В преддверии Дня Дурака (1 апреля), когда вроде бы ничто не предвещало беды, мировые новости забили тревогу глобального масштаба.
Хактивисты движения Anonymous в рамках акции «Глобальное отключение» обещают 31 марта предпринять распределённую атаку на 13 корневых DNS-серверов, что приведет к тому, что пропадет возможность поиска доменных имен в Интернете по всему миру.
В общем-то такая простая, но эффективная защита основана на том предположении, что программисты того или иного софта достаточно адекватно оценивают необходимость шелл-вызовов непосредственно через веб-сервер и зачастую отказываются от такого не самого лучшего способа интерактива с операционной системой.
Практика показывает, что подобные операции часто или избегают или выносят их в задачи cron. А последние, как правило, запускаются через CLI (например, "/usr/bin/php /path/to/cron.php").
Следовательно, нужно отключить шелл-вызовы именно для веб-сервера, оставив их для CLI.
Ругаюсь с МТС. Творится кромешный ад, о котором я просто не могу молчать.
История:
Был у меня федеральный номер. И была на нем подключена услуга Автоплатеж с банковской карты. И все было хорошо.
Но потребовался мне городской номер и безлимитный тариф. И пошел я в МТС. И сказали мне что мне нужно расторгнуть старый договор и заключить новый с новым номером и новым тарифом. И обещали мне перенести баланс на новый договор. Я написал нужные заявления и получил новую сим-карту.
Старый договор заметьте я расторг. Вход в личный кабинет по нему был немедленно заблокирован. Сим-карту у меня любезно отобрали и выкинули за меня.
Читать полностью »
Никто не застрахован от утери мобильного устройства, которое ценно не только собственной стоимостью, но и содержащейся на нём информацией.
В этой статье я опишу функционал программы, которой я пользуюсь вот уже год на двух своих устройствах на базе ОС Android.
Поводом к написанию данной статьи стал комментарий читателя Kapustos в статье Сотрудники Symantec потеряли 50 мобильников. Не находили?. Он просил посоветовать софт, функционал которого схож с описанным в статье. Подробности под хабракатом.
Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.
Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:
Привет! Сегодня процессе разработки системы авторизации для своего проекта передо мной встал выбор — в каком виде хранить пароли пользователей в базе данных? В голову приходит множество вариантов. Самые очевидные:
Многие сталкивались с таким явлением как DDoS атака методом HTTP флуда. Нет, это не очередной туториал по настройке nginx, хочу представить свой модуль, работающий как быстрый фильтр между ботами и бэкэндом во время L7 DDoS атаки и позволяющий отсеивать мусорные запросы.Читать полностью »
Рано утром Хабр «выкатил» своё новое обновление, и я с чистой совестью достаю эту статью из черновиков.
Вчера у меня случился epic fail и этот топик частично, включая строчку об апдейте выше, попал в паблик на пару секунд. За эти секунды топик успело плюсануть несколько человек.
Ещё раз, теперь публично, прошу прощения у администрации!
Совет остальным — НИКОГДА не храните в черновиках информацию вроде этой.
В последнее время в сети Интернет можно найти очень много пособий для «Начинающих хакеров», в которых подробно описываются все основные методы взлома сайтов. Думаете, веб-разработчики стали от этого умнее и предприняли все возможные методы для защиты? Я так не думаю.
В настоящей статье я хочу ещё раз поведать разработчикам о том, как ломают сайты, а чтобы вам не было скучно, я попутно буду ломать Хабр и подробно описывать, как я это делал. Мы рассмотрим такие интересные штучки, как «Активная XSS в профиле», «Бесконечное обнуление кармы», «Публикация топиков со значком 'Из песочницы'», «CSRF через Flash и дыру в Internet Explorer 6» и многое другое.
Все уязвимости уже исправлены. Ну или почти все. Поэтому, если вы найдёте очередную дыру, то пишите на support@habrahabr.ru — миф о том, что эту почту никто не читает всего лишь миф.
Читать полностью »
Сервер IIS 7 и предыдущие версии содержали встроенную функциональность, которая позволяла администраторам разрешить или запретить доступ к серверу для определенных IP-адресов (или их диапазонов). Когда IP-адрес блокировался, любой HTTP-клиент с таким IP получал в ответ на запрос к серверу HTTP-ошибку "403.6 Forbidden". Этот функционал позволял администраторам настроить доступ к их серверу на основе активности, которую они могли проанализировать по логам сервера. Тем не менее, это был ручной процесс. Даже при том, что управление функциями могло настраиваться через скрипты для определения подозрительных пользователей с помощью анализа логов утилитами типа Microsoft's LogParser, все равно требовалось много ручной работы.
В IIS 8 встроенная функциональность была расширена для того, чтобы предложить следующие функции:
Совсем забыли: а в этот самый момент и до 25 марта включительно у нас проходит конкурс эссе на тему «Технологии спасения». Призы для победителей, как всегда, предоставлены компанией ASUS:
— ноутубк ASUS N53SM,
— электронная книга ASUS Eee Reader DR900,
— мультимедиа-плеер ASUS O!Play MINI.
Помимо трёх победителей мы выберем ещё 7 работ, авторы которых получат фирменные сувениры Trendclub.
А теперь подробнее о «технологиях спасения».
