Месяц поиска уязвимостей Яндекс завершился победой ONsec

Крупнейшая ИТ-компания России Яндекс провела конкурс под названием "Месяц поиска узявимостей Яндекс". В рамках которого, все желающие могли сообщать о найденных уязвимостях в борьбе за главный приз - $5000.

Сегодня на конференции ZeroNights были подведены итоги этого конкурса. По результатам строгих отборов победителем стал наш эксперт. В состязании, длившимся 30 дней приняли участие 50 конкурсантов, среди которых были как профессиональные компании в области ИБ, так и энтузиасты России и Европы.

Эта победа еще раз доказывает, высочайший уровень экспертизы и качества проводимых нашими экспертами аудитов.

Розыгрыш билетов на конференцию ZeroNights

Предлагаем всем желающим проявить смекалку и выиграть пригласительные билеты на международную конференцию по информационной безопасности ZeroNights.

Для получения билета необходимо найти метод обхода защиты WAF и провести любую из двух самых популярных веб-атак. Получить cookie пользователя, используя межсайтовое выполнение сценариев, или же данные из СУБД, через внедрение операторов. Первые пять участников, продемонстрировавшие успешные вектора атак получат пригласительные билеты.
Список победителей публикуется на странице конкурса в режиме реального времени.

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. На конференции выступят известные эксперты отрасли из России, США, Индии, Сингапура и других стран. Главная цель конференции — распространение информации о новых методах атак, угроз и защиты от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

ONsec сделал Google Chrome безопаснее

Команда исследователей ONsec снова проявила свою изобретательность и профессионализм. Нашим экспертам удалось обнаружить 4 уязвимости популярного браузера, из которых 2 высокого уровня риска, 1 среднего риска и одна низкого риска.

В рамках программы Chromium security reward компания Google выплачивает вознаграждения всем исследователям, обнаружившим уязвимости в браузере Chrome. Суммарная стоимость обнаруженных уязвимостей составила $3000 (по $1000 за каждую из трех опасных уязвимостей).

Имена наших специалистов и компании теперь можно наблюдать в зале славы Google Chrome: http://www.chromium.org/Home/chromium-security/hall-of-fame

Ознакомиться с подробностями можно на страницах официального сайта браузера: Chrome Stable 14, Chrome Stable 13

Поздравляем победителей Realtime WAF hack

Завершился наш конкурс на ежегодной конференции компьютерного искусства Chaos Constructions 2011, прошедшей 27-28 августа в Санкт-Петербурге.

Участникам было предложено побороться за сервер HP, обнаруживая и эксплуатируя различные уязвимости веб-приложений.

Конкурс был доступен всем желающим в свободном доступе в Интернете. Благодаря чему, в нем приняло участие около 200 человек, среди которых были как студенты-энтузиасты, так и эксперты в области информационной безопасности.
Подробная информация и фотографии

Конкурс на Chaos Constructions 2011.

Мы предлагаем всем желающим побороться за сервер HP на ежегодной конференции компьютерного искусства Chaos Constructions 2011, которая пройдет в Санкт-Петербурге 27-28 августа.
Чтобы стать обладателем приза участникам необходимо будет найти уязвимости в веб-приложении и воспользоваться ими (говоря по-русски, просто взломать сервер).
Веб-приложение будет защищено Web Application Firewall, так что придется придумывать методы его обхода. Официальный сайт конференции:
КОНКУРС REALTIME WAF HACK

ONsec на Modsecurity SQLi Challenge.

Компания Trustware, лидер на международном рынке информационной безопасности, объявила конкурс, в рамках которого, исследователям предлагалось провести атаку на веб-приложения, минуя самый популярный Web Application Firewall - ModSecurirty.
Наша команда оказалась второй среди победителей второго уровня конкурса. На настоящий момент, всего 8 исследователей безопасности по всему миру смогли выполнить это задание. Подробности конкурса:
Modsecurity SQLi challenge

Технический семинар на международном форуме PHDays.

Форум Positive Hack Days, прошедший в Москве 19 мая обозначил принципиально новый формат мероприятий в сфере ИБ в России. На мероприятии присутствовали топ-менеджеры в области ИТ, технические специалисты, сотрудники государственных структур, независимые эксперты и хакеры.
В технической секции форуме было представлено 5 семинаров, один из которых провел наш специалист Владимир Воронцов.
Темой семинара стала безопасность современных браузеров.
Акцент в работе был сделан на новые типы уязвимостей, появившиеся за последние полтора года. Были продемонстрированы новые уязвимости, в том числе, уязвимость нулевого дня в браузере Google Chrome последней версии.
Ознакомиться с материалами можно здесь:
PHD2011.ONsec.Security of browsers на английском языке
PHD2011.ONsec.Безопасность браузеров на русском языке
Отметим также, что сил у Владимира хватило еще и выиграть конкурс Too Drunk to Hack, в ходе которого участникам предлагалось искать уязвимости в веб-приложении защищенном WAF за ограниченное время и под крепкие спиртные напитки.

Наш новый партнер - Internal Security

Мы рады объявить о заключении партнерского соглашения с компанией Internal Security. Благодаря этому ONsec и Internal Security могут предложить своим клиентам более глубокую экспертизу в области анализа и оценки защищенности самых сложных веб-проектов.

Опубликована исследовательская работа

Доступна новая статья, касающаяся вопросов безопасности PHP программ в среде Windows. Проведена исследовательская работы и опубликованы новые результаты. Основной упор в работе сделан на выявление причин поведения некоторых символов в именах файлов, впервые наблюдаемого китайскими и итальянскими специалистами. Oddities of PHP file access in Windows(R)
Материал доступен только на английском языке.

Семинары по практической безопасности на ВМиК МГУ

Наши специалисты провели два спецсеминара "Информационная безопасность и сети ЭВМ" на факультете Вычислительной Математики и Кибернетики Московского Государственного Универститета, для студентов и всех желающих. Хочется выразить надежду в будущее поколение специалистов по информационной безопасности и пожелать им творческих успехов. Отдельное спасибо организатору семинаров, Андрею Петухову. С материалами докладов можно ознакомиться по ссылкам:
PHP unserialize (03/11/2010)
XSS vs WAF (11/11/2010)
Мы рассчитываем продолжить хорошее начинание и в будущем также проводить подобные мастер-классы.

Завершено исследование UMI.CMS

Мы завершили полное исследование исходного кода системы управления сайтом UMI.CMS. В первую очередь хочется отметить отличную команду ЮмиСофт, которая активно помогала в исследовании и с пониманием приняла наши замечания по безопасности продукта. Мы надеемся на дальнейшую плодотворную работу совместно со специалистами UMI, и будем проверять систему, ставшую теперь нам знакомой и понятной, перед каждым релизом. Вместе мы сделали UMI.CMS более безопасной, и планируем в скором времени внедрить в нее новые механизмы защиты.

Завершено исследование проекта DamtiBook.com

После тщательного анализа, нагрузочных тестов и других испытаний, проект наконец запущен. Мы немало трудились чтобы сделать его безопасным и надежным. Мы посмотрели на проект глазами хакеров, располагая только тем, чтобы доступно из Интернета. После такого анализа уже глазами разработчиков, в полевых условиях, провели полное исследование исходного кода проекта. Желаем проекту счастливого плавания на просторах всемирной паутины!

Микроблоги наших экспертов:

ONsec: включи безопасность.
Работает на UMI.CMS
Телефон для связи: +7 499 39 05 sec
Почта: manager@onsec.ru