

Hack4Sec — Перевод документации Burp Suite для версии 1.4.01

Здравствуйте. Сегодня, на сайте команды Hack4Sec опубликован русскоязычный перевод документации Burp Suite последней версии. С каждой новой версией убеждаюсь в том, что BS — отличная вещь, и что скоро он мне заменит все мелкие скрипты и утилиты используемые при исследовании веб-приложений.

Всем кто занимается веб-безопасностью и до сих пор с ним не знаком — очень рекомендую зайти на http://portswigger.net/ и почитать описание.

Ну и ссылки на саму документацию. К сожалению оригинал в данное время не доступен, поэтому ссылка на веб-архив:

http://web.archive.org/web/20140421155014/http://h4s-team.ru/bs/index/index.html

Веб-разведка: релиз версии 1.0.1a

Здравствуйте. Сегодня я наконец-то закончил работу над версией 1.0.1a. Новый релиз содержит 10 значительных изменений, перечисленных под катом. Читать далее «Веб-разведка: релиз версии 1.0.1a»

Релиз команды Hack4Sec — Аналитический Центр

Здравствуйте. Сегодня под флагом команды Hack4Sec состоялся выпуск нового приложения, автором которого я являюсь. Это Аналитический Центр — приложение предназначенное для сбора и хранения информации при объёмных pen-тестах. Особенно оно может помочь при командной работе. Ниже приводится содержимое соответствующего поста в блоге команды Hack4Sec (оригинал). Читать далее «Релиз команды Hack4Sec — Аналитический Центр»

Статья «XSS: Разведка боем»

Здравствуйте. Рад представить вам свою новую статью на тему нестандартного использования XSS-уязвимостей. В ней рассказывается как  с помощью нехитрого JS-кода и простого PHP-приложения получать визуальные копии целых веб-приложений от лица сторонних пользователей.

Рекомендую сразу качать PDF-вариант чтоб читать материал в нормальном оформлении и с адекватной шириной страницы.

Читать далее «Статья «XSS: Разведка боем»»

Релиз команды Hack4Sec — Веб-разведка

Здравствуйте! Наконец настал час публикации первого релиза команды Hack4Sec, основным автором которого я являюсь. Для меня это даже небольшой праздник, так как на разработку ВР у меня ушло довольно много времени (примерно 6 месяцев). На данный момент продукт находится на стадии альфа-тестирования и я заранее благодарен всем кто будет им пользоваться и сообщать о недочётах (надеюсь не многочисленных) в его работе. Ознакомиться с кратким описанием продукта, а также скачать его, можно на сайте нашей команды:
http://hack4sec.blogspot.com/2011/05/blog-post.html

Аудит DiafanCMS

Буквально пару недель назад я закончил проводить анализ платного движка DiafanCMS. Вначале, увидев очень низкую стоимость продукта, я решил что уязвимостей здесь должно быть много. Но в последствии оказалось что я ошибся. Разработчикам DiafanCMS удалось создать очень хороший продукт с понятным, хорошо структурированным кодом, и отличной защитой. Но я не был бы собой еслиб мне не удалось найти несколько изъянов :), хоть и не критичного уровня риска. Кстати все баги были исправлены достаточно быстро, чего я от платных продуктов в последнее время перестал ожидать.
Теперь я знаю какую CMS выбрать если встанет необходимость поднятия какого-нибудь сайта в короткий срок. Однозначно Diafan. И документация есть, и внутри всё грамотно устроено, и в защищённости сам убедился.А платность продукта, при их цене, вообще никакой проблемы не делает.