Примерно восемь из десяти веб-обозревателей, запущенных пользователями, уязвимы для атак через эксплоиты, заявил сегодня специалист по вопросам безопасности.
Плохим состоянием процесса исправления ошибок браузера недоволен Вольфганг Кандек, технический директор по вопросам безопасности компании Qualys, который представил данные исследования BrowserCheck, представленные на конференции RSA в Сан-Франциско.
"Честно, я действительно думал, что показатели будут ниже", — сказал Кандек, ошеломлённый результатами, что около 80% браузеров и частоиспользуемых компонентов неактуальны и небезопасны.
BrowserCheck сканирует компьютеры под управлением Windows, Mac OS X, Linux на наличие уязвимых браузеров, включая также подключаемые модули, такие как Adobe Flash/Reader, Oracle Java RE, MS Silverlight и Windows Media.

Всем привет!

Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов.

Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам.

Привет! Меня зовут Кирилл, и в центре киберзащиты DataLine я развиваю сервис защиты веб-приложений (WAF): общаюсь со специалистами по ИБ и ИТ от клиента, выясняю их задачи, отвечаю за корректную работу сервиса. За неполный год настройки WAF я убедился: если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете.

Мы несколько раз дорабатывали решение: лучше изучали векторы атак и поведение атакующих, добавляли и настраивали новые средства защиты, улучшали регламенты взаимодействия с клиентом. Расскажу, как развивался наш сервис на базе FortiWeb и о чем нужно позаботиться, чтобы защитить свое веб-приложение.    

Специалисты по безопасности из компании Qualys провели глобальное сканирование веб-сайтов на предмет валидных SSL-сертификатов. Всего было просканировано 119 млн доменов, из них 92 млн оказались активными, затем примерно 12,4 млн отказались распознаваться правильно, 14,6 млн не отвечали. Из оставшихся 34 млн ответили на запрос к портам 80 и 443. Дальнейший анализ показал, что примерно на 23 млн сайтов был активен SSL.

Что самое удивительно, из этих 23 млн сайтов только у 3,17% SSL-сертификат соответствовал доменному имени, на котором был установлен. Результаты своего исследования компания Qualys представила на хакерской конференции Black Hat USA.

Выпустив новую версию slowhttptest с поддержкой медленного чтения (Slow Read DoS attack), я помог нескольким пользователям протестировать их сервисы. Во время одного из тестов произошла поучительная история, которую я хочу рассказать.

Получил я значит письмо с просьбой взглянуть на результаты запуска slowhttptest. Согласно репорту, програмка нагнула сервис за считанные секунды, что показалось довольно невероятным. Сервис, согласно архитектуре, способен обслуживать тысячи клиентов со всего мира, а slowhttptest лимитирован тысячей соединений.

Приветствую.
Хочу рассказать, чем я баловался в свободное от работы в Qualys время. Так как в англоязычном интернете на удивление много шума про Slow Read DoS attack, и уверен что получу здесь много полезной критики и дельных предложений.

В августе 2011 года написал програмку slowhttptest, которая тестирует веб-серверы на наличие уязвимостей, связанных с обработкой медленных HTTP запросов, таких как slowloris и slow HTTP Post. Цель — создать конфигурируемый инструмент, облегчающий работу разработчиков и позволить им концентрироваться на создании эффективных защит, а не ковырянии в питоне, на котором написаны большинство proof-of-concept эксплоитов.

А потом решил попробовать, как реагируют серверы на медленное чтение клиентами HTTP респонсов. На удивление плохо реагируют. Дефолтные apache, nginx, lightpd, IIS отказывают в обслуживании на ура.

А суть такова:

Почему я решил написать этот текст.

Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.

С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.

Добрый день, Друзья.
Хочу поделиться небольшим опытом работы с бесплатными решениями по проверке безопасности web браузеров в организациях и дома.

Недавно мои коллеги столкнулись с задачей проверки защищенности клиентских web браузеров и мы решили попробовать как можно решить эту задачу быстро, при минимальных капиталовложениях и эффективно. На просторах интернета мы смогли найти следующие бесплатные сервисы по проверке браузеров:

• Surfpatrol (от компании Positive Technologies). Воспользоваться можно по ссылке www.surfpatrol.ru
• Qualys BrowserCheck (от компании Qualys). Воспользоваться можно по ссылке browsercheck.qualys.com
• BrowserCheck Business Edition (от компании Qualys). Позволяет проверять уровень защищенности браузеров в компаниях. Воспользоваться можно по ссылке www.qualys.com/forms/browsercheck-business-edition.

Описание работы данных сервисов в интернете в достаточном кол-ве и описывать пошаговую инструкцию работы с ними я не буду.
Но хочу поделиться результатами работы данных сервисов с разными браузерами, различием в функциональности и особенности работы. Т.к. эти сервисы на текущий момент стремительно развиваются, то я могу дать оценку их работам на момент проведения тестирования.