Рубрика «csrf» - 2

в 8:07, , рубрики: csrf, hackquest, injection, neoquest, neoquest2016, sparql, telegram, telegram bots, Блог компании НеоБИТ, Занимательные задачки, информационная безопасность

Вам Telegramma: SPARQL-инъекции и CSRF через Telegram-сообщения в задании NeoQUEST-2016 - 1 Уже меньше месяца осталось до «очной ставки» NeoQUEST-2016. Она пройдет в Питере 7 июля, вход традиционно свободный, нужно лишь зарегистрироваться на сайте! Доклады, конкурсы, демонстрации атак, Twitter-викторина — все это (и не только!) ждет гостей мероприятия с 11:00 до 18:00 в КДЦ «Club House».

Тем временем подоспел разбор еще одного задания online-этапа NeoQUEST-2016, и в этот раз поговорим о SPARQL-инъекциях и о CSRF атаках через сообщения Telegram. Задание содержало в себе 3 разных ключа, один ключ получался с помощью SPARQL-инъекции в запросе ID пользователя, второй и третий ключи — с помощью инъекции и CSRF-атаки.
Читать полностью »

в 2:02, , рубрики: csrf, Go, revel, ujs, Веб-разработка, информационная безопасность, метки:

Защищаем Revel от CSRF атак - 1

После того как наигрались с Revel и поняли что это за чудик, пора учиться готовить его к production в части безопасности. Данная заметка вполне может использоваться в любом веб-приложении, но рассказывать буду на примере простого приложения на Revel.
Читать полностью »

в 17:17, , рубрики: csrf, Facebook, Facebook API, информационная безопасность, метки:

image

Все очень просто — если мы можем перелогинить пользователя в свой фейсбук то мы можем присоединить свой фейсбук к аккаунту жертвы на других вебсайтах. Жертва загружает нашу страничку и мы получаем доступ к аккаунту жертвы на Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo и куче других вебсайтов.
Читать полностью »

в 14:06, , рубрики: asus, csrf, wl500g, администрирование локалхоста, домашний роутер, информационная безопасность, Настройка Linux, системное администрирование, уязвимость

В продолжение публикации «Был получен доступ к тысячам персональных данных пользователей «Билайн проводной интернет»».

Как вы уже узнали, в этой небольшой коробочке скрывается довольно много интересного.

Есть такая совершенно очевидная и в то же время сравнительно невинная ошибка, CSRF. Примечательно, что она находится именно в тех роутерах, в которых ничего из недавней статьи нет. Однако, в отличие от тех багов, ее могут эксплуатировать не только ваши соседи, а кто угодно, вроде коварного собеседника в чате или единожды посещенного сайта.

CSRF работает так: каким-либо образом попросить браузер жертвы загрузить сочиненный url, при этом целевой сайт, узнав ваш браузер, что-то сделает, как будто этого хотели вы.

Примерно вот так будет выглядеть адрес от человека, собирающего ботнет для дерзкой icmp-атаки на ya.ru:

у-у-у

http://192.168.1.1/apply.cgi?
current_page=Main_AdmStatus_Content.asp&
next_page=Main_AdmStatus_Content.asp&
next_host=192.168.1.1&
sid_list=FirewallConfig%3B&
group_id=&
modified=0&
action_mode=+Refresh+&
first_time=&
action_script=&
SystemCmd=nohup+ping+ya.ru+%26&
action=Refresh

В конце статьи будет само решение проблемы, тоже ничего

Есть то, что защищает обладателей типичных CSRF-уязвимых роутеров, это с большой вероятностью отсутствующая у жертвы в момент атаки авторизованная сессия, что сводит на нет любой удачно сформированный от ее имени запрос.

А вы знали, что Safari не имеет привычки забывать* один раз введенные данные http аутентификации? Я вот не знал, но уже несколько недель как захожу в веб интерфейс не вводя пароль, хотя никогда не просил его сохранять. И, что удивительно, даже ничего не могу с этим сделать. Иначе говоря, если роутер при логине показывает такое системное окошко с предложением пройти аутентификацию, а у вас Safari, то закончить сессию так просто не получится. На этом месте я осознал необходимость что-то со всем этим сделать.
Читать полностью »

в 22:44, , рубрики: csrf, paypal, Блог компании Web-payment.ru, взлом, информационная безопасность, Тестирование веб-сервисов, уязвимость

PayPal authorization

Инженер из Египта Ясер Али во время исследования работы PayPal обнаружил критическую уязвимость, которая позволила ему полностью обойти используемую сервисом систему защиты от CSRF-атак (межсайтовая подделка запросов). Эту уязвимость он подробно описал в своем блоге, мы перевели и адаптировали пост с описанием уязвимости.

Для успешного проведения атаки такого рода злоумышленнику требуется заставить жертву обманным путем попасть по специально подготовленной ссылке, с помощью которой он сможет создавать запросы от лица жертвы. Атака возможна только если пользователь авторизован на веб-сайте, который подвергается ей.

Пост подготовлен специально для корпоративного блога сайта о платежных системах c мониторингом обменников Web-payment.ru.
Читать полностью »

в 12:07, , рубрики: csrf, Веб-разработка, информационная безопасность

Типичные ошибки при защите сайтов от CSRF атак

В настоящее время в сфере обеспечения безопасности веб-сайтов и приложений возникла очень интересная ситуация: с одной стороны, некоторые разработчики уделяют особое внимание безопасности, с другой, они напрочь забывают о некоторых видах атак и не считают ошибки, позволяющие выполнить данные атаки, уязвимостями. Например, к такой категории можно отнести CSRF (Сross Site Request Forgery). Эта атака позволяет производить различные действия на уязвимом сайте от имени авторизованного пользователя. Если вы не слышали о таком, то я рекомендую прочитать соответствующую статью в Википедии, чтобы иметь общее представление об этом виде атак. Основная часть статьи предназначена тем, кто обеспокоен правильной защитой своих сайтов от CSRF.
Читать полностью »

в 20:09, , рубрики: csrf, openvpn, информационная безопасность, уязвимость

image
Разработчики OpenVPN рекомендуют пользователям, которые используют клиент для рабочего стола, произвести немедленное обновление. Связано это с возможностью осуществления атаки типа CSRF, при помощи которой, злоумышленники могут получить удаленный доступ к компьютеру жертвы.
Читать полностью »

в 14:51, , рубрики: csrf, Вконтакте, информационная безопасность, Социальные сети и сообщества, метки: ,

Приветствую тебя, мой добрый друг!

Пришло время еще одной статьи об уязвимостях, CSRF атаках и секретных агентах!
Скорей же, ныряй под кат!

Оставляем пользователям тайные сообщения и играем в агентов
Читать полностью »

в 3:55, , рубрики: csrf, http, img, анонимность, безопасность, информационная безопасность, Сетевые технологии, метки: , , , ,

Большинство многопосещаемых площадок позволяют размещать у себя картинки с внешних ресурсов. Это очень удобная и полезная фича не только для простых пользователей, но и для людей, собирающих информацию о вас.

Большой брат следит за тобой

Вы хотите узнать больше информации о самых действенных методах? Вам интересно, как с помощью маленькой картинки определить разрешение экрана, локальное время и сменить парочку паролей? Добро пожаловать под кат!Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js