Offensive Security Wireless Professional

На днях получил приятное письмо. Начинается так:

«Dear Dmitry,

We are happy to inform you that you have successfully completed the Offensive Security Wireless Attacks certification exam and have obtained your Offensive Security Wireless Professional (OSWP) certification.»

Это значит, что я получил свой первый сертификат от Offensive Security — OSWP. Ну а поскольку я уже кое-что понимал в том, как ломается вай-фай, то экзамен я сдал за 29 минут. И всё же нельзя сказать, что сертификация оказалась для меня бесполезной.

Читать далее Offensive Security Wireless Professional

CoLaboratory: Industrial Cybersecurity Meetup #3

Только что вернулся со встречи Industrial Cybersecurity Meetup #3, организованной Лабораторией Касперского. Доводилось смотреть их доклады в записи, вживую присутствовал впервые. Коротко поделюсь впечатлениями.

Читать далее CoLaboratory: Industrial Cybersecurity Meetup #3

Positive Hack Days VII

Итак, как я и писал в посте о первом дне PHD7, в этом году впервые посетил конференцию в качестве представителя offensive security. Однозначно могу сказать: приезжать на конфу со своей командой гораздо веселее. Гораздо.

Читать далее Positive Hack Days VII

infinitesuns@amonitoring:~$

It’s been a loooooooooooooooong time…

Да, я давным-давно тут не появлялся. На то есть причины. Перед ZeroNights 2016 я инициировал процесс перехода на светлую сторону силы (фу, забитый штамп!). Короче говоря, решил покинуть стройные ряды банковских инженеров по безопасности. И я считаю, что всё прошло более чем хорошо.

Новая команда — ЗАО «Перспективный мониторинг». Новая должность — исследователь (ресёрчер, говоря по-простому). Команда ПМ вызывает огромную симпатию, надеюсь, вскоре я стану полноценной её частью. Впереди интересные проекты и бесценный практический опыт.

Смена места работы — новый повод для дисклеймера. Итак, дисклеймер: моё мнение может не совпадать с мнением редакции ЗАО ПМ. На страницах данного ресурса я высказываю только свои персональные мысли и компания не имеет к этому отношения. А если вдруг будет иметь — я упомяну об этом в особом порядке.

Что касается работы в Банке России — там я приобрёл категорически важный опыт нахождения «внутри периметра» и встретил замечательных людей. Я думаю, что проведённые там год и семь месяцев пойдут на пользу при пентестах.

Вскоре посты начнут появляться в штатном режиме.

Еду на ZeroNights 2016

В последнее время ничего не постил. Это потому что слегка отошёл от ИБ в пользу другой деятельности. Пришло время возвращаться и сразу на  ZN2016.

Не хочется много писать, в этом году ожидаю всё те же хардкорные доклады, только теперь больше активностей. Судя по анонсам, их будет намного больше, чем в прошлом году.

Что касается блога, на очереди обещанная запись о реверсе андроид-вредоносов. Материалы собраны, статья, скорее всего, будет в двух частях. Начну над ней работать сразу после ZN. Вот, собственно, и всё.

Финальный апдейт по стажировке Positive Technologies

Со времён предыдущего апдейта прошли следующие вебинары:

  • SSRF и HTTP Response Splitting;
  • Основы Reverse Engineering;
  • Computer Forensics, хотя я бы назвал его Incident Response;
  • OSINT и социальная инженерия.

Все эти вебинары объединяет то, что они очень интересные и к ним не прилагалось никакого практического задания, так что не будем заострять на них внимание. Главная тема — итоговый квест, который завершил всю стажировку.

Читать далее Финальный апдейт по стажировке Positive Technologies

Шестой апдейт по стажировке Positive Technologies

На шестом вебинаре нас познакомили с довольно громкой и весьма крутой атакой под названием XML External Entity или кратко — XXE. Признаться, до вебинара я так и не успел на практике ознакомиться с атакой даже в совсем уж сферических лабораторных условиях, тем интереснее было ковыряться. Суть атаки подробно расписывать не стану, ознакомиться можно на сайте OWASP. В самой простой форме выглядит так:

Читать далее Шестой апдейт по стажировке Positive Technologies

Пятый апдейт по стажировке Positive Technologies

Пятый вебинар был посвящён уязвимостям в бизнес-логике приложений. На вебинаре всех посвятили в «Секту Свидетелей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации«.

Читать далее Пятый апдейт по стажировке Positive Technologies

Четвёртый апдейт по стажировке Positive Technologies

Четвёртый вебинар, посвящённый уязвимостям мобильных приложений, был категорически интересным. Но интереснее вебинара было домашнее задание, которого пришлось ждать больше двух недель, но оно того стоило. Впрочем, обо всём по порядку.

Читать далее Четвёртый апдейт по стажировке Positive Technologies

Третий апдейт по стажировке Positive Technologies

Время очередного апдейта по стажировке. Третий блок был посвящён атакам на стороне клиента. Лекция содержала в себе брифинг по XSS, CSRF и прочим Session Fixation, которыми обычно атакуют клиентов веб-приложений.

Читать далее Третий апдейт по стажировке Positive Technologies