Positive Research повысил эффективность Web Application Firewall

23 июня компания Trustwave, разработчик Web Application Firewall ModSecurity организовала открытое тестирование эффективности защиты веб-приложений. В рамках SQL Injection Challenge было предложено легально обойти механизмы ModSecurity, блокирующие атаки типа SQL Injection.

Инициатива «ModSecurity SQL Injection Challenge» привлекла внимание множества исследователей. Участие в тестировании приняли и эксперты инновационного подразделения компании Positive Technologies – исследовательского центра Positive Research.

Безопасность ServiceDesk или пентесты на скорость

При проведении тестирований на проникновение эксперты компании Positive Technologies часто сталкиваются с веб-based решениями уровня Enterprise, расположенными как внутри корпоративной сети, так и на ее периметре. Примером подобных систем могут быть приложения типа ServiceDesk, ERP, биллинг и пр. Тенденция «все через 80й порт» зачастую приводит к тому, что в Интернет публикуются приложения, разработанные для внутренних сетей и слабо готовые к выживанию в агрессивной среде Всемирной Паутины.

Сегодня мы заострим внимание на приложении поддержки пользователей ManageEngine ServiceDesk, которая впервые попала в поле зрения позитивной команды пентестеров в ноябре 2010 года при проведении работ по оценке защищенности для одной крупной организации.