-70%

Оформить подписку на «Хакер»:

3000 руб

на 1 год

920 руб

на 1 месяц

Xakep #214. Приручаем WAF'ы

WAF — важная часть безопасности современного веб-приложения. Прокси-сервер, который в реальном времени блокирует вредоносные запросы еще до того, как они достигнут сайта, может сослужить хорошую службу, не подставляя само приложение под удар. Однако при аудитах безопасности это часто становится проблемой. В этом номере мы коснемся этой проблемы, рассмотрев методы поиска путей обхода современных файрволлов для веб-приложений на примере существующих на рынке продуктов.

Также в номере:

  • Вскрываем обфусцированные приложения для Android
  • Изучаем возможности нового WAF Shadow Daemon
  • Запускаем небезопасный софт в Android без угрозы утечки личных данных
  • Разбираемся, можно ли обойти защиту от сброса к заводским настройкам на iOS, Android, BlackBerry и Windows Phone
  • Начинаем курс для молодого реверсера малвари
  • Составляем гайд по обновлению ядра Linux без перезагрузки системы
  • Используем Cappsule для запуска малвари и софта в виртуальной среде

...и еще множество статей про инфосек, программирование и администрирование!

Публикуется с 5 ноября

Содержание
(Подписчикам доступно 38 статей)

COVER STORY

Приручаем WAF'ы

Изучаем методы поиска путей обхода современных файрволов для веб-приложений

Фильтр, который в реальном времени блокирует вредоносные запросы еще до того, как они достигнут сайта — важная часть безопасности веб-приложения. Тем не менее WAF’ы содержат множество ошибок. В этой статье мы изучим техники поиска байпасов WAF на базе регулярок и токенизации, а затем на практике рассмотрим, какие уязвимости существуют в популярных файрволах.

PC ZONE

Большая рыбалка

Шлем фишинговые письма своим сотрудникам

Важную роль в методах пентестеров играют фишинговые письма, заставляющие людей добровольно сдавать ключи от крепости. Сегодня это стало популярным способом аудита, и для него уже созданы средства автоматизации. Одним из наиболее интересных средств является Gophish — фреймворк, который позволяет проверить реакцию сотрудников компании на фишерские послания.

Игра в облака

Рулим виртуальными серверами при помощи VMware Cloud

В новой версии среды виртуализации VMware vSphere появилась возможность переносить виртуальные машины из частного облака в публичное, между публичными облаками Google, Amazon и Microsoft и, при желании, обратно в частное. На примере AWS мы по шагам разберем, как это делается.

Сила ракушки

Выбираем средство разработки и пишем скрипты на PowerShell

В администрировании всегда есть место творчеству. Хочешь сделать какую-нибудь автоматизацию рутинной задачи? Пожалуйста! Нужно что-то регулярно проверять на активность? Не вопрос! Хочешь обработать какой-нибудь гигантский отчет и вывести только актуальные данные? Тоже можно. Все эти и многие другие задачи лучше всего решать при помощи скриптов, и язык PowerShell в случае с Windows — оптимальный выбор.

RSS в холодном поту

Ставим и дорабатываем Coldsweat — сервер синхронизации RSS для своего хостинга

Я прекрасно знаю, что RSS уже не в моде и что для многих социальные сети полностью заменили старые добрые новостные агрегаторы. Но если ты устал видеть в своих лентах лишние посты или хочешь получать вместо заголовков полноценные тексты, то отправляйся со мной — в путешествие, которое сделает тебя повелителем RSS и владельцем собственного сервиса синхронизации!

WWW2

Интересные веб-сервисы

WWW: Hack_me — игра, с которой каждый может почувствовать себя хакеромWWW: MotionMark — браузерный бенчмарк для тестирования графикиWWW: Figma — многопользовательский векторный редактор, который работает в браузереWWW: Toby, Tree Style Tab и OneTab — плагины, которые упрощают работу с вкладками

СЦЕНА

Под флагом Веселого Роджера

Почему закрывают торрент-трекеры и что придет им на смену

Борьба с пиратством в интернете приняла самый масштабный характер за всю историю. В этом году был арестован владелец крупнейшего поисковика торрентов KickassTorrents и закрыты десятки ресурсов помельче. Правообладатели стали активнее топить пиратов, а последние находят все более изощренные способы оставаться на плаву. Чем же уникален новый виток этого извечного противостояния щита и меча?

