Рубрика «тестирование на проникновение»

в 9:04, , рубрики: flipper zero, Proxmark3, взлом умного замка, пентест умного замка, реверс-инжиниринг, театр безопасности, тестирование на проникновение, умная ручка для двери, уязвимости умных замков

в 12:16, , рубрики: llm, redteam, vlm, отчеты, тестирование на проникновение

В этой статье мы рассмотрим как на оборудовании стоимостью от 1000$, с полностью локальными LLM и VLM на основе скриншотов и коротких пояснений генерировать грамотно написанные отчеты об уязвимостях самого широкого спектра, начиная от Web/мобилок, заканчивая инфрастурктурными уязвимостями Active Directory, k8s и так далее. Заглянем под капот VLM (Vision Language Model) и рассмотрим различные подходы к описанию уязвимостей.

Читать полностью »

в 11:10, , рубрики: github, hacking, VAmPI, белый хакинг, взлом, информационная безопасность, кибербезопасность, тестирование на проникновение, хакерские атаки

Привет, уважаемый читатель!

Тестирование на проникновение в веб-приложении VAmPI - 1

В рамках данной статьи мы узнаем:

  • Какие API уязвимости есть в VAmPI?

  • Из-за чего эти уязвимости существуют и эксплуатируются?

  • Какие есть способы защитить веб-приложение?

  • Какой есть дополнительный материал для самостоятельного изучения?

Ссылка на GitHub VAmPI: Читать полностью »

в 9:22, , рубрики: red team, информационная безопасность, инфраструктурный пентест, Сетевые технологии, тестирование на проникновение, хакерские атаки

Красная команда, черный день: почему матерые пентестеры лажают в Red Team - 1

Как правило, заказы на Red Team поступают к уже опытным хакерским командам, которые набили руку на многочисленных пентестах. У них есть проверенные тактики и методы взлома, а также уверенность в своих силах. А ещё иногда они совершают «детские» ошибки во время первых редтимингов в карьере. Знаю это по собственному опыту.

В этой статье тряхну стариной и расскажу об одном из первых Red Team-проектов:

  1. Разберу различия между Red Team и пентестом с точки зрения исполнителя.
  2. Поделюсь приемами оффлайн-разведки и рассмотрю процесс поиска уязвимостей на примере реального кейса.
  3. Покажу типичные ошибки, которые совершают пентестеры, переходящие в Red Team.

Читать полностью »

в 12:15, , рубрики: active directory, CVE-2022–26923, dcsync, mimikatz, rubeus, аудит безопасности, аудит внутренней сети, Блог компании Бастион, информационная безопасность, патчи, Тестирование IT-систем, тестирование на проникновение
Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD - 1

Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО.

Читать полностью »

в 8:56, , рубрики: Блог компании Бастион, интервью, информационная безопасность, личный опыт, мошенники, проверки компаний, промышленный шпионаж, социальная инженерия, тестирование на проникновение, шпионаж, шпионские штучки

Простая агентурная работа: интервью с социальными инженерами - 1

Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой нестандартной работе.

По понятным причинам, мы не раскрываем настоящие имена наших спецов, так что в этом разговоре они выступят под псевдонимами Алиса и Боб. Они уже не первый год занимаются этой работой, но впервые согласились рассказать о ней широкой публике.

Осторожно, этот пост может спровоцировать приступы паранойи.

Читать полностью »

в 9:00, , рубрики: email-рассылки, Блог компании Бастион, информационная безопасность, информационная гигиена, кибербезопасность, социальная инженерия, тестирование на проникновение, управление персоналом, фишинг, фишинговые атаки, фишинговые письма

Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку.

Чуть позже директор, а заодно и весь высший менеджмент компании получили письмо следующего содержания:

Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам - 1

Директор поручил Марине заняться приготовлениями к мероприятию. Секретарь перезвонила, чтобы узнать, как сделать пригласительные для супруги директора, и уточнить дрескод. В ответ прозвучало, что форма одежды карнавальная. Только после этого один из сотрудников заподозрил неладное и позвонил напрямую в головную компанию. Там ответили, что карнавалов сроду не проводили и не планируют...

Читать полностью »

в 9:00, , рубрики: Kali, антивирусы, аудит безопасности, аудит внутренней сети, Блог компании Бастион, информационная безопасность, Тестирование IT-систем, тестирование на проникновение, уязвимости, централизованное управление

Привет, меня зовут Дмитрий, в команде Бастион я отвечаю за этап внутреннего тестирования на проникновение.

Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.

Захватываем сеть через сервер централизованного управления и защищаемся от таких атак - 1

В моей практике было немало случаев, когда хорошо защищенные сети были скомпрометированы из-за систем централизованного управления. Один из них произошел этим летом.

Крупная промышленная компания заказала у нас пентест. Для внутреннего тестирования выбрали сценарий, в котором злоумышленник подключил свой ПК к локальной сети организации.

Читать полностью »

в 7:53, , рубрики: OWASP, аудит безопасности, аудит внутренней сети, аудит сайта, Блог компании Бастион, информационная безопасность, социальная инженерия, Тестирование IT-систем, Тестирование веб-сервисов, тестирование на проникновение, уязвимости, финансы, фишинг
«Кража» со взломом: пентест финансовой организации - 1

В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

Читать полностью »

в 6:00, , рубрики: cybersecurity, информационная безопасность, ит-инфраструктура, тестирование на проникновение

Протестируй меня полностью: кому и зачем нужен внутренний пентест - 1
Опаснее всего враг, о котором не подозреваешь.
(Фернандо Рохас)

ИТ-инфраструктуру современной компании можно сравнить со средневековым замком. Высокие стены, глубокий ров и стража у ворот защищают от внешнего врага, а за тем, что происходит внутри крепостных стен, практически никто не следит. Так же и многие компании: они прилагают колоссальные усилия для защиты внешнего периметра, а внутренняя инфраструктура при этом остается обделенной. Внутреннее тестирование на проникновение – для большинства заказчиков пока процесс экзотический и не очень понятный. Поэтому мы решили рассказать о нем все (ну, почти все), что вы хотели знать, но боялись спросить.
Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js