Хабрахабр: Коллективные / Блоги / Захабренные Голосов: 10 Адрес блога: http://habrahabr.ru/blog/ Добавлен: 2007-10-24 18:05:40 блограйдером Robin_Bad

Информационная безопасность / [Из песочницы] Множественные CSRF уязвимости в крупнейших порталах Рунета

2011-08-16 14:44:07 (читать в оригинале)

Простите мне заголовок в стиле Securitylab, но факт остается фактом.

Сначала я планировал написать о CSRF уязвимостях, которые я нашел в одном из крупнейших порталов Рунета. Но оказалось, что этим уязвимостям подвержен не только этот портал, а большинство крупнейших ресурсов. О найденных проблемах я сообщил в соответствующие компании полтора месяца назад. Сейчас у меня снова появилось время и я посмотрел, что же уже закрыто. Оказалось, что за полтора месяца была закрыта только 1 уязвимость.

Т.к. уязвимости ещё рабочие, я напишу только где их нашёл и как их можно использовать. Через неделю обещаю выложить работающие примеры для чайников — чтобы воспользоваться смогли школьники и домохозяйки. Кто не спрятался — я не виноват.

Нагнетаю интригу: я искал уязвимости в Яндексе, Рамблере, Mail.ru, Вконтакте, ЖЖ и на других популярных ресурсах. Если не терпится узнать где и какие уязвимости я нашел — сразу переходите к разделу «Список уязвимостей».

Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось). Если вы и так в курсе, что это такое, или же наоборот, не собираетесь в этом разбираться — смело переходите к результатам моего поверхностного аудита.

Для начала имеет смысл почитать Википедию. Если читать по-английски лень (на русском языке в Википедии почти ничего по теме нет, на Хабре тема освещена чрезвычайно слабо), а узнать что-нибудь хочется, то вот краткое содержание предыдущих серий описание этой уязвимости.

---

PHP / [Из песочницы] Синхронизация статуса учетной записи LanBilling и RTU class 4&5

2011-08-16 14:40:02 (читать в оригинале)

Добрый день, уважаемые хабропользователи.

Возникла задача по синхронизация статуса учетной записи в LanBilling и RTU.
Хочу поделиться с Вами вариантом реализации.

---

Windows Phone / Опыт разработки для WP7 или gMaps тру стори

2011-08-16 14:02:42 (читать в оригинале)

Мы — Алексей Страх и Александр (часто Алексей :) ) Сороколетов — авторы gMaps, одного из самых популярных приложений для Windows Phone 7 в Европе. Занимаемся любимым делом — разработкой приложения для WP7 и хотим поделиться своим опытом и историей создания gMaps. Приходите на Windows Phone Camp 5 сентября – мы там лично все расскажем и ответим на Ваши вопросы.

---

IP-телефония / [Из песочницы] Customer Response Solutions: донабор номера

2011-08-16 14:01:43 (читать в оригинале)

На работе появилась задача реализовать дозвон на внутренние номера организации. В качестве IP АТС у нас используется Cisco CallManager 4.2, а для колл-центра используется Customer Response Solutions 4.0 (IPCC). Для написания скрипта использовался Cisco Customer Response Solutions Editor, который поставляется вместе с CRS. За основу взят скрипт из пакета поставки редактора — aa.aef.

На данный момент скрипт уж очень простой и не содержит никаких голосовых приветствий, обработки различных событий (вроде сигнала «занято», неверно набранного номера). В дальнейшем я планирую его усовершенствовать до полноценного скрипта с приветствиями, запросами и всеми возможными проверками «на дурака». Сейчас опишу подробно, как сделать донабор номера.

---

Game Development / [Ссылка] 47 игровых механик

2011-08-16 13:51:11 (читать в оригинале)

Колода игровых механик от компании SCVNGR.