Приветствую тебя, мой добрый друг!
Пришло время еще одной статьи об уязвимостях, CSRF атаках и секретных агентах!
Скорей же, ныряй под кат!
Метка «csrf»
Оставляем пользователям тайные сообщения и играем в агентов
2014-01-06 в 14:51, admin, рубрики: csrf, Вконтакте, информационная безопасность, Социальные сети и сообщества, метки: csrf, Вконтакте
Картинки с внешних ресурсов — добро или зло?
2013-10-10 в 3:55, admin, рубрики: csrf, http, img, анонимность, безопасность, информационная безопасность, Сетевые технологии, метки: csrf, http, img, анонимность, безопасностьБольшинство многопосещаемых площадок позволяют размещать у себя картинки с внешних ресурсов. Это очень удобная и полезная фича не только для простых пользователей, но и для людей, собирающих информацию о вас.
Вы хотите узнать больше информации о самых действенных методах? Вам интересно, как с помощью маленькой картинки определить разрешение экрана, локальное время и сменить парочку паролей? Добро пожаловать под кат!Читать полностью »
6 XSS на Хабрахабр и методы защиты с последствиями
2013-09-26 в 11:40, admin, рубрики: csrf, xss, Блог компании «Digital Security», информационная безопасность, метки: csrf, xss, хабр 
Как-то мне стало интересно, сколько же стоят корпоративные блоги на Хабрахабре. Я зашел на эту страницу и перешел по ссылке заказать. Автоматом, вместо ожидаемых данных, ввел вектор для тестирования XSS и получил выполнение JS у себя в браузере. Но это не всё так интересно, как методы защиты на Хабре от последствий XSS.
Читать полностью »
Не беспокойтесь по поводу BREACH
2013-08-22 в 11:53, admin, рубрики: BREACH, csrf, HTTPS, php, ИБ, информационная безопасность, переводы, метки: BREACH, csrf, HTTPS, PHP, ИБВо время последней недели на конференции BlackHat общественности был представлен новый тип атаки, направленный на SSL-защищенный контент. Этот тип атаки был назван BREACH (англ. “брешь” прим. перев.), и вызвал целую волну обсуждений в различных сообществах. Технические блоги были забросаны ссылками на сайты со статьями о том, что нет никакой возможности это исправить, и как вы можете попытаться защититься от уязвимости. Многие уважаемые специалисты в ИБ писали об этом.
И я здесь, что бы сказать вам, не беспокойтесь об этом.
Читать полностью »
Конкурс уязвимостей, или Ломай меня полностью!
2013-04-08 в 11:33, admin, рубрики: badoo, Clickjacking, csrf, xss, Блог компании Badoo, информационная безопасность, конкурс, уязвимости, метки: badoo, Clickjacking, csrf, xss, конкурс, уязвимости 
19 марта мы объявили о начале месяца поиска уязвимостей «Проверь Badoo на прочность». Сегодня нам хочется подвести первые итоги и поделиться с вами промежуточными результатами, рассказать, как мы готовились к проверке на прочность, рассмотреть самые интересные уязвимости и сделать «фейспалм».
И для начала немного статистики:
- за первые две недели участники прислали нам почти 500 заявок с потенциальными уязвимостями;
- около 50 заявок оказались дубликатами;
- каждая десятая заявка содержала в себе реальную уязвимость (самые опасные были исправлены в течение нескольких часов);
- Более 150 заявок составили ошибки, не связанные с безопасностью сайта, и около 10% из них относятся к платформам, не участвующим в конкурсе.
- большинство уязвимостей пришлось на самый главный компонент системы ― профиль (как только участники конкурса не издевались над аккаунтами пользователей: удаляли и загружали фотографии, манипулировали комментариями, интересами, личными данными и адресами электронной почты).
- Более половины присланных уязвимостей ― различные CSRF, в основном затрагивающие загруженный или написанный пользователями контент (удаление и загрузка фото и комментариев, работа с чёрным списком, избранным и т.д.).
Дайджест интересных новостей и материалов из мира PHP за последние две недели №11 (12.02.2013 — 25.02.2013)
2013-02-25 в 13:19, admin, рубрики: composer, csrf, mysql, php, yii, Zend Framework, Zend Optimizer, Блог компании Zfort Group, Веб-разработка, дайджест, Новости, подборка, ссылки, метки: composer, csrf, mysql, PHP, yii, zend framework, Zend Optimizer, Веб-разработка, дайджест, новости, подборка, ссылки .png "Дайджест интересных новостей и материалов из мира PHP за последние две недели №11 (12.02.2013 — 25.02.2013)")
Предлагаем вашему вниманию очередную подборку с ссылками на новости и материалы.
Приятного чтения!
Читать полностью »
Как защитить своих пользователей
2012-08-30 в 7:54, admin, рубрики: Clickjacking, csrf, mail.ru group, xss, Блог компании Mail.Ru Group, Блог компании Одноклассники, одноклассники, метки: Clickjacking, csrf, mail.ru group, xss, одноклассники100 миллиардов долларов США – огромная сумма, не правда ли? Именно во столько оценивают мировой рынок интернет-рекламы в 2012 году. Не надо далеко ходить, чтобы понять, кто получит большую часть этих денег. Конечно же, это такие компании, как Google, Facebook, Yahoo! и т.д. Но примерно 20% от этой суммы получат спамеры. Эти огромные деньги привлекают очень хорошо организованный бизнес и талантливых людей.
Контроль над облачной инфраструктурой на раз-два-три
2012-07-10 в 8:27, admin, рубрики: citrix, cross-site request forgery, cross-site scripting, csrf, positive hack days, positive technologies, xenserver, xss, Блог компании Positive Technologies, метки: citrix, cross-site request forgery, cross-site scripting, csrf, positive hack days, positive technologies, xenserver, xss Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.
Читать полностью »
Защита ajax-приложения от Cross Site Request атак (CSRF)
2012-05-28 в 5:33, admin, рубрики: ajax, csrf, jquery, php, token, информационная безопасность, метки: ajax, csrf, jquery, PHP, tokenСовсем недавно у меня появилась задача защитить web-приложение полностью построенное на ajax от CSRF-атак.
Каков же механизм такой атаки? Суть заключается в выполнении запроса с другого сайта под авторизационными данными пользователя. Например, у нас есть действие удаления своего аккаунта example.com/login/dropme. Если защиты от CSRF атаки нет, мы можем на нужном нам сайте разместить тег:
<img src="http://example.com/login/dropme">
Сразу после того как пользователь зайдет на приготовленную нами страницу и подгрузит содержимое img, его аккаунт на example.com будет удален. О защите от этого я расскажу под катом.
CSRF уязвимость в WordPress — комментарии
2012-04-04 в 16:30, admin, рубрики: cms, csrf, wordpress, метки: cms, csrf, wordpressВведение
Читал я вчера про Егора Хомякова. Подумал — может и я так смогу? И начал я со своего блога на WordPress. Адрес приводить не буду, иначе сам блог ляжет от Хабраэффекта, а меня обвинят в рекламе :).
Теория
Итак, где имеет смысл искать CSRF в WordPress? Мне на ум приходит только одно — комментарии. С них я и начал.
Осторожно, под катом две PNG картинки среднего размера. (этика, этика...)
Читать полностью »