MIT опубликовал исходники проекта Mylar — платформы для создания безопасных приложений, с шифрованием и
поиском по зашифрованным данным.
Читать полностью »
Рубрика «безопасность веб-приложений» - 5
Mylar — Платформа для защищенных веб приложений на базе Meteor.js
2014-03-25 в 15:03, admin, рубрики: javascript, Meteor.JS, безопасность веб-приложений, шифрование, метки: javascript, Meteor.js, node.js, безопасность веб-приложений, шифрование1% всех сайтов рунета держит свой memcached открытым для мира. Немного статистики
2014-02-11 в 17:31, admin, рубрики: memcached, nosql, безопасность веб-приложений, веб-аналитика, информационная безопасность, уязвимости, метки: memcached, безопасность веб-приложений, уязвимости — How do I authenticate?
— You don't!
это цитата из FAQ memcached.
Да, в memcached по умолчанию не предусмотрено системы аутентификации, и администратор сам должен сделать маленький шажок, чтобы закрыть свой сервер от свободного доступа. Например, запустить его на 127.0.0.1, или воспользоваться фаерволом. Сколько же сайтов рунета это сделали?
Читать полностью »
Ясные печеньки
2014-01-27 в 7:58, admin, рубрики: cookies, php, безопасность веб-приложений, информационная безопасность, метки: cookies, PHP, безопасность веб-приложений 
Привет! В свете информации, посвященной безопасности аккаунтов крупных порталов, появившейся в последнее время, я решила немного пересмотреть cookie авторизацию в своих проектах. В первую очередь был допрошен с пристрастием гугл на тему готовых решений. Ничего толкового не нашлось, хотя может статься и так, что я не умею пользоваться поиском. После этого я решила посмотреть, что же вообще пишут про то, как правильно жевать печенье. Моему удивлению не было границ, когда в основной массе оказались статьи из разряда «вредные советы», и то что я читала более 5-и лет назад.
Эта статья — попытка исправить сложившуюся ситуацию.
Читать полностью »
Удаленное выполнение кода на EBay
2013-12-18 в 20:12, admin, рубрики: ebay, безопасность веб-приложений, информационная безопасность, метки: безопасность веб-приложений В мире информационной безопасности пока еще не всё так гладко, как хотелось бы. Примеров этому много, стоит посмотреть последние новости на тематических сайтах, как в голову приходит мысль о том, что, порой даже крупнейшие компании уделяют ИБ недостаточно внимания. В этот раз под прицел попал EBay.
Читать полностью »
Журнал для ученика
2013-09-23 в 13:47, admin, рубрики: безопасность веб-приложений, информационная безопасность, электронный журнал, метки: безопасность веб-приложений, информационная безопасность, электронный журналЧто такое наша с вами информационная безопасность? Как часто вы задаетесь этим вопросом? Что вы делайте для того, чтобы повысить свою защищенность в сети? Попробую ответить — редко и мало. Однако, как показывает практика — пора начинать.
Итак, приступим. Для начала предлагаю читающим захватить чашку кофе, печенек и половину часа свободного времени в наше путешествие по миру ИБ.
Очень много школ в нашей стране уже переведены на электронные системы контроля успеваемости учащихся, а остальные подтягиваются к этой планке, но насколько это хорошо? И стоит ли?
На эти и другие вопросы, на примере одной из таких систем, я попытаюсь вам ответить.
Читать полностью »
МегаИмение — банальная находка или уязвимость Mega.co.nz?
2013-09-03 в 18:24, admin, рубрики: Mega, Mega.co.nz, безопасность, безопасность веб-приложений, информационная безопасность, Ким Дотком, криптография, расследования, скандалоинтриги, метки: Mega, Mega.co.nz, безопасность, безопасность веб-приложений, Ким Дотком, криптография, расследования, скандалоинтриги Итак, я случайно наткнулся на сообщение о новой уязвимости знаменитого сервиса Mega. Поначалу, она показалась мне неинтересной, но, памятуя о том что первой моей публикацией на Хабре был сборник скандалоинтриг и расследований, посвященных этому сервису, я все же решил оперативно подготовить краткий пересказ новостей на эту тему.
Тем более, что ситуация оказалась ощутимо интереснее, чем представлялось на первый взгляд.
