Что пишут в блогах

Подписаться

Онлайн-тренинги

Конференции

Что пишут в блогах (EN)

Разделы портала

Про инструменты

Лучшие вакансии

.
Защищенность и надёжность
Статьи о тестировании и обеспечении защищённости и надёжности программ


Burp Suite: швейцарский армейский нож для тестирования веб-приложений
21.07.2017 17:10

Оригинальная публикацияhttps://habrahabr.ru/company/pentestit/blog/328382/

Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и многое другое. Также существует магазин дополнений BApp store, содержащий дополнительные расширения, увеличивающие функционал приложения. Стоит отметить и появление в последнем релизе мобильного помощника для исследования безопасности мобильных приложений — MobileAssistant для платформы iOS.

Burp Suite — это интегрированная платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах. Содержит интуитивно понятный интерфейс со специально спроектированными табами, позволяющими улучшить и ускорить процесс атаки. Сам инструмент представляет из себя проксирующий механизм, перехватывающий и обрабатывающий все поступающие от браузера запросы. Имеется возможность установки сертификата burp для анализа https соединений. 

Если посмотреть статистику и репорты bug-bounty программ — практически везде на скриншотах можно встретить использование этого инструмента. На ряду с OWASP ZAP это самый популярный набор утилит для тестирования веб-приложений.

Подробнее...
 
Почему безопасность продукта – это такая сложная штука
22.03.2017 12:15

Автор: Коллин Грин (Collin Greene)

Оригинал статьи: https://medium.com/@collingreene/why-product-security-is-hard-52e3f73178#.l1376jjjv

Перевод: Ольга Алифанова

Если недостатки ПО могут стоить миллионы долларов, очень полезно исследовать вопрос, почему так тяжело создать безопасное ПО.

Работа над безопасностью вся целиком связана с трудностями, и цель статьи – собрать наиболее специфические для приложений сложности, чтобы в последующих статьях предложить их решения. Она не направлена на защиту безопасников -мол, без ошибок сделать ПО никак нельзя.

Создание ПО – тяжелая работа

Безопасность ПО – это очень трудно, но даже правильное создание программного продукта – непростая задача. Поиск багов безопасности – это подкатегория поиска багов в ПО.

Программное обеспечение кардиостимулятора, спутника или линкора должно, возможно, быть идеальным в плане безопасности, но для большинства приложений самыми важными будут время до релиза, количество фич и другие подобные цели.

Мы знаем, что создать идеальное ПО возможно, но это очень трудно, и зачастую не в приоритете. Nasa и марсоход "Curiosity" – это пример оптимизированного соотношения качества к нулевому количеству багов, потому что стоимость бага в ПО крайне высока.

Подробнее...
 
Об основах тестирования безопасности
11.09.2014 16:01

Доклад Татьяны Зинченко с онлайн-встречи, приуроченной к Дню тестировщика 2014.

Каникулы закончились и многие великие хакеры пошли в школу. Значит ли это, что наше приложение может вздохнуть спокойно? Конечно, нет, ведь на очереди — осенние каникулы :)

Есть хорошее выражение: «Любое приложение может быть взломано. Любая атака может быть отражена». О чем это? Мы можем отразить любую атаку. Но если взломщик потратит больше времени и использует больше инструментов — он сможет взломать любое приложение.

Да, мы не можем избежать всего. Но мы можем обезопасить себя от «великих хакеров», сделав так, чтобы затрачиваемое ими время и количество используемых приложений возросло настолько, что уже не стоило полученного результата.


В ходе доклада мы научимся проводить элементарные проверки безопасности. И изучим способы, которыми от них можно защититься. Согласитесь, когда вас взломают Анонимусы, - это намного приятнее, чем когда каждый третьеклассник :)

Подробнее...
 
Тестирование безопасности – выбираем нужное
15.08.2014 21:31

Дмитрий Ильюк, OOO “Технологии качества», бренд A1QA

В каких случаях может понадобиться тестирование безопасности?

Эта статья для тех, кому пришлось столкнуться с проблемами безопасности своих ресурсов, в первую очередь – корпоративной сети либо веб-приложений, но они не имеют четкого представления о том, как это тестирование осуществляется на практике.

Вариантов, разумеется, может быть множество, вот лишь некоторые из них:

  • после проведенной кибер-атаки либо ее попытки;
  • при наличии корпоративной сети или веб-приложения, тестирование безопасности которых проводилось давно либо не проводилось вообще;
  • после добавления новой функционально