Веб-безопасность: исследования экспертов Positive Technologies вновь в топ-10 международного рейтинга

Работы экспертов Positive Technologies второй год подряд занимают высокие места в рейтинг-листе «Top 10 Web Hacking Techniques». Голосование, посвященное наиболее значимым техникам анализа веб-уязвимостей, проводится с 2006 года.

В 2012 году методика, описанная в статье «Случайные числа. Take Two» Дмитрия Нагибина, Арсения Реутова и Тимура Юнусова, заняла четвертое место, а сейчас в топ-10 вошло исследование «XML Out of Band Data Retrieval» Алексея Осипова и все того же Тимура Юнусова. Впоследствии эта техника, впервые представленная на конференции Black Hat Europe весной 2013 года и получившая развитие под названием XXE OOB, помогла обнаружить и устранить уязвимости, связанные со сценариями атак нового типа, в программах Microsoft Office, продуктах Oracle и компонентах SCADA-систем Siemens. Ошибки безопасности данного типа были выявлены даже в ModSecurity — популярном межсетевом экране с открытым исходным кодом, предназначенном для защиты веб-приложений.

Расширенный список наиболее интересных методов обнаружения и использования веб-уязвимостей за истекший год составляется известным специалистом в области информационной безопасности и техническим директором компании WhiteHat Security Джереми Гроссманом (он же знаменитый в прошлом хакер по кличке MafiaBoy) в сотрудничестве с авторитетным жюри. В список попадают только самые оригинальные и свежие подходы к реализации атак на веб-приложения.

Напомним, что эксперты Positive Technologies активно участвуют в подготовке международного форума по практической безопасности Positive Hack Days IV, на котором будет продемонстрирован целый ряд новых исследований как в области безопасности веб-приложений, так и по другим актуальным направлениям, от защиты АСУ ТП (SCADA) до методов и средств обеспечения физической безопасности.

Форум состоится 21 и 22 мая в московском техноцентре Digital October. Все способы попасть в число его участников перечислены на сайте мероприятия. Исследователям, желающим представить на PHDays IV свою работу, необходимо поторопиться: прием заявок заканчивается 31 марта.