Но, обо всем по порядку…
Читать полностью »
Ким Дотком и двухфакторная авторизация
2013-05-23 в 14:51, admin, рубрики: авторизация, безопасность веб-приложений, информационная безопасность, Ким Дотком, патенты, метки: авторизация, безопасность веб-приложений, Ким Дотком, патентыКим Дотком, вероятно, окончательно разочаровался в мире: он решил поиграть в патентного тролля, и намекнул Google, Twitter, Citibank на то, что они нарушают его патент 16-летней давности, касающийся двухфакторной авторизации в аккаунте.
Google, Facebook, Twitter, Citibank, etc. offer Two-Step-Authentication.
Massive IP infringement by U.S. companies. My innovation. My patent
Действительно, патент, на который ссылается Дотком, заявка на который была подана в 1997-м году, и который был выдан в 1998-м, предусматривает в числе прочего последовательность автоматической авторизации в системе посредством ввода в форму дополнительных данных, полученных по дополнительному каналу связи — что, в целом, и составляет суть двухфакторки. Подробнее можно почитать здесь.
Самое забавное — это то, что последовало после изначального заявления: Дотком сначала заявил, что никогда и ни с кем не судился, но поскольку «нарушители» — американские компании, он готов сделать для них исключение, поскольку с ним судятся американские же власти; после этого он внезапно попросил у этих же компаний помощи — мол, «мы все в одной лодке, DMCA мешает нам всем, а меня ещё и посадить пытаются».Читать полностью »
Мониторинг mod_security и MySQL с помощью Splunk
2013-04-27 в 11:11, admin, рубрики: CentOS, mysql, администрирование, безопасность веб-приложений, север, Серверное администрирование, хостинг, метки: CentOS, monitoring, mysql, администрирование, безопасность веб-приложений, север, хостинг Доброе время суток, хаброжители.
Хочу поделиться реализацией мониторинга виртуального сервера, который я поддерживаю.
Операционная система: CentOS 6.3 x64, однако описываемая ситуация подойдет и для других платформ, как *Win так и *nix.
Постановка задачи.
На сервере установлены сервисы: apache2, MySQL, postfix и реализована защита apache на базе mod_security.
Хозяина сервера не устраивает подключение по ssh консолью и чтение логов в текстовом редакторе, кроме того не было наглядности нагрузок на сервер, количества запросов, сложности запросов к серверу. Я предложил Zabbix сервер, но клиент сказал категорический «нет». Ну что-ж, на то он и клиент, чтобы быть всегда правым.
Необходимо максимально быстро отыскивать сложившуюся ситуацию, связанную с безопасностью сервера, и исходя из события принимать меры к устранению проблемы.
Сразу приведу скриншот того, что получилось:
Безопасность приложения: это почти просто
2013-03-19 в 8:09, admin, рубрики: безопасность, безопасность веб-приложений, информационная безопасность, разработка, метки: безопасность, безопасность веб-приложений, разработка 
— Дай мне справку, что моя программа безопасна.
— Нет проблем! А что ты для этого делал?
— Э… Ну… Это… Ничего…
— А почему ты тогда думаешь, что она безопасна?
— Ну, ты проверь!
— Нет проблем! Все удовольствие будет стоить X0000 долларов.
— ?!
О статье
В этой статье я рассказываю о некоторых практиках создания безопасного программного обеспечения.
Первая ее часть посвящена безопасному программированию.
С одной стороны, методы безопасного программирования известны. Накоплен опыт их использования, написано много литературы.
С другой стороны, применяют их не очень часто. Для многих программистов и менеджеров проекта они остаются не очень понятной экзотикой.
Статья, конечно, не претендует на полное освещение этого вопроса. Но пусть это будет маленький шажок в нужном направлении. И, надеюсь, вы убедитесь, что в безопасном программировании нет ничего такого уж необычного.
Во второй части я рассказываю о менее известных аспектах безопасности приложений. Но, в некотором смысле, эти аспекты даже более важны, чем использование методик безопасного программирования.
Внимание! Статья большая и подразумевает внимательное прочтение.
Детектор сайтов, заражающих компьютеры посетителей с помощью вредоносных Java-апплетов
2013-02-27 в 9:59, admin, рубрики: java, безопасность веб-приложений, Вирусы (и антивирусы), яндекс, метки: java, безопасность веб-приложенийКак мы уже рассказывали на VolgaCTF2012, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машина Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий анализатор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки.
Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:
- использование Oracle Java более чем на 3 миллиардах компьютеров;
- кроссплатформенность эксплойтов;
- относительная простота эксплуатации уязвимостей;
- в большинстве случаев Java-плагин включен в браузере.
Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.