тестирование на проникновение

  • ХабрахабрФото Правила хорошего пентестера, или «Я никогда не»

    Правила хорошего пентестера, или «Я никогда не»

    Тестирование на проникновение — профессия серьезная, правила в ней основаны на горьком опыте, но вы все равно можете повеселиться, изучая их. Сегодня поделюсь советами, которые помогут стать хорошим пентестером и избежать неприятностей. А заодно расскажу несколько баек о том, в какие абсурдные ситуации можно попасть, нарушая эти правила. Так что устраивайтесь поудобнее, открывайте этот гайд, а по прочтении — делитесь…

    Читать далее »
  • ХабрахабрФото Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

    Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

    Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО. В работе я нередко сталкиваюсь с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft Windows Server — средой службы каталогов Active Directory (AD). Весной прошлого года я убедился, насколько быстро основной механизм, обеспечивающий разграничение прав…

    Читать далее »
  • ХабрахабрФото Побег из песочницы и захват леса — реальный сценарий взлома корпоративной сети

    Побег из песочницы и захват леса — реальный сценарий взлома корпоративной сети

    Пришло время рассказать о еще одном векторе атак на внутренние сети компаний. На этот раз речь пойдет о ситуации, в которой у меня не было прямого доступа к компьютеру, а хосты оказались неуязвимы к популярным атакам. И все же несколько мелких ошибок администраторов привели к тому, что защита рассыпалась. Итак, читайте под катом пошаговый разбор взлома  корпоративной сети и кое-какие…

    Читать далее »
  • ХабрахабрФото Бесконтрольный доступ и рассеянность: итоги одного пентеста

    Бесконтрольный доступ и рассеянность: итоги одного пентеста

    В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за человеческого фактора: простой ошибки веб-разработчиков или неаккуратных сотрудников. Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение. На этот раз к нам…

    Читать далее »
  • ХабрахабрФото Атаки на GraphQL

    Атаки на GraphQL

    В ходе пентеста веб-приложений специалист по тестированию на проникновение достаточно часто сталкивается с необходимостью тестировать API. Как правило это REST API, про тестирование которого написано уже много. Однако все чаще и чаще встречается API на основе GraphQL. Информации об этой технологии и вероятных атаках на нее в сети тоже достаточно. Но пентестеру, слабо знакомому с технологией, приходится небольшими частями собирать…

    Читать далее »
  • ХабрахабрФото Миссия выполнима: знакомимся с физическим пентестом

    Миссия выполнима: знакомимся с физическим пентестом

    Захар Корняков Пентестер департамента аудита и консалтинга Group-IB "Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей…

    Читать далее »
  • ХабрахабрФото Простая агентурная работа: интервью с социальными инженерами

    Простая агентурная работа: интервью с социальными инженерами

    Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой нестандартной работе. По понятным причинам, мы не раскрываем настоящие имена наших спецов, так что в этом разговоре они выступят под псевдонимами…

    Читать далее »
  • ХабрахабрФото Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам

    Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам

    Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку. Чуть позже директор, а заодно и весь высший…

    Читать далее »
  • ХабрахабрФото Жизнь за пределами Metasploit Framework, сравниваем альтернативы

    Жизнь за пределами Metasploit Framework, сравниваем альтернативы

    ДИСКЛЕЙМЕР: Внимание! Вся представленная ниже информация предназначена только для ознакомительного изучения. Автор не несет никакой ответственности за любой причиненный вред с использованием изложенной информации. Предисловие Идея статьи родилась в ходе исследования способов автоматизации рутинных действий при проведении тестирования на проникновение. Данная мысль возникает, когда исследователь понимает, что в лучшем случае копирует одни и те же команды, в худшем – печатает…

    Читать далее »
  • ХабрахабрФото Повтор — тоже атака. Часть 1

    Повтор — тоже атака. Часть 1

    Данная статья является первой из трех, которые будут рассказывать об инструментах, которые используются для тестирования внутренней инфрасруктуры Windows Active Directory. Во всех тестовых сценариях подразумевается, что уже есть доступ во внутреннюю инфраструктуру и в ней есть активные пользователи, которые пользуются сервисами Windows AD, такими как файловые шары, центры сертификации, веб-приложения и т.д. Статья предоставляется исключительно в ознакомительных целях. Все тесты…

    Читать далее »


Кнопка «Наверх»