Рубрика «Блог компании Positive Technologies» - 35

в 9:00, , рубрики: keynote, PHDays, Блог компании Positive Technologies, выступление, информационная безопасность, метки: , ,

Автор Hydra, Amap и SuSEFirewall выступит на PHDays

Одним из ключевых докладчиков на стартующем в мае форуме Positive Hack Days III станет знаменитый исследователь информационной безопасности Марк Хойзе, также известный как van Hauser.

Марк занимается исследованиями в области безопасности с 1993 года, в его послужном списке внушительное число обнаруженных уязвимостей в известных продуктах. Кроме того, он разработал ряд популярных инструментов для обеспечения безопасности, таких как Hydra, Amap, THC-IPV6, THC-Scan и SuSEFirewall.Читать полностью »

в 11:04, , рубрики: atm, PHDays, scada, асу тп, Блог компании Positive Technologies, информационная безопасность, конкурсы, Спортивное программирование, метки: , , , ,

Хакерские соревнования на Positive Hack Days III

Хотите побывать в шкуре одного из друзей Оушена, испытав себя в обходе самых современных систем охраны, или перевоплотиться в настоящего Доктора Зло и пустить под откос поезд? В обычной жизни такие приключения практически наверняка не закончились бы ничем хорошим, но, к счастью, есть форум Positive Hack Days и его конкурсная программа.

Под катом рассказ о наиболее интересных хакерских состязаниях, в которых сможет принять участие любой гость PHDays.Читать полностью »

в 11:50, , рубрики: .net, ASP.NET, request validation, waf, xss, Блог компании Positive Technologies, информационная безопасность

«Возможность валидации запросов в ASP.NET спроектирована для выполнения базового контроля входных данных. Она не предназначена для принятия решений, касающихся защищенности разрабатываемых веб-приложений. Только сами разработчики могут определить, какой контент должен обрабатывать их код. Microsoft рекомендует выполнять проверку всех входных данных, получаемых из любых источников. Мы стремимся способствовать разработке защищенных приложений нашими клиентами, и функционал валидации запросов был спроектирован и внедрен для того, чтобы помочь разработчикам в этом направлении. Для получения дополнительной информации о наших рекомендациях по разработке, читайте статью MSDN: msdn.microsoft.com/en-us/library/ff649487.aspx#pagguidelines0001_inputdatavalidation».

Официальный статус ASP.NET Request Validation по версии Microsoft Security Response Center

Несмотря на столь внезапный ответ MSRC на недавний отчет исследовательского центра Quotium об обнаружении очередного способа обхода валидации запросов в ASP.NET, стоит заметить, что она все же предназначена именно для принятия решений, касающихся защищенности веб-приложения. В пользу этого говорит и название класса, реализующего основной набор проверок (System.Web.CrossSiteScriptingValidation) и сама его суть, заключающаяся в предотвращении некоторого подмножества атак класса XSS Type-1 (отраженное выполнение межсайтовых сценариев), и оригинальная статья от разработчиков веб-стека. Другой вопрос, насколько эффективно мог бы быть реализован этот функционал и как из имеющегося примитивного регулярного фильтра получить полноценный web application firewall, защищающий от любых векторов XSS Type-1?
Читать полностью »

в 7:30, , рубрики: PHDays, Блог компании Positive Technologies, информационная безопасность, мастер-классы, метки: ,

Гостей форума Positive Hack Days III ждут не только интересные доклады, конкурсы и соревнования CTF, но и многочисленные мастер-классы. Hands-On Labs на PHDays — это практические занятия, проходящие под девизом «меньше слов, больше дела». Под руководством ИБ-гуру со всего мира слушатели глубоко погружаются в тему и своими руками решают практические задачи из области информационной безопасности. Чтобы принять участие в занятиях, нужно лишь иметь базовую подготовку, тягу к новым знаниям и принести с собой ноутбук.
Первые мастер классы PHDays III: киберрасследования, атаки на SAP и Windows kernelЧитать полностью »

в 10:58, , рубрики: Блог компании Positive Technologies, тестирование, метки:

В процессе разработки многокомпонентной системы автоматизированного тестирования сканера безопасности мы столкнулись с проблемой контроля целостности кода отдельных тестовых функций и проведения ревизий.

Число написанных функциональных тестов, которые запускает система, уже превысило несколько тысяч и продолжает увеличиваться. В нашем случае один функциональный тест — это одна функция. При таком методе разработки после присвоения тесту статуса «Готов» о нем надолго забывают.

Между тем в процессе разработки других тестовых функций часто возникает необходимость рефакторинга. Причем этот процесс по невнимательности тестировщика-автоматизатора может затронуть и уже готовые отлаженные тесты.

