Какой рейтинг вас больше интересует?
|
Главная / Главные темы / Тэг «уязвимых»
[Перевод] Распознать и обезвредить. Поиск неортодоксальных бэкдоров 2017-08-11 10:14:56
Согласно нашим подсчетам, в 72% зараженных сайтов использованы программы скрытого удаленного ...
+ развернуть текст сохранённая копия
Согласно нашим подсчетам, в 72% зараженных сайтов использованы программы скрытого удаленного администрирования — бэкдоры. С их помощью мошенники получают удаленный доступ к вашему сайту, и понятное дело, чем это грозит владельцу: получение и передачи конфиденциальных данных пользователей, запуск вредоносных программ, уничтожения информации и тд.
Читать дальше →
Тэги: backdoor, php, ua-hosting.company, безопасность, блог, бэкдор, вредоносное, информационная, компании, уязвимость
[Из песочницы] Дефейс ask.mcdonalds.ru 2017-07-31 18:24:26
Вся информация предоставлена исключительно в ознакомительных целях.
Все началось, ...
+ развернуть текст сохранённая копия
Вся информация предоставлена исключительно в ознакомительных целях.
Все началось, когда обычным майским днем я наткнулся на сообщество ВКонтакте, публикующее забавные вопросы людей о продукции Макдоналдс, которые они задавали на некоем сайте. Это выглядело примерно так:
Полистав стену, я заинтересовался и решил посмотреть, что же из себя представляет эта платформа для общения с пользователями — ask.mcdonalds.ru. Читать дальше →
Тэги: deface, mcdonalds, xss, безопасность, веб-сайтов, веб-сервисов, информационная, макдоналдс, разработка, тестирование, уязвимость
Как уязвимость платежной системы раскрывала данные кредитных карт 2017-07-27 19:53:04
... оперативно устраняли уязвимости, благодарили и ... которой присутствовала уязвимость, позволяющая ...
+ развернуть текст сохранённая копия
Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили (maxkassa.ru).
Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом. Читать дальше →
Тэги: account, bruteforce, cvv2, disclosure, encrypt, information, it-систем, md5, pay2me, plategka, takeover, безопасность, веб-сайтов, веб-сервисов, информационная, платежные, разработка, системы, тестирование, уязвимость
[Перевод] Защищаем сайт с помощью ZIP-бомб 2017-07-06 23:32:06
Старые методы по-прежнему работают
+ развернуть текст сохранённая копия
Старые методы по-прежнему работают
[Обновление] Теперь я в каком-то списке спецслужб, потому что написал статью про некий вид «бомбы», так?
Если вы когда-нибудь хостили веб-сайт или администрировали сервер, то наверняка хорошо знаете о плохих людях, которые пытаются сделать разные плохие вещи с вашей собственностью.
Когда я в возрасте 13 лет впервые захостил свою маленькую Linux-коробочку с доступом по SSH, я смотрел логи и каждый день видел IP-адреса (в основном, из Китая и России), которые пытались подключиться к моей сладенькой маленькой коробочке (которая на самом деле была старым ноутом ThinkPad T21 со сломанным дисплеем, жужжавшим под кроватью). Я сообщал эти IP их провайдерам.
На самом деле если у вас Linux-сервер с открытым SSH, то можете сами посмотреть, сколько попыток подключений происходит ежедневно:
grep 'authentication failures' /var/log/auth.log
Читать дальше →
Тэги: gzip, nikto, wordpress, zip, zip-бомбы, безопасность, веб-сайтов, информационная, разработка, сканер, уязвимости
Немного о приватности реальных Git-репозиториев 2017-03-22 01:23:13
+ развернуть текст сохранённая копия
Введение
Здравствуйте, уважаемые читатели. Сегодня на повестке дня у нас небольшое тестирование —
первых ≈100 тысяч по популярности сайтов в интернете (ранжирование на основе статистики посещаемости с Alexa Rank). Стоит отметить, что оное тестирование будет достаточно узконаправленным, а именно — проверим каждый сайт на предмет существования и открытости Git-репозитория без аутентификации прямо из веба по url-адресу искомого. Напомню, что такая брешь в безопасности зачастую позволяет прочитать актуальные исходные коды на сервере, получить чувствительную информацию (файлы конфигов, структуру системы и т.д.) и, в последствии, получить определенного рода права на сервере. Рай для различного рода негодяев, да и только :)
Совершенно аналогичную проверку я делал для себя порядка 100 дней назад, и сегодня мы сделаем это ещё раз, посмотрим что изменилось и что с этим делать.
Разумеется, использовать будем список сайтов, полученный в рамках первого тестирования.
Для заинтересовавшихся милости прошу под кат.
Читать дальше →
Тэги: git, администрирование, безопасность, веб-разработка, веб-сайтов, веб-сайты, веб-сервисов, версиями, информационная, разработка, реверс-инжиниринг, репозиторий, системы, тестