Сообщения

Сообщения за июль, 2015

СОИБ. Анализ. Платформы для Bug Bounty

Изображение
Каждая приличная западная ИТ-компания или вендор ( Google , Microsoft , Twitter , Tesla , Github , Blogger , Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty , в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.   Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex , Mail . ru , QIWI , Telegram, Anistar . ru , Ok . ru , Крайинвестбанк, Рокетбанк и т.п. Когда принимается решение о запуске программы выплаты вознаграждений за найденные уязвимости, компании необходимо определится будут ли они самостоятельно проводить организовывать программу или использовать готовую специализированную под Bug Bounty площадку.   При проведении открытого конкурса своими силами, на компания должна быть готова взять на себя дополнительные организационные мероприятия: ·          разра

СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Изображение
Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере. Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ публично доступной информации (та информация, которую сервис выдает каждому клиенту) о сертификате и настройках SSL / TLS 24-х для таких важных с точки зрения ИБ-шника сайтов, как: личные кабинеты и профили в сообществах по ИБ, русскоязычные партнерские/клиентские разделы ИБ вендоров, личные кабинеты у операторов связи,  учебных центров, порталы гос. органов, торговые площадки, интернет банк