Архив за месяц: Март 2016

Announce for a ‘Lessons Learned from the Jeep Hack: How to Reduce Software Vulnerabilities in Cyber-Physical Systems’

04_11_16_Reg_Banner1_580

This event going to be quite interesting. You’re probably don’t want to miss it.
If so, go register and add a note into your calendar!

Topics to be covered 
  • Lessons Learned from Jeep — Case Study Review — Chris Valasek, Security Lead — Uber ATC
  • Secure Software Development Landscape — Mark Sherman
  • Security Requirements Engineering — Chris Alberts
  • Secure Coding Best Practices — Bob Shelia
  • Continuous Integration (Secure DevOps) — Hasan Yasar
  • Coordinated Vulnerability Disclosure — Chris King

April 11, 2016    1:00 — 4:15 pm ET

It’s online event. Reserve your seat now (free) by this link.

Полезные плагины FireFox для тестирования защищённости веб-сайтов

FireFox, несмотря на свою тяжеловесность в работе по сравнению с Chrome или IE, обладает очень хорошей особенностью — коммьюнити браузера выпускает и поддерживает массу плагинов для отладки и тестирования веб-сайтов и веб-приложений, в том числе и для тестирования защищённости.

Использование:
  • Скачиваете плагин;
  • Устанавливаете, перезапускаете браузер;
  • Открываете нужную вам web-страничку;
  • Открываете меню утилиты — обычно, Tools->Open «tool_name» sidebar;
  • Выделяете элементы;
  • Запускаете сканирование, по завершении которого генерируется отчёт.
Некоторые из плагинов, хорошо зарекомендовавших себя в работе:
XSS-Me: для тестирования уязвимости на XSS-атаки. Работает под FireFox 11.0
https://addons.mozilla.org/en-US/firefox/addon/xss-me/

SQL Inject Me: для тестирования уязвимости на SQL -инъекции. Работает под FireFox 3.6.*
https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/

Access-Me: для тестирования уязвимостей доступа. Работает под FireFox 3.6.* На мой взгляд, наименее удобная из трёх.
https://addons.mozilla.org/en-US/firefox/addon/access-me/

Firebug: мощнейший инструмент для анализа кода и выявления багов и уязвимостей в веб-сайтах и веб-приложениях. Позволяет редактирование, отладку и просмотр CSS, HTML, JS, профилирование загрузки (н-р, при нагрузочном тестировании), выводит логи запросов между клиентом и сервером. Для работы Firebug требуется Firefox 3.0 и выше. Поддерживает огромное количество расширений, дополняющий его функционал.
https://addons.mozilla.org/en-US/firefox/addon/firebug/

Tamper Data: Приложения для перехвата и модификации HTTP/HTTPS заголовков. Удобно использовать при тестировании Session Hijack (подмена сессии изменением идентификаторов cookies).
https://addons.mozilla.org/ru/firefox/addon/tamper-data/

FoxyProxy: Расширение, позволяющее удобно хранить и быстро переключаться между разными настройками прокси. Удобно когда нужно тестировать приложения с использованием WebScarab и прочих подобных снифферов, когда нужно переключаться между тестированием локальных, интранет и внешних (интернет) сайтов.
https://addons.mozilla.org/ru/firefox/addon/foxyproxy-standard/

Firesheep: расширение браузера Firefox использует сниффер пакетов для перехвата незашифрованных HTTP cookie популярных веб-сайтов, например Facebook и Twitter, передаваемых по сети. Таким образом оно позволяет перехватывать чужие сессии работы с сайтами. Полученные из сети сессии отображаются на боковой панели браузера, и пользователь может войти на сайт от имени другого пользователя путем двойного щелчка на его имени.

Расширение было создано для демонстрации рисков безопасности, которые существуют, если веб-сайты используют шифрованное соединение лишь для проверки логина и пароля, и не шифруют HTTP cookie, используемые после аутентификации. В некоторых странах использование этого расширения без согласия пользователей, чьи данные перехватываются, может являться преступлением. Несмотря на угрозу безопасности, которую создает расширение, представители сайта Mozilla Add-ons заявили что не собираются блокировать расширение, так как блокировка используется только в отношении spyware или дополнений, которые создают уязвимости в браузере, а не для блокировки «средств нападения» (attack tools), которые могут использоваться и легально (например, для проверки безопасности собственного компьютера).
http://codebutler.com/firesheep?c=1