Pentest as a Service

Решения для тестирования кибербезопасности: стандартная модель Решения по тестированию кибербезопасности часто делят на три последовательных уровня: сканирование уязвимостей, тестирование на проникновение (также известное как пентест) и Red Teaming («редтиминг»). Сканирование уязвимостей — это автоматизированное средство

Топ-10 компаний по пентесту в мире

23-25 июля 2021 г. на крупнейшей соревновательной пентест-платформе HackTheBox проводилось соревнование среди компаний по всему миру — HTB Business CTF 2021. На соревнование было зарегистрировано 537 команд, из них 374 действительно сумели поучаствовать. Наша команда

Взлом квантовой программы

Программы для квантового компьютера тоже могут содержать уязвимости. Эти уязвимости могут позволять удалённо выполнять какие-то вычисления. Как же написать шеллкод для программы, уязвимой к исполнению квантового кода? В ходе работы нам приходится следить за передовыми

Победа в The Standoff

В прошедшую неделю закончились масштабные пятидневные киберучения The Standoff. Наши специалисты также поучаствовали в соревновании в качестве команды Red Team. Всего на стороне защиты участвовало 6 команд, а на стороне нападения — 29 команд из

Захват аккаунта через IDOR

Insecure Direct Object Reference (IDOR) — очень распространённый вид недостатков авторизационной логики приложения. Потенциальный ущерб от эксплуатации IDOR может быть как минимальным, так и критическим. Рассмотрим некоторые случаи, когда наличие IDOR позволило реализовать угрозу с

Аудит безопасности Waves Enterprise Voting

Команда Deteact провела анализ защищённости сервиса блкочейн-голосований на базе платформы Waves Enterprise. Waves Enterprise — это блокчейн-платформа, объединяющая приватные и публичные сети. Компания также предоставляет услуги по разработке, внедрению и поддержке блокчейн-решений. Аудит включал тестирование

Обход Content Security Policy

In English: https://blog.deteact.com/csp-bypass/ Content Security Policy (CSP) — это дополнительный механизм безопасности, встроенный в браузеры, позволяющий предотвращать Cross Site Scripting (XSS).   CSP позволяет определять белые списки источников для подключения JavaScript, стилей, изображений, фреймов, создания соединений.

Обход Bitrix WAF

In English: https://blog.deteact.com/bitrix-waf-bypass/ UPD: Присвоен идентификатор CVE-2020-13758 Бывает, что при проведении XSS отражённого типа параметры попадают прямо в тело тега script. Обычно это означает, что эксплуатация тривиальна: не помешает кодирование скобок, не помешают многие фаерволы,

Безопасная разработка и сканирование уязвимостей

В рамках профессиональной деятельности пентестерам, разработчикам, безопасникам приходится заниматься такими процессами, как Vulnerability Management (VM), (Secure) Software Development LifeCycle (S-SDLC).Под этими словосочетаниями скрываются различные наборы практик и используемых инструментов, которые переплетены между собой, хотя их

Типичные ошибки реализации SMS-аутентификации

In English: https://blog.deteact.com/common-flaws-of-sms-auth/ Многие онлайн-сервисы используют SMS в качестве механизма аутентификации пользователей. Но допускаются маленькие ошибки, которые введут к крупным проблемам. Именно об этом пойдет речь в данной статье. Введение Данный метод аутентификации популярен в