Сам по себе рефакторинг любой программы, даже если он затрагивает множество модулей и функций, — обычное и вполне полезное дело. Однако в отношении тестовых функций это не всегда так. Каждый тест разрабатывается для реализации конкретного алгоритма проверки. Логика проверки, которую закладывал автор, может быть нарушена даже при незначительных изменениях в коде теста.

Чтобы избежать негативных последствий подобных ситуаций, мы разработали механизм ревизий кода тестовых функций, с помощью которого можно одновременно и контролировать целостность функций, и дублировать их код.

Контроль целостности кода функцийЧитать полностью »

в 8:57, , рубрики: Блог компании Positive Technologies, Геоинформационные сервисы, интерактивная карта, интерфейсы, офисы, Офисы IT-компаний, метки: , ,

Создание интерактивной карты офиса, часть 2Летом прошлого года мы рассказывали о своей попытке облегчить процесс ориентирования в офисе, вылившейся в создание карты, на которой можно посмотреть местонахождение всех сотрудников компании. За прошедшее время мы переехали в новый офис, поэтому (ну и потому что хотелось все сделать еще лучше) было решено перепроектировать карту с учетом накопленного опыта.

Кратко напомним, зачем нам вообще понадобилось создавать карту своего офиса. Наша компания в последние годы достаточно бурно развивается, и количество сотрудников постоянно увеличивается (сейчас нас больше 300 человек). Соответственно, и найти нужного тебе коллегу среди такого количества людей бывает непросто, а с помощью карты легко можно узнать, где именно в офисе он сидит. Часто приходится решать и обратную задачу: бывает, что визуально человек знаком, известно и местонахождение его рабочего места, но вот ни имени, ни адреса электронной почты вспомнить не удается. Эти данные можно получить, кликнув по нужному столу на карте.Читать полностью »

в 7:10, , рубрики: cfp, PHDays, Блог компании Positive Technologies, информационная безопасность, метки: ,

Стартует второй этап Call for Papers форума PHDays IIIДва с половиной месяца остается до форума по информационной безопасности Positive Hack Days, который пройдет 23 и 24 мая в московском Центре международной торговли. В этом году в работе форума примут участие 2000 экспертов в области ИБ со всего мира. Если вы хотите поделиться результатами своих исследований, если вам есть о чем рассказать сообществу, то мы ждем вас на PHDays в качестве докладчика.

Подать заявку на участие в программе PHDays III можно до конца второго этапа Call for Papers, который завершится 14 апреля 2013 г. После первого этапа Call For Papers стали известны первые участники, которые выступят на форуме.Читать полностью »

в 7:52, , рубрики: compliance, SIEM, Анализ и проектирование систем, Блог компании Positive Technologies, информационная безопасность, политика безопасности, метки: , ,

SIEM для ИТ и ИБС появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo request, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.Читать полностью »

в 9:36, , рубрики: VMware, vulnerability, windows, Блог компании Positive Technologies, информационная безопасность, метки: , ,

Руководство по выстраиванию звезд: kernel pool spraying и VMware CVE 2013 2406Если вы возитесь с уязвимостями режима ядра в Windows, то рано или поздно приходится иметь дело с такой техникой, как kernel pool spraying (только не называйте ее «распыление ядерной кучи»). Думаю, умение держать под контролем поведение пула памяти ядра будет полезным для разработчика эксплойтов.

Чтобы осилить данную технику, необходимо иметь хотя бы примерное представление об устройстве пула ядра. В этой статье я постараюсь привести описание только значимых в контексте техники pool spraying деталей его реализации. Устройство пула ядра хорошо изучено, поэтому если вам все-таки нужны более глубокие познания, можете обратиться в любую поисковую службу или к ссылкам в конце статьи.
Читать полностью »

в 11:51, , рубрики: cmake, PCH, Блог компании Positive Technologies, высокая производительность, разработка, метки: ,

С проблемой увеличения времени сборки проекта сталкиваются практически все разработчики как минимум раз в год. Сборка — дело небыстрое, что особенно неприятно при использовании практики Continuous Integration с ее постоянными пересборками и сопутствующими активностями. Длительная сборка сводит на нет все плюсы непрерывной интеграции, а простое увеличение вычислительных мощностей не всегда дает желаемый эффект.

В процессе разработки и дальнейшего развития крупного разнородного проекта мы также столкнулись с проблемами оптимизации. Но должны же быть способы уменьшить время сборки? Мы решили найти способ решения этой задачи. Собрать за 60 секунд!..

Оптимизация сборки крупного проекта

О том, чего в итоге удалось добиться, и пойдет речь в нашем топике.Читать полностью »

1...1020...343536...40...43
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js