Метка «уязвимости» - 2

в 13:01, , рубрики: Google, Google API, Блог компании Positive Technologies, информационная безопасность, уязвимости, метки: , ,

История 1. О маленьком Content Type, который смог

Уязвимость была в сервисе под названием Feedburner. Сначала я создал фид и попробовал в него внедрить вредоносный код. Но на странице не появлялись внедренные данные — только безобидные ссылки. После нескольких безуспешных попыток я обнаружил множество сообщений на странице PodMedic. PodMedic просматривает каждую ссылку в фиде. Если была обнаружена проблема при создании вложения, PodMedic сообщает причину. В сообщениях говорилось, что ссылки некорректны: сервер отдает неправильный Content Type.

image

Хм. Хорошо. Бьюсь об заклад, что Content Type на этой странице не фильтруется. Простой скрипт для сервера:

<?php header('Content-Type: text/<img src=z onerror=alert(document.domain)>; charset=UTF-8'); ?>

И мы получили то, что хотели:Читать полностью »

в 8:38, , рубрики: информационная безопасность, Компиляторы, Программирование, уязвимости, метки: , ,

В своей прошлой статье «Теория «Черного лебедя» и фундаментальная уязвимость автоматизированных систем» я описал программные закладки добавляемые в программы с открытым исходным кодом бинарной версией компилятора, при этом новые версии компилятора скомпилированные этим компилятором также будут создаваться с закладками.

В этой статье я предложил эталонное решение и несколько рекомендаций по снижению вероятности реализации данной угрозы.
Читать полностью »

в 9:19, , рубрики: информационная безопасность, Программирование, уязвимости, функциональное программирование, метки: , ,

Существует актуальная фундаментальная уязвимость в любой программном средстве написанном на компилируемых языках.

Теория «Черного лебедя»

Автор теории Нассим Николас Талеб, описавший ее своей книге «Чёрный лебедь. Под знаком непредсказуемости». Теория рассматривает труднопрогнозируемые и редкие события, которые несут за собой значительные последствия. Процессы реального мира не возможно описать с точки зрение одной лишь математики, и в доказательство этому рассмотрим один простой пример.
Читать полностью »

в 8:11, , рубрики: cross-site request forgery, cross-site scripting, Блог компании Positive Technologies, веб-приложения, информационная безопасность, уязвимости, метки: , , , , , ,

Веб-приложения давно стали неотъемлемой частью корпоративной информационной системы любой современной организации вне зависимости от рода ее деятельности. Собственные веб-ресурсы создают не только коммерческие компании, но и государственные учреждения, которые развивают веб-сервисы для предоставления онлайн-услуг.

Несмотря на все преимущества веб-приложений, уязвимости в них являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы. Это подтверждается статистическими исследованиями, которые ежегодно проводятся экспертами Positive Technologies.

Предметом исследования стали 67 ресурсов крупнейших российских организаций государственной и промышленной отраслей, сферы телекоммуникаций и IT (банковским системам посвящена отдельная работа).Читать полностью »

в 6:36, , рубрики: Блог компании Positive Technologies, дбо, информационная безопасность, уязвимости, Финансы для всех, метки: ,

Под ударом. Системы ДБОБанк сегодня это не только место для хранения денег, куда можно прийти со сберкнижкой. Банковский бизнес уже давно является высокотехнологичной отраслью, для нормального функционирования которой необходимо огромное количество оборудования и программного обеспечения. Поменялось и отношение клиентов к банку: с проникновением Интернета в нашу обычную жизнь все больше людей не хотят тратить время на простаивание в очередях и предпочитают совершать операции онлайн. Удовлетворить этот спрос призваны системы дистанционного банковского обслуживания.

Интерес к безопасности подобных систем понятен, и банки, казалось бы, работают в этом направлении, используют всевозможные средства защиты (шифрование, электронную цифровую подпись и т. п.). Но как на самом деле обстоит дело с безопасностью систем ДБО? Эксперты Positive Technologies провели собственное исследование. Результаты под катом.Читать полностью »

в 13:41, , рубрики: Блог компании Positive Technologies, информационная безопасность, подписка, уязвимости, метки: , ,

SecurityLab.ru запускает службу оперативного уведомления об уязвимостяхПортал SecurityLab.ru анонсирует запуск функционала подписки на уязвимости.

Теперь все желающие могут подписаться на рассылку и оперативно получать уведомления об уязвимостях по интересующим их продуктам. Cервис является абсолютно бесплатным, в отличие от других аналогичных услуг, предоставляемых различными компаниями.

Выбрать ПО из списка можно на странице по ссылке: http://www.securitylab.ru/subscribe/vulnerability/Читать полностью »

в 16:13, , рубрики: админы, безопасность, графики, информационная безопасность, менеджеры, общение, теги никто не читает, уязвимости, метки: , , , , , ,
Этот топик будет посвящен:

  • в большей мере статистике встречаемости уязвимостей
  • реакции администрации(скорости и адекватности)
  • опасности

и всяческим другим факторам. Будут приведены примеры.

Читать полностью »

в 15:23, , рубрики: python, Алгоритмы, безопасность, информационная безопасность, сайты, сканеры, уязвимости, метки: , , , ,

Время было вечером, делать было нечего… Было решено удивить читателей. Но как? Банальные поиски уязвимостей на известных сайтах уже никому не интересны. Чтож, значит включим фантазию… Ведь у пользователей тоже есть сайты! Срочно проверить их на стойкость!
Читать полностью »

в 11:24, , рубрики: Блог компании Цифровое оружие и защита, вредоносный код, информационная безопасность, патч-менеджмент, уязвимости, эксплойты, метки: , , ,

Сводка

За прошедшую неделю опубликована информация о закрытии ряда уязвимостей. Наиболее оперативное обновление требуется для продуктов Microsoft и Adobe.

В числе наиболее критичных уязвимостей – удалённое выполнение произвольного кода в Microsoft Internet Explorer версий с 6 по 10, Microsoft .NET Framework с 2 по 4.5, Silverlight 5, а также Adobe ColdFusion 10 и Adobe Flash Player; повышение привилегий в Microsoft Windows и Windows Defender
Читать полностью »

в 17:43, , рубрики: microsoft, информационная безопасность, уязвимости, метки: ,

Microsoft начинает выплачивать вознаграждения за найденные в своих продуктах баги

В прошлом месяце корпорация Microsoft объявила о старте программы обмена информации о багах в продуктах компании на деньги. Пока что речь идет, в основном, о багах в Internet Explorer 11, предварительной версии браузера. Уже объявлен первый победитель программы выплат, которым стал Инван Фратрич.

Читать полностью »

123...5
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js