Зиг-хак

Эндрю «weev» Ауэрнхаймер о роли хакеров в политическом активизме

Эндрю Ауэрнхаймер — американский серый хакер, хактивист и признанный тролль. В марте 2013-го был осужден на три с половиной года за взлом компьютерной сети телекоммуникационного гиганта AT&T и похищение данных 120 тысяч владельцев iPad, включая высокопоставленных сотрудников пентагоновского агентства DARPA, руководящих работников NASA и других государственных ведомств США, высокопоставленных сотрудников Google, Amazon, Microsoft и AOL и руководителей других крупных компаний.

X-MOBILE

Карманный софт

Выпуск #25. Виджеты

Сегодня в выпуске: расширяемый виджет, способный показывать информацию практически обо всем, виджеты часов и погоды в стиле HTC, Samsung и Sony, а также два конструктора виджетов, которые позволят тебе проявить фантазию.

Мобильный дайджест октября

Google Pixel, Android 7.1 и универсальный root для всех смартфонов

Сегодня в выпуске: Google Pixel — несостоявшийся конкурент Apple iPhone, Android 7.1, не принесший практически ничего нового, смерть Cyanogen OS и туманное будущее CyanogenMod, новые инструменты дизайна интерфейса в стиле Material, сравнение Google Assistant и Siri, рассказ о защищенном протоколе Signal и WhatsApp и доказательство абсолютной бесполезности большинства Android-приложений для шифрования данных. Приятного чтения!

Allo, Google Assistant и Pixel

Колонка Евгения Зобнина

В 2012 году Google представила умный голосовой помощник Google Now, способный не просто выполнять команды пользователя, но и без всякого запроса с его стороны показывать контекстно зависимые подсказки. В этом году Google представила Assistant — серьезно модернизированный Google Now, способный вести нормальный человеческий диалог.

Окна для робота

Запускаем настольные приложения Windows в Android

Wine, позволяющий запускать приложения для Windows в Linux и UNIX-системах, существует уже более двадцати лет. Последние версии Wine справляются с этой задачей настолько хорошо, что с его помощью можно работать с большинством популярных приложений и играть почти во все игры, поддерживающие DirectX 9. Недавно появился Wine для Android — коммерческая версия CrossOver. И мимо этого события мы, конечно, не могли пройти.

«Введите пароль своего аккаунта»

Как взламывают защиту смартфонов от сброса к заводским настройкам

Воровство смартфонов — большая проблема. Ее масштабы настолько велики, что правительства многих государств и межгосударственных образований приняли ряд мер, направленных на радикальное снижение привлекательности телефонов в глазах воров. Но насколько на самом деле эффективны эти меры и легко ли их обойти?

Карантин для малвари

Запускаем небезопасный софт без угрозы утечки личных данных

О безопасности Android, точнее ее отсутствии, ходят легенды. В операционке регулярно обнаруживают баги, Play Store постоянно превращается в площадку распространения малвари, сторонние магазины софта битком набиты троянами. В общем, здесь весело. Но что делать нам, рядовым пользователям смартфонов, если без приложения из сомнительного источника не обойтись?

ВЗЛОМ

Обзор эксплоитов

Анализ новых уязвимостей

Сегодня мы разберем очередную уязвимость в роутере D-Link. На этот раз дыру нашли в прошивке модели DWR-932B, и о патче для нее на момент написания статьи ничего не известно. Также рассмотрим небольшую (по сложности, а не по разрушительной силе) уязвимость в тонких клиентах на HP ThinPro OS.

Погружение в крипту

Часть 5: электронная подпись

Электронная цифровая подпись сейчас на слуху — многие современные компании потихоньку переходят на электронный документооборот. Да и в повседневной жизни ты наверняка сталкивался с этой штукой. Немного магии, и вуаля — все документы подписаны! Осталось разобраться, что же за магия позволяет цифровой подписи работать.

Бэкап или бэкдор?

История одного пентеста

Я работаю в большой организации, и, как положено большой организации, у нас есть внутренние веб-приложения, которые реализуют довольно ответственную бизнес-логику. Именно о таком приложении мы сегодня и поговорим: проведем его анализ защищенности, найдем парочку уязвимостей и навсегда уясним, как не стоит хранить бэкапы.

Ломаем софт для Android, часть 3

Обфускаторы, упаковщики и другие средства защиты кода

В прошлых статьях мы узнали, насколько действительно легко взломать и модифицировать приложение для Android. Однако не всегда все бывает так просто. Иногда разработчики применяют обфускаторы и системы шифрования, которые могут существенно осложнить работу реверсера, поэтому сегодня мы поговорим о том, как разобраться в намеренно запутанном коде. И заодно взломаем еще одно приложение.

