В апрельском номере российского и (не побоюсь этого слова) культового журнала «Хакер», посвященного информационной безопасности в самых широких ее сферах применения, опубликована статья «Хакерский распредел» от имени нашего проекта вообще и моего имени в частности.
Важной задачей анализа является изучение составных частей объекта и определение их функций в общей модели. При проведении теста на проникновение или аудита одним из ключевых этапов является сбор информации об объекте исследования с целью последующего анализа и выявления потенциальных брешей в его структуре. По этим причинам в настоящее время инструментам сбора и обработки информации уделяется все больше внимания.
В данном разделе собраны онлайн-утилиты, которые могут оказаться полезными при проведении тестов на проникновение, аудите безопасности различных web-приложений, проверке защищенности собственных ресурсов для обычных пользователей.
Все программное обеспечение предоставлено исключительно в целях законного использования. В противном случае, авторы данных программ не несут ответственности.
Онлайн-сервис WEB CAP разработан одним из ведущих игроков российского рынка информационной безопасности – компанией «Positive Technologies». Продукт построен на базе системы мониторинга информационной безопасности MaxPatrol и позиционируется разработчиками как инструмент, позволяющий провести анализ безопасности компьютера исключительно в браузере без установки дополнительных средств.
Каждый уважающий себя ресурс, посвященный информационной безопасности, должен обзавестись инструментами, помогающими эту самую безопасность строить (кто сказал ломать?).
Не знаю, традиция ли это – размещать онлайн-версии утилит, или потребность, но уверен точно – этими самыми утилитами пользуются. Вот и «Дефек» обзавелся собственным разделом, предназначенным для облегчения жизни администраторам, аудиторам (хакерам?) и конечным пользователям. Перечисление не в порядке приоритета, просто пользователи, как показывает статистика и практика, не так сильно обеспокоены состоянием безопасности своей информации… Эти вопросы обязательно рассмотрим в других материалах, а сейчас я бы хотел перейти к описанию первого сервиса, уже функционирующего в новом разделе «Online-сервисы».
Cookies Sniffer – как можно догадаться из названия, перехватчик кукис-файлов, в которых подавляющее большинство сайтов хранит конфиденциальные данные, например, хешированное значение пароля своего законного владельца. Метод перехвата основан на использовании атаки типа «межсайтовый скриптинг» (cross–site scripting ,также известную как XSS). Не понаслышке знакомые с информационной безопасностью читатели поймут о чем я, остальных прошу ознакомиться со следующей темой на форуме Античат.ру, автор которой прекрасно объясняет новичкам тонкости данного типа атак.
Снифер готов к использованию. По мере поступления предложений от пользователей, буду расширять его функционал.
С Новым 2010 годом! Пусть все Ваши идеи будут реализованы, и количество шагов к цели заметно сократится при увеличении длины шага! Ну Вы поняли, о чем я ;).