Рубрика «уязвимости» - 31

в 10:27, , рубрики: each, php, private, ошибки, уязвимости, метки: , , , ,

Никогда не понимал зачем в PHP функция each. Ведь есть foreach…
Но сегодня у меня «сломался» один участок кода, который жил шесть лет.
Там была конструкция с использованием each.
ошибка была исправлена секунд за 30 — давно думал исправить это все на foreach, но оставлял в качестве напоминания о том, какой индокод у меня был в свое время. Но просто исправить и пройти мимо я не мог.
Итак each против ООП:
1 — each игнорирует области видимости и спокойно выводит private свойства.Читать полностью »

в 7:52, , рубрики: capture the flag, sha1, Алгоритмы, информационная безопасность, уязвимости, хэширование, метки: , , , ,

Когда на хабре был опубликован пост о том, что компания Stripe проводит конкурс Capture the Flag, я незамедлительно зарегистрировался как участник.

Каждый из девяти уровней представлял собой задачу по взлому системы и получению пароля к следующему уровню. Пароли могли храниться как в базах и файлах, так и в памяти. К слову, весь код был открыт, поэтому задачи сводились к анализу кода на уязвимости, тыкаться вслепую не нужно было.

Уровни с 0-го по 6-й не представляли особого труда — стандартные SQL- и JavaScript-инъекции, загрузка на сервер PHP-скрипта вместо картинки и т.п.

А вот 7-й уровень заставить меня поломать голову…
Читать полностью »

в 5:10, , рубрики: internet explorer, браузеры, Вирусы (и антивирусы), информационная безопасность, Новости, уязвимости, уязвимость

Взломщики обнаружили и используют новую уязвимость в Internet Explorer, специалисты по компьютерной безопасности рекомендуют прекратить использование IE до тех пор, пока Microsoft не выпустит исправление.Читать полностью »

в 16:57, , рубрики: xss, билайн, информационная безопасность, Мегафон, МТС, сколково, Телекомы, уязвимости, метки: , , , , , ,

Вступление

Некоторое время назад мне на глаза попалась обычная xss на сайте МТС.
Моему удивлению не было предела, как разработчики такой компании могли допустить такую банальную ошибку?!
Пару дней назад, вспоминая ту xss, было решено провести поиск уязвимостей на сайтах большой тройки.
Тогда я понял, что это были цветочки.

Кому интересно, что из этого вышло, прошу под кат.
Читать полностью »

в 0:31, , рубрики: xss, атаки, безопасность веб-приложений, Веб-разработка, информационная безопасность, уязвимости, метки: , , , ,

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.Читать полностью »

в 5:25, , рубрики: best practices, php, загрузка файлов, информационная безопасность, уязвимости, метки: , ,

Один французский «исследователь безопасности» этим летом опубликовал невиданно много найденных им уязвимостей типа arbitrary file upload в разных «написанных на коленке», но популярных CMS и плагинах к ним. Удивительно, как беспечны бывают создатели и администраторы небольших форумов, блогов и интернет-магазинчиков. Как правило, в каталоге, куда загружаются аватары, резюме, смайлики и прочие ресурсы, которые пользователь может загружать на сайт — разрешено выполнение кода PHP; а значит, загрузка PHP-скрипта под видом картинки позволит злоумышленнику выполнять на сервере произвольный код.

Выполнение кода с правами apache — это, конечно, не полный контроль над сервером, но не стоит недооценивать открывающиеся злоумышленнику возможности: он получает полный доступ ко всем скриптам и конфигурационным файлам сайта и через них — к используемым БД; он может рассылать от вашего имени спам, захостить у вас какой-нибудь незаконный контент, тем подставив вас под абузы; может, найдя параметры привязки к платёжной системе, отрефандить все заказы и оставить вас без дохода за весь последний месяц. Обидно, правда?

Читать полностью »

в 10:49, , рубрики: wi-fi, безопасность, беспроводные сети, Беспроводные технологии, информационная безопасность, Сетевые технологии, уязвимости, метки: , , ,

В одном из смежных топиков зашел разговор о безопасности беспроводного шифрования, и, в частности, дурацкой «уязвимости» Hole196. Когда-то я писал по этому поводу здесь. Рекомендую к прочтению, кому интересно.
Читать полностью »

в 18:06, , рубрики: Вирусы (и антивирусы), информационная безопасность, Песочница, системное программирование, уязвимости, метки: ,

Родители лучше всего знают что можно делать их ребенку, а чего нельзя. Так и программист конкретной программы знает лучше других, какие действия должна выполнять программа, а какие нет. Но не всё так хорошо как хотелось бы. Вредоносные программы частенько вмешиваются в работу других программа. Последствия от эксплуатации уязвимостей в сетевых программах вообще не предсказуемы. Всё это так или иначе нарушает информационную безопасность не только на предприятиях, но и на компьютерах рядовых пользователей.

А как было бы хорошо, если бы программа сама знала какие действия ей не нужны и на всякий случай отключала их.

Читать полностью »

в 15:43, , рубрики: IPMI, Блог компании GlobaTel (ООО «Глобальные Телекоммуникации»), взлом сервера, информационная безопасность, Телекомы, уязвимости, метки: , ,

Приветствуем вас уважаемые Хабровчане!

Мы команда GlobaTel отныне будем стараться радовать вас информативными статьями в области хостинга и Дата-Центров, а так же иногда публиковать наши достижения сугубо с технической точки зрения.

IPMI — уязвимость позволяющая перезагружать сервер

Сегодня мне хотелось бы начать с простой но очень важной статьи о том, как мы наткнулись на вопиющую дыру в IPMI.

Читать полностью »

в 15:43, , рубрики: IPMI, Блог компании GlobaTel (ООО «Глобальные Телекоммуникации»), взлом сервера, информационная безопасность, Телекомы, уязвимости, метки: , ,

Приветствуем вас уважаемые Хабровчане!

Мы команда GlobaTel отныне будем стараться радовать вас информативными статьями в области хостинга и Дата-Центров, а так же иногда публиковать наши достижения сугубо с технической точки зрения.

[recovery mode] IPMI — уязвимость позволяющая перезагружать сервер

Сегодня мне хотелось бы начать с простой, но очень важной статьи о том, как мы наткнулись на вопиющую дыру в IPMI.

Читать полностью »

1...1020...303132
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js