Главная / О Центре / Новости / Репортаж с PHDays Fest 2: практические рекомендации по анализу защищенности









Репортаж с PHDays Fest 2: практические рекомендации по анализу защищенности

26 мая 2024

25 мая на международном киберфестивале Positive Hack Days прозвучали доклады пентестеров УЦСБ. Данила Урванцев и Влад Дриев поделились с профессиональным сообществом практическими кейсами и рекомендациями, которые будут полезны при анализе защищенности цифровой инфраструктуры.
Свое выступление специалист по анализу защищенности Аналитического центра УЦСБ Данила Урванцев посвятил выявлению многоэтапных SQL-инъекций.

Данила продемонстрировал примеры внедрения SQL-кода, которые выполняются после определенной последовательности действий, а также рассказал о методах анализа таких инъекций при помощи инструмента sqlmap.
«Сложность некоторых уязвимостей заключается в том, что они могут выполняться не здесь и сейчас, а выполняют определенный код через какое-то время или после какого-то события, то есть иметь отложенный вариант реализации. В докладе делюсь опытом нашей команды по выявлению таких уязвимостей, рассказываю об инструментах SQLmap и возможностях Python для таких целей»

Данила Урванцев, специалист по анализу защищенности

«Если бизнес-логика какого-то процесса имеет несколько этапов, то проверять при проведении анализа защищенности нужно каждый из этапов. Обязательно анализировать время ответа, код ответа, обращение во внешний сервис и длину ответа. А для разработчиков программных продуктов важно на каждом из этапов следить за тем, чтобы пользовательский код был приведен к приемлемому формату также на всех этапах пути, а не только на первом»

Данила Урванцев, специалист по анализу защищенности

Доклад старшего специалиста по анализу защищенности Владислава Дриева «IP-камера: инструкция по применению» заставил аудиторию в зале задуматься, а так ли безобидны с точки зрения кибербезопасности камеры в офисах и установлены ли на их корпоративных камерах антивирусы.
«Видеокамеры — это один из недооцененных инструментов при пентестах. В докладе я постарался наглядно показать, как можно достаточно быстро проэксплуатировать камеры при проведении поиска уязвимостей в корпоративной сети. Важно не забывать, что такое, казалось бы, простое периферийное устройство может стать причиной компрометации вашей инфраструктуры, достаточно простой точкой входа и закрепления для хакера»

Владислав Дриев, старший специалист по анализу защищенности

В своем докладе Влад рассмотрел четыре кейса из собственной практики проведения пентестов для бизнеса, которые показывают основные уязвимости в защищенности видеокамер:
«Для специалистов по информационной безопасности могу дать следующие рекомендации: обязательно меняйте дефолтные пароли на видеокамерах, обновляйте софт и железо – особенно в тех случаях, когда модель снята с производства и ПО не обновляется. И, конечно, проводите пентесты»

Владислав Дриев, старший специалист по анализу защищенности

Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы