Рубрика «уязвимости» - 28

в 5:59, , рубрики: ит-инфраструктура, Сетевые технологии, Социальные сети и сообщества, учетные записи, уязвимости, метки: ,

Заметка демонстрирует хромую ногу интернета. Я в ней рассматриваю несколько моментов, которыми многие люди неосознанно пренебрегают, в чём не отдают себе отчёт. Вследствие ряда таких допущений страдают и те, кто их совершает, и остальные – а с опытом я замечаю, что в этой глупости участвуют все.

Я попробую на примерах показать несколько примитивных вещей, которые не все замечают, и поэтому постоянно строят мосты через рвы, старательно вырытые для охраны личных ценностей.

Какая должна быть авторизация?
Читать полностью »

в 16:39, , рубрики: информационная безопасность, уязвимости, метки:

В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности.
Некоторые компании не будут названы в статье, чтобы не портить «имидж».

Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru, next-one.ru, а также туроператор X, и одна из дочерних организаций Газпрома.

Достаточно давно уже увлекаюсь проведением исследований безопасности разных ресурсов. Большинство из них мне приходилось использовать самому и было интересно узнать в сохранности ли мои данные.
Читать полностью »

в 17:31, , рубрики: memcached, nosql, безопасность веб-приложений, веб-аналитика, информационная безопасность, уязвимости, метки: , ,

How do I authenticate?
You don't!

это цитата из FAQ memcached.

Да, в memcached по умолчанию не предусмотрено системы аутентификации, и администратор сам должен сделать маленький шажок, чтобы закрыть свой сервер от свободного доступа. Например, запустить его на 127.0.0.1, или воспользоваться фаерволом. Сколько же сайтов рунета это сделали?
Читать полностью »

в 12:12, , рубрики: badoo, баду, безопасность, Блог компании Badoo, информационная безопасность, конкурс, уязвимости, метки: , , , , ,

Программа по поиску уязвимостей. Проверь Badoo на прочность! В 2013 году мы проводили конкурс Месяц поиска уязвимостей «Проверь Badoo на прочность!» и остались довольны результатами. Поэтому мы решили перевести разовый конкурс в регулярную программу.
И сегодня, 5 февраля, мы анонсируем старт Программы по поиску уязвимостей.

Основные изменения:

  • Проверять на прочность можно и веб-версию и мобильные приложения.
  • Мы убираем ограничения по времени – теперь найденные уязвимости можно присылать когда угодно.

Где искать уязвимости:

Читать полностью »

в 13:01, , рубрики: Google, Google API, Блог компании Positive Technologies, информационная безопасность, уязвимости, метки: , ,

История 1. О маленьком Content Type, который смог

Уязвимость была в сервисе под названием Feedburner. Сначала я создал фид и попробовал в него внедрить вредоносный код. Но на странице не появлялись внедренные данные — только безобидные ссылки. После нескольких безуспешных попыток я обнаружил множество сообщений на странице PodMedic. PodMedic просматривает каждую ссылку в фиде. Если была обнаружена проблема при создании вложения, PodMedic сообщает причину. В сообщениях говорилось, что ссылки некорректны: сервер отдает неправильный Content Type.

image

Хм. Хорошо. Бьюсь об заклад, что Content Type на этой странице не фильтруется. Простой скрипт для сервера:

<?php header('Content-Type: text/<img src=z onerror=alert(document.domain)>; charset=UTF-8'); ?>

И мы получили то, что хотели:Читать полностью »

в 8:38, , рубрики: информационная безопасность, Компиляторы, Программирование, уязвимости, метки: , ,

В своей прошлой статье «Теория «Черного лебедя» и фундаментальная уязвимость автоматизированных систем» я описал программные закладки добавляемые в программы с открытым исходным кодом бинарной версией компилятора, при этом новые версии компилятора скомпилированные этим компилятором также будут создаваться с закладками.

В этой статье я предложил эталонное решение и несколько рекомендаций по снижению вероятности реализации данной угрозы.
Читать полностью »

в 9:19, , рубрики: информационная безопасность, Программирование, уязвимости, функциональное программирование, метки: , ,

Существует актуальная фундаментальная уязвимость в любой программном средстве написанном на компилируемых языках.

Теория «Черного лебедя»

Автор теории Нассим Николас Талеб, описавший ее своей книге «Чёрный лебедь. Под знаком непредсказуемости». Теория рассматривает труднопрогнозируемые и редкие события, которые несут за собой значительные последствия. Процессы реального мира не возможно описать с точки зрение одной лишь математики, и в доказательство этому рассмотрим один простой пример.
Читать полностью »

в 8:11, , рубрики: cross-site request forgery, cross-site scripting, Блог компании Positive Technologies, веб-приложения, информационная безопасность, уязвимости, метки: , , , , , ,

Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.

Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.

Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).Читать полностью »

в 6:36, , рубрики: Блог компании Positive Technologies, дбо, информационная безопасность, уязвимости, Финансы для всех, метки: ,

Под ударом. Системы ДБОБанк сегодня это не только место для хранения денег, куда можно прийти со сберкнижкой. Банковский бизнес уже давно является высокотехнологичной отраслью, для нормального функционирования которой необходимо огромное количество оборудования и программного обеспечения. Поменялось и отношение клиентов к банку: с проникновением Интернета в нашу обычную жизнь все больше людей не хотят тратить время на простаивание в очередях и предпочитают совершать операции онлайн. Удовлетворить этот спрос призваны системы дистанционного банковского обслуживания.

Интерес к безопасности подобных систем понятен, и банки, казалось бы, работают в этом направлении, используют всевозможные средства защиты (шифрование, электронную цифровую подпись и т. п.). Но как на самом деле обстоит дело с безопасностью систем ДБО? Эксперты Positive Technologies провели собственное исследование. Результаты под катом.Читать полностью »

в 13:41, , рубрики: Блог компании Positive Technologies, информационная безопасность, подписка, уязвимости, метки: , ,

SecurityLab.ru запускает службу оперативного уведомления об уязвимостяхПортал SecurityLab.ru анонсирует запуск функционала подписки на уязвимости.

Теперь все желающие могут подписаться на рассылку и оперативно получать уведомления об уязвимостях по интересующим их продуктам. Cервис является абсолютно бесплатным, в отличие от других аналогичных услуг, предоставляемых различными компаниями.

Выбрать ПО из списка можно на странице по ссылке: http://www.securitylab.ru/subscribe/vulnerability/Читать полностью »

1...1020...272829...32
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js