четверг, 22 августа 2013 г.

Кому нужен AppSec?

В комментариях к предыдущей публикации коллега chukot задал интересный вопрос, цитирую:
Можно поинтересоваться - какая целевая ниша у этого продукта? Явно не по соседству с MaxPatrol его ставить и нагружать такой спецификой местных ИБшников. Тут скорее для каких-то хардкорных аудиторов и веб-программеров.
Конечно, повышение защищенности приложений далеко не так увлекательно, как обеспечение соответствия очередной ветке регулирования законодательства о защите персональных данных, но все же.
Хотелось многое написать, но пусть вместо нас говорит рынок.
Согласно Verizon 2013 Data Breach Investigations Report, атаки на Web-приложения использовались в ~27% всех инцидентов ИБ в крупных корпорациях.



вторник, 20 августа 2013 г.

Скрестить ужа с ежом/найти все-все 0day/захватить вселенную!11

Краткое содержание

несовместимость DAST/SAST; IAST - buzzword и реальность;третий путь;меньше скобок

Как было отмечено в предыдущей заметке, у систем поиска уязвимостей SAST и  DAST есть и преимущества и недостатки, поэтому проблема поиска оптимального подхода к автоматизации анализа безопасности приложений не теряет своей актуальности. За последние несколько лет было выполнено как минимум три подхода к решению этой задачи.

вторник, 13 августа 2013 г.

Любопытсво - не порок... Honeypot для MySQL


Добрые парни @GiftsUngiven и @cyberpunkych  отрелизили доклад о некоторых особенностях mysql на Chaos Constructions. Было забавно.



PS. Тула для mitm уже тут http://intercepter.nerf.ru/#down

Черно-белая «статика» или динамический анализ исходных кодов

Краткое содержание: как модно искать уязвимости приложений; почему SAST и статический анализ, и DAST и динамический анализ не синонимы; в чем прелесть SAST и красота DAST; много скобок.

понедельник, 12 августа 2013 г.

Зачем Арону Каскад?

Наткнулся на твит, в рамках которого Aaron Portnoy интересуется уязвимостями SCADA Каскад.
Что в этом удивительного? Дело в том, что Арон, соучредитель широко известной в узкой кругах компании Exodus Intelligence, приторговывающей эксплойтами. Ну и основные покупатели у него сами понимаете кто. Очень сомневаюсь, что их интерес к SCADA российского производства как-то связан с Responsible Disclosure и повышением защищенности. Скорее уж с повышением обороноспособности...
Таким образом, отечественным разработчикам АСУ ТП необходимо готовится к серьезному повышению защищенности своих систем. Добро пожаловать в реальный мир!

PS. Кстати, очень удивлен, что коллеги из Станкинформзащиты опубликовали уязвимости в Каскаде без принятого в данном случае взаимодействия с разработчиком.
Оригинал: http://habrahabr.ru/company/xakep/blog/123672/