X-TOOLS

Софт для взлома и анализа безопасности

В этом выпуске: два инструмента для фаззинга, post-exploitation-фреймворк для bash, легковесный WebDAV-сканер, инспектор даркнет-сайтов, инструмент для обнаружения виртуальных окружений и утилитка для записи происходящего на экране. Stay Tuned!

КОДИНГ

Задачи на собеседованиях

Задачи от Stack Group и решение задач от Virtuozzo

Как насчет свежей порции облачных ноябрьских задачек? А вот и нет! Задачки-то обычные, приземленные. «Облачная» — это компания, нам с тобой эти задачи задает. Встречай — Stack Group, которая предоставляет весь спектр соответствующих услуг: IaaS, storage, VDI / VDI GRID, DRaaS и другие. Как видишь, работодатель большой и завидный :)

Что интересного произошло с нашими программерами за месяц

Колонка авторов

Каждый месяц со страниц рубрики «Кодинг» на тебя смотрят самые обычные (просто очень крутые) программисты. А в свободное от написания статей время они живут обычной кодерской жизнью. В этом месяце мы решили сделать экспериментальную колонку, в которой не один колумнист, а сразу несколько авторов расскажут о том, что им показалось интересным в этом месяце.

Разработка на R: тайны циклов

Выжимаем максимум производительности при обработке больших объемов данных

В языке R чрезмерное или неправильное использование циклов может привести к ощутимому падению производительности — и это при том, что способов написания циклов в этом языке необычайно много. Сегодня мы с тобой рассмотрим особенности использования штатных циклов, а также познакомимся с функцией foreach из одноименного пакета, которая предлагает альтернативный подход в этой, казалось бы, базовой задаче.

Реактивная разработка в Android

ReactiveX: фреймворк, который подружил ООП и функциональное программирование

Мир ООП-разработки вообще и язык Java в частности живут очень активной жизнью. Тут есть свои модные тенденции, и сегодня разберем один из главных трендов сезона — фреймворк ReactiveX. Если ты еще в стороне от этой волны — обещаю, она тебе понравится! Это точно лучше, чем джинсы с завышенной талией :)

VK.com как бэкенд: подводные камни

Решаем проблемы по заявкам читателей

В прошлых статьях была описана разработка мобильного приложения со всеми любимым VK в роли бесплатного и услужливого сервера. Как это часто случается со всякими хитровыкрученными системами, рано или поздно они обрастают мелкими, но досадными проблемами, затрудняющими их использование. И как только это случается, журнал «Хакер» снова приходит на помощь!

UNIXOID

Добро пожаловать в Матрицу

Изучаем Cappsule, систему изоляции приложений на базе технологий виртуализации

Казалось бы, мы рассказали о песочницах уже всё. И про Docker написали во всех подробностях, и обзор инструментов для «быстрой» изоляции приложении сделали, даже собрали песочницу собственными руками. Но, как выяснилось, нет предела человеческой изобретательности. Встречай Cappsule — систему изоляции приложений на базе полноценной виртуализации!

Безболезненная инъекция

Патчим ядро Linux без перезагрузки

Одна из удобных особенностей *nix-систем — компьютер не нужно перезагружать после установки, удаления и обновления программ. Именно поэтому серверы в сети могут спокойно работать годами, хотя ПO постоянно обновляется администраторами. Единственное исключение из правила представляет обновление ядра ОС: здесь уже без перезагрузки точно не обойтись. Хотя в Linux это уже тоже не обязательно.

SYN/ACK

Выбираем WMS-систему и ее техобеспечение

WMi, SCALE или WMOS? ЦОД или облако?

Наша компания является российским представительством глобальной группы Yusen Logistics. Как это нередко бывает, достоинства глобальных компаний оборачиваются их же недостатками, так как головные и региональные штаб-квартиры стараются организовать централизованное управление всем, зачастую без учета «поправок на местность». С этим, к сожалению, пришлось столкнуться и нам...

Броня для сайтов

Изучаем возможности нового WAF Shadow Daemon

По статистике, большинство современных атак направлены на веб-сервисы. Привычные инструменты, работающие на сетевом уровне, не могут их остановить. Поэтому специальные решения, позволяющие защитить веб-сайты, востребованы как никогда. Для небольших проектов коммерческие решения обычно чересчур дорогое удовольствие, поэтому появление очередного open source WAF — само по себе событие!

Отказоустойчивые веб-серверы

Строим могучее решение на базе наследника OpenVZ

Допустим, у нас есть один физический довольно мощный сервер. Конкретные характеристики приводить не буду, представим, что это современный сервер со средними или чуть выше средних параметрами. Ты хочешь его использовать в качестве веб-сервера для своего сайта, но в то же время нужно обеспечить его отказоустойчивость, а физический сервер всего один.