Доклад "завалить в один запрос" на конференции HighLoad++ 2013

Тема отказоустойчивости веб-приложений чаще всего рассматривается в контексте распределенных атак DDoS. В последнее время наблюдается тенденция к уменьшению численности ботнетов и увеличению КПД атак, приведенному к одному запросу. Целью настоящей работы является демонстрация примеров логических и иных ошибок в коде и настройке веб-приложений, приводящих к отказу в обслуживании посредством отправки всего лишь одного или нескольких запросов.

Первенство в конкурсе Яндекса: "Охота за ошибками"

Команда наших исследователей выдерживает высокую планку, заданную нами в первом конкурсе "Месяц поиска уязвимостей Яндекса". Как сказали нам коллеги из Яндекса, на данный момент мы единственные, кто смог обнаружить уязвимость выполнения произвольного кода (Remote Code Execution, RCE) в сервисах крупнейшей поисковой системы.

Руководитель службы информационной безопасности Яндекса, Антон Карпов, так отозвался об одной из наших уязвимостей:
"Very nice submission from @d0znpp for #YandexBugBounty. The best report so far."

Мы очень ценим активную работу Яндекса в области повышения уровня информационной безопасности и популяризации этой сферы в целом. Планируем и дальше поддерживать такие начинания участвуя в конкурсах.

Наша работа в Top10 Web Hacking Techniques 2012

Конгломерат исследовательских работ Pwning via SSRF (memcached, php-fastcgi, etc), выполненных в 2012-м году нашими экспертами совместно с коллегами из DsecRG удостоился пьедестала лучших техник атак на веб-приложения за год по мнению компании WhiteHat Security.

Наша работа уступила в финале только атаке CRIME на SSL протокол, которая, объективно, является сугубо теоретическими изысканиями. Еще одна работа российских экспертов из Positive Technologies Research Team под названием Bruteforce of PHPSESSID была удостоена четвертого места.

Рейтинг доступен на официальном сайте Top Ten Web Hacking Techniques of 2012

Ознакомиться с новейшими техниками атак на memcached, FastCGI и другие сервисы, можно в презентации доклада наших экспертов SSRF attacks and sockets: smorgasbord of vulnerabilities.

Наши исследования в данной области продолжаются и новые результаты будут представлены уже в апреле на конференции HITB-2013, которая пройдет в Амстердаме. Описание доклада доступно на сайте конференции

Международная конференция ZeroNights 2012.

ZeroNights - международная конференция экспертов-практиков информационной безопасности, прошла 19-20 ноября в Москве, собрав под своей крышей более 600 участников. В рамках основной программы конференции было представлено 25 технических докладов, из которых как минимум 13, на наш взгляд, являются абсолютно новыми исследованиями. Помимо докладов, особый интерес представляли практические уроки (workshop) от ведущих специалистов. В завершении мероприятия, эксперты поделились своими достижениями на шоу уязвимостей нулевого дня (zero day show), продемонстрировав практические атаки на популярные серверные и домашние программы.

Незадолго до начала конференции компания ONSec провела конкурс ZeroNights HackQuest. Победителями стали:
1. ReallyNonamesFor
2. RDot.Org
3. Raz0r
В качестве призов были разыграны входные билеты на конференцию.

Наша команда выступила с докладом "SSRF attacks and sockets: smorgasbord of vulnerabilities", описывающем результаты полугодового исследования и практики в области проведения атак серверной подделки запросов.

Международный форум PHDays 2012.

Международный форум по информационной безопасности Positive Hack Days, прошедший 30-31 мая в Москве снова приятно удивил участников. Организаторам удалось не только выдержать высокую планку, установленную в прошлом - дебютном году, но и превзойти ее. На мероприятии присутствовали топ-менеджеры в области ИТ, технические специалисты, сотрудники государственных структур, независимые эксперты и хакеры.

Компания ONsec провела в рамках PHDays конкурс по обходу WAF - системы защиты веб-приложений.
Победителем стал студент ВМиК МГУ Георгий Носеевич, который первый нашел вариант обхода и получил заслуженный приз - new Apple iPad.

В технической секции форума, ONsec представил две работы:

Доклад на тему "Blind XXE exploitation (эксплуатация слепых XXE уязвимостей)".
В ходе проведения исследования, были обнаружены не только новые методы эксплуатация уязвимостей XML External Entities, но и найдена уязвимостей нулевого дня (0-day) в популярной СУБД PostgreSQL всех версий.

FastTrack на тему "Атаки на веб-клиентов сетей Microsoft"

Отметим также, что как и в прошлом году, победителем конкурса "Too Drunk to Hack" стал Владимир Воронцов

Месяц поиска уязвимостей Яндекс завершился победой ONsec

Крупнейшая ИТ-компания России Яндекс провела конкурс под названием "Месяц поиска узявимостей Яндекс". В рамках которого, все желающие могли сообщать о найденных уязвимостях в борьбе за главный приз - $5000.

Сегодня на конференции ZeroNights были подведены итоги этого конкурса. По результатам строгих отборов победителем стал наш эксперт. В состязании, длившимся 30 дней приняли участие 50 конкурсантов, среди которых были как профессиональные компании в области ИБ, так и энтузиасты России и Европы.

Эта победа еще раз доказывает, высочайший уровень экспертизы и качества проводимых нашими экспертами аудитов.

Розыгрыш билетов на конференцию ZeroNights

Предлагаем всем желающим проявить смекалку и выиграть пригласительные билеты на международную конференцию по информационной безопасности ZeroNights.

Для получения билета необходимо найти метод обхода защиты WAF и провести любую из двух самых популярных веб-атак. Получить cookie пользователя, используя межсайтовое выполнение сценариев, или же данные из СУБД, через внедрение операторов. Первые пять участников, продемонстрировавшие успешные вектора атак получат пригласительные билеты.
Список победителей публикуется на странице конкурса в режиме реального времени.

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. На конференции выступят известные эксперты отрасли из России, США, Индии, Сингапура и других стран. Главная цель конференции — распространение информации о новых методах атак, угроз и защиты от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

ONsec сделал Google Chrome безопаснее

Команда исследователей ONsec снова проявила свою изобретательность и профессионализм. Нашим экспертам удалось обнаружить 4 уязвимости популярного браузера, из которых 2 высокого уровня риска, 1 среднего риска и одна низкого риска.

В рамках программы Chromium security reward компания Google выплачивает вознаграждения всем исследователям, обнаружившим уязвимости в браузере Chrome. Суммарная стоимость обнаруженных уязвимостей составила $3000 (по $1000 за каждую из трех опасных уязвимостей).

Имена наших специалистов и компании теперь можно наблюдать в зале славы Google Chrome: http://www.chromium.org/Home/chromium-security/hall-of-fame

Ознакомиться с подробностями можно на страницах официального сайта браузера: Chrome Stable 14, Chrome Stable 13

Поздравляем победителей Realtime WAF hack

Завершился наш конкурс на ежегодной конференции компьютерного искусства Chaos Constructions 2011, прошедшей 27-28 августа в Санкт-Петербурге.

Участникам было предложено побороться за сервер HP, обнаруживая и эксплуатируя различные уязвимости веб-приложений.

Конкурс был доступен всем желающим в свободном доступе в Интернете. Благодаря чему, в нем приняло участие около 200 человек, среди которых были как студенты-энтузиасты, так и эксперты в области информационной безопасности.
Подробная информация и фотографии

Конкурс на Chaos Constructions 2011.

Мы предлагаем всем желающим побороться за сервер HP на ежегодной конференции компьютерного искусства Chaos Constructions 2011, которая пройдет в Санкт-Петербурге 27-28 августа.
Чтобы стать обладателем приза участникам необходимо будет найти уязвимости в веб-приложении и воспользоваться ими (говоря по-русски, просто взломать сервер).
Веб-приложение будет защищено Web Application Firewall, так что придется придумывать методы его обхода. Официальный сайт конференции:
КОНКУРС REALTIME WAF HACK

ONsec на Modsecurity SQLi Challenge.

