Рубрика «уязвимости» - 27

в 8:26, , рубрики: openssl, информационная безопасность, уязвимости

Команда разработчиков OpenSSL выпустила Security Advisory, в котором рассказывается о 9 новых уязвимостях в OpenSSL, и настоятельно рекомендуют обновляться:

  • Пользователям OpenSSL 0.9.8 до версии 0.9.8zb
  • Пользователям OpenSSL 1.0.0 до версии 1.0.0n
  • Пользователям OpenSSL 1.0.1 до версии 1.0.1i

Исправленные уязвимости:

  • Information leak in pretty printing functions (CVE-2014-3508) — приводит к утечке информации из стека при использовании функций «красивого» вывода.
  • Crash with SRP ciphersuite in Server Hello message (CVE-2014-5139) — приводит к падению клиента (из-за null pointer dereference), если сервер будет использовать SRP ciphersuite.
  • Читать полностью »

в 17:14, , рубрики: 0day, Heartbleed, open source, анб, информационная безопасность, уязвимости

EFF подал в суд на АНБ за неразглашение 0day уязвимостейФонд электронных рубежей (EFF) подал иск против Агентства национальной безопасности США.

EFF требует, в соответствии с Законом о свободе информации, опубликовать документы с описанием правил, которыми руководствуется правительство в принятии решений о рассекречивании информации о компьютерных уязвимостей.

Вполне вероятно, что иск будет удовлетворён, поскольку в точности соответствует параграфу 552 Закона о свободе информации, в части «общественной важности» рассекречиваемой информации. В этом случае он станет первым шагом в подготовке процесса публичного обсуждения деятельности АНБ.

Агентство ранее уже косвенно дало понять, что при определённых условиях не разглашает информацию о 0day-уязвимостях, используя их для сбора разведданных в целях национальной безопасности.
Читать полностью »

в 9:22, , рубрики: безопасность, информационная безопасность, персональные данные, уязвимости, метки: , ,

Как программисту, принимавшему участие в разработке платежных систем, мне неоднократно приходилось анализировать на наличие уязвимостей различные платежные сервисы, хранящие персональные данные клиентов и я постоянно сталкиваюсь с одной очень распространенной проблемой. Имя этой проблеме — инкрементальные айдишники.

Пример №1.
Сайт крупнейшего агрегатора платежных методов в России, обслуживает лидера онлайн-игр. После оплаты заказа переадресовывает клиента на урл вида http://aggregator-domain/ok.php?payment_id=123456, который в свою очередь переадресовывает на сайт онлайн-игры с адресом вида (декодировал для читабельности) https://online-game-domain/shop/?...amount=32.86...&currency=RUB...&user=user_email@gmail.com...&item_name=1 день премиум аккаунта...
Перебирая значения параметра payment_id, мы можем видеть логины юзеров в онлайн-игре, покупки, которые они совершали, их сумму.
Эти чертовы инкрементальные айдишники
Читать полностью »

в 3:12, , рубрики: ccs, openssl, безопасность, информационная безопасность, Серверное администрирование, Сетевые технологии, уязвимости
Уязвимость OpenSSL CCS

Ингве Петтерсен продолжает изучать проблемы уязвимостей и тестировать веб-серверы на вопрос незакрытых брешей.

На прошлой неделе появились сообщения о новой уязвимости в OpenSSL, которой были подвержены все версии библиотеки. Эта новая уязвимость, часто называемая уязвимостью CCS, относится к типу MITM (Man In The Middle) и позволяет атакующему «подслушать» или изменить данные, пересылаемые между клиентом и сервером, обманывая обе стороны — клиент и сервер, чтобы установить соединение между ними с использованием предсказуемых ключей шифрования.
Читать полностью »

в 12:45, , рубрики: Google, xss, браузеры, игра, информационная безопасность, уязвимости, метки: , , ,

Google представил игру, заключающуюся в поиске xss-уязвимостей, c целью распространения информации об этом наиболее опасном и распространенном типе уязвимости. Google очень серьезно относится к обнаружению уязвимостей, что платит до $7500 за серьезные xss.

XSS game от Google

Читать полностью »

в 12:00, , рубрики: mail.ru, Блог компании Mail.Ru Group, информационная безопасность, уязвимости, метки: ,

Месяц поиска уязвимостей: как мы к нему готовились и как его пережили

21 апреля совместно с Hacker One мы запустили программу поиска уязвимостей. 20 мая завершился конкурс, ставший первым шагом этой программы. Сегодня мы хотим рассказать, как мы укрепляли нашу оборону, готовясь к конкурсу, как исследователи искали в ней бреши и что они помогли нам найти.
Читать полностью »

в 5:33, , рубрики: Heartbleed, безопасность, информационная безопасность, Серверное администрирование, Сетевые технологии, уязвимости
Статус «Кровоточащего сердца»: обновление до «Разбитого»

Для сведения: Во многих упоминаниях данной статьи авторы ошибочно называют меня сотрудником Opera Software. На самом деле я ушёл из Opera больше года назад и сегодня работаю в новой компании — Vivaldi Technologies AS

Предыстория

Как я уже рассказывал в моей предыдущей статье, несколько недель назад в библиотеке OpenSSL была обнаружена уязвимость (CVE-2014-0160), получившая громкое название "Heartbleed". Данная уязвимость позволяла злоумышленникам добывать такую важную информацию, как, например, пользовательские пароли или закрытые ключи шифрования сайтов, проникая на уязвимые «защищённые» веб-серверы (поясняющий комикс).

В результате, все затронутые данной напастью веб-сайты должны были пропатчить свои серверы, а также выполнить другие действия, чтобы обезопасить своих пользователей. Стоит отметить, что уровень опасности значительно возрос после того, как информация об уязвимости разлетелась по сети (было зафиксировано несколько серьёзных происшествий и как минимум один человек, пытавшийся использовать Heartbleed в корыстных целях, оказался под арестом).
Читать полностью »

в 6:50, , рубрики: bug bounty, Блог компании BugHunt, информационная безопасность, уязвимости, метки: , ,
Привет!

BugHunt – это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.
Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.
Читать полностью »

в 19:04, , рубрики: Heartbleed, openssl, анб, банковские карты, безопасность, информационная безопасность, паранойя, платежный шлюз, уязвимости, шапочка из фольги, метки: , , , , , , , ,

imageМногие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.Читать полностью »

в 1:29, , рубрики: Heartbleed, Агентство национальной безопасности, информационная безопасность, уязвимости

В АНБ знали о уязвимости Heartbleed два года назадАгентству национальной безопасности было известно о уязвимости, которая недавно получила название Heartbleed, на протяжении как минимум двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации. Это стало известно от двух неназываемых источников.

Тем не менее, представители АНБ в ответ на публикацию этих данных заявили, что баг CVE-2014-0160 стал известен экспертам агентства лишь после массового распространения информации о нём в СМИ. Heartbleed — пожалуй, наиболее опасная уязвимость в истории Интернета, ей были затронуты основы безопасности приблизительно двух третей всех веб-сайтов.

С помощью этой узявимости злоумышленник может получить доступ к областям оперативной памяти целевого сервера, что даёт ему возможность украсть пароли пользователей и приватные ключи. Брюс Шнайер, эксперт по информационной безопасности, оценил степень опасности уязвимости по десятибалльной шкале в 11 баллов. Разработчик, допустивший ошибку и ставший автором этой уязвимости, утверждает, что сделал это по невнимательности.
Читать полностью »

1...1020...262728...30...32
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js