|
20.09.2017
|
|
 |
Одна из самых популярных тенденций в области защиты приложений нынешнего десятилетия — технология виртуального патчинга (virtual patching, VP), позволяющая защитить веб-приложение от эксплуатации имеющихся в нем известных уязвимостей на уровне межсетевого экрана уровня веб-приложений (web application firewall; здесь и далее под WAF подразумевается выделенное решение, функционирующее на отдельном узле, между шлюзом во внешнюю сеть и веб-сервером). Технология VP основана на построении правил фильтрации HTTP-запросов на стороне WAF по результатам работы средств статического анализа защищенности приложения (static application security testing, SAST). Однако из-за того, что средства SAST и WAF опираются на различные модели представления приложения и различные методы принятия решений, на рынке до сих пор нет по-настоящему эффективных решений их интеграции. В рамках SAST работа с приложением осуществляется по модели белого ящика и, как правило, используются формальные подходы к поиску уязвимостей в коде.
|
|
31.05.2016
|
|
|
|
PHDays VI отгремел без малого две недели назад, но случившийся параллельно с ним очередной публичный релиз Application Inspector нахлобучил так, что силы написать об этом нашлись только сейчас.
|
|
04.05.2016
|
|
|
|
Компания Positive Technologies в рамках форума Positive Hack Days VI (17—18 мая) проведет двухдневный семинар для разработчиков по созданию защищенных приложений Positive Development User Group. Цель мероприятия — повысить устойчивость бизнеса к растущим угрозам со стороны злоумышленников.
На семинаре будут рассмотрены все аспекты конструирования защищенных приложений, различные уязвимости веб-сервисов, эксперты Positive Technologies представят опыт анализа защищенности систем, используемых в различных отраслях, и результаты исследовательских работ, лежащих в основе анализатора защищенности исходного кода приложений PT Application Inspector. Подробности |
|
26.06.2015
|
|
|
|
- слайды моего выступления на июньской встрече SPB .NET Community: http://buff.ly/1TR8cP7
|
|
29.05.2015
|
|
|
|
Материалы моего доклада PHDays V "Автоматическая генерация патчей для уязвимого исходного кода" можно почитать и скачать здесь. Видео с демкой встроено в презентацию.
P.S: 25 июня запланирован повтор данного доклада в формате вебинара в рамках программы Positive Technologies "Практическая безопасность". UPD: Запись самого доклада уже также доступна здесь (нужно выбрать доклад в правой колонке, Амфитеатр/13:05). |
|
28.05.2014
|
|
|
|
В последнее время об анализе защищенности исходного кода не написал только ленивый. Оно и понятно, ведь тот парень из Gartner, как предложил рассматривать анализ исходного кода в качестве нового хайпа несколько лет назад, так до сих пор и не дал отмашку на то, чтобы прекратить это делать. А, учитывая текущее направление моей работы (участие в разработке PT Application Inspector, далее AI), и тот факт, что в последнее время годных статей на тему анализа исходного кода в общем-то не было, как-то даже странно, что до сегодняшнего дня в этом блоге не было ни одной грязной подробности на эту животрепещущую тему. Что ж, исправляюсь
 Читать дальше |
|
14.01.2015
|
|
|
|
|
|
18.02.2014
|
|
|
|
UPD[19.03.2014]: все приглашения отданы, приглашений больше нет. В этом году, конференция пройдет в Москве, 21-22 мая, в техноцентре Digital October. Получить представление о формате мероприятия можно из, например: https://www.youtube.com/watch?v=Fr_y1_JokqI и https://www.youtube.com/watch?v=RMqCFvCOaYI Программа еще формируется, поэтому пока могу сказать только то, что выступлю там с докладом об обнаружении и эксплуатации уязвимостей бизнес-логики (уже получил положительное решение от CFP комитета) и что основными темами форума в этот раз станут вопросы технологий слежения и обеспечения анонимности... |
|
13.01.2014
|
|
|
|
Наш доклад с PoC 2013 об анализе защищенности кода и автоматической генерации эксплоитов: слайды http://www.powerofcommunity.net/poc2013/slide/sergey.pdf, демка http://buff.ly/1hO6rAX
|
|
04.02.2014
|
|
|
|
Проект довольно известного криптографа Jean-Philippe Aumasson представляющий собой набор правил, позволяющих избежать ошибок при реализации/использовании криптографических функций в своем коде: https://cryptocoding.net/index.php/Cryptography_Coding_Standard
В качестве бонуса, наглядная иллюстрация последствий нескольких подобных ошибок. |