Компания Trustware, лидер на международном рынке информационной безопасности, объявила конкурс, в рамках которого, исследователям предлагалось провести атаку на веб-приложения, минуя самый популярный Web Application Firewall - ModSecurirty.
Наша команда оказалась второй среди победителей второго уровня конкурса. На настоящий момент, всего 8 исследователей безопасности по всему миру смогли выполнить это задание. Подробности конкурса:
Modsecurity SQLi challenge

Технический семинар на международном форуме PHDays.

Форум Positive Hack Days, прошедший в Москве 19 мая обозначил принципиально новый формат мероприятий в сфере ИБ в России. На мероприятии присутствовали топ-менеджеры в области ИТ, технические специалисты, сотрудники государственных структур, независимые эксперты и хакеры.
В технической секции форуме было представлено 5 семинаров, один из которых провел наш специалист Владимир Воронцов.
Темой семинара стала безопасность современных браузеров.
Акцент в работе был сделан на новые типы уязвимостей, появившиеся за последние полтора года. Были продемонстрированы новые уязвимости, в том числе, уязвимость нулевого дня в браузере Google Chrome последней версии.
Ознакомиться с материалами можно здесь:
PHD2011.ONsec.Security of browsers на английском языке
PHD2011.ONsec.Безопасность браузеров на русском языке
Отметим также, что сил у Владимира хватило еще и выиграть конкурс Too Drunk to Hack, в ходе которого участникам предлагалось искать уязвимости в веб-приложении защищенном WAF за ограниченное время и под крепкие спиртные напитки.

Наш новый партнер - Internal Security

Мы рады объявить о заключении партнерского соглашения с компанией Internal Security. Благодаря этому ONsec и Internal Security могут предложить своим клиентам более глубокую экспертизу в области анализа и оценки защищенности самых сложных веб-проектов.

Опубликована исследовательская работа

Доступна новая статья, касающаяся вопросов безопасности PHP программ в среде Windows. Проведена исследовательская работы и опубликованы новые результаты. Основной упор в работе сделан на выявление причин поведения некоторых символов в именах файлов, впервые наблюдаемого китайскими и итальянскими специалистами. Oddities of PHP file access in Windows(R)
Материал доступен только на английском языке.

Семинары по практической безопасности на ВМиК МГУ

Наши специалисты провели два спецсеминара "Информационная безопасность и сети ЭВМ" на факультете Вычислительной Математики и Кибернетики Московского Государственного Универститета, для студентов и всех желающих. Хочется выразить надежду в будущее поколение специалистов по информационной безопасности и пожелать им творческих успехов. Отдельное спасибо организатору семинаров, Андрею Петухову. С материалами докладов можно ознакомиться по ссылкам:
PHP unserialize (03/11/2010)
XSS vs WAF (11/11/2010)
Мы рассчитываем продолжить хорошее начинание и в будущем также проводить подобные мастер-классы.

Завершено исследование UMI.CMS

Мы завершили полное исследование исходного кода системы управления сайтом UMI.CMS. В первую очередь хочется отметить отличную команду ЮмиСофт, которая активно помогала в исследовании и с пониманием приняла наши замечания по безопасности продукта. Мы надеемся на дальнейшую плодотворную работу совместно со специалистами UMI, и будем проверять систему, ставшую теперь нам знакомой и понятной, перед каждым релизом. Вместе мы сделали UMI.CMS более безопасной, и планируем в скором времени внедрить в нее новые механизмы защиты.

Завершено исследование проекта DamtiBook.com

После тщательного анализа, нагрузочных тестов и других испытаний, проект наконец запущен. Мы немало трудились чтобы сделать его безопасным и надежным. Мы посмотрели на проект глазами хакеров, располагая только тем, чтобы доступно из Интернета. После такого анализа уже глазами разработчиков, в полевых условиях, провели полное исследование исходного кода проекта. Желаем проекту счастливого плавания на просторах всемирной паутины!

Микроблоги наших экспертов: