Репортаж с PHDays Fest 2: практические рекомендации по анализу защищенности
26 мая 2024
25 мая на международном киберфестивале Positive Hack Days прозвучали доклады пентестеров УЦСБ. Данила Урванцев и Влад Дриев поделились с профессиональным сообществом практическими кейсами и рекомендациями, которые будут полезны при анализе защищенности цифровой инфраструктуры.
25 мая на международном киберфестивале Positive Hack Days прозвучали доклады пентестеров УЦСБ. Данила Урванцев и Влад Дриев поделились с профессиональным сообществом практическими кейсами и рекомендациями, которые будут полезны при анализе защищенности цифровой инфраструктуры.
Свое выступление специалист по анализу защищенности Аналитического центра УЦСБ Данила Урванцев посвятил выявлению многоэтапных SQL-инъекций.
Данила продемонстрировал примеры внедрения SQL-кода, которые выполняются после определенной последовательности действий, а также рассказал о методах анализа таких инъекций при помощи инструмента sqlmap.
Данила продемонстрировал примеры внедрения SQL-кода, которые выполняются после определенной последовательности действий, а также рассказал о методах анализа таких инъекций при помощи инструмента sqlmap.
“
«Сложность некоторых уязвимостей заключается в том, что они могут выполняться не здесь и сейчас, а выполняют определенный код через какое-то время или после какого-то события, то есть иметь отложенный вариант реализации. В докладе делюсь опытом нашей команды по выявлению таких уязвимостей, рассказываю об инструментах SQLmap и возможностях Python для таких целей»
“
«Если бизнес-логика какого-то процесса имеет несколько этапов, то проверять при проведении анализа защищенности нужно каждый из этапов. Обязательно анализировать время ответа, код ответа, обращение во внешний сервис и длину ответа. А для разработчиков программных продуктов важно на каждом из этапов следить за тем, чтобы пользовательский код был приведен к приемлемому формату также на всех этапах пути, а не только на первом»
Доклад старшего специалиста по анализу защищенности Владислава Дриева «IP-камера: инструкция по применению» заставил аудиторию в зале задуматься, а так ли безобидны с точки зрения кибербезопасности камеры в офисах и установлены ли на их корпоративных камерах антивирусы.
“
«Видеокамеры — это один из недооцененных инструментов при пентестах. В докладе я постарался наглядно показать, как можно достаточно быстро проэксплуатировать камеры при проведении поиска уязвимостей в корпоративной сети. Важно не забывать, что такое, казалось бы, простое периферийное устройство может стать причиной компрометации вашей инфраструктуры, достаточно простой точкой входа и закрепления для хакера»
В своем докладе Влад рассмотрел четыре кейса из собственной практики проведения пентестов для бизнеса, которые показывают основные уязвимости в защищенности видеокамер:
“
«Для специалистов по информационной безопасности могу дать следующие рекомендации: обязательно меняйте дефолтные пароли на видеокамерах, обновляйте софт и железо – особенно в тех случаях, когда модель снята с производства и ПО не обновляется. И, конечно, проводите пентесты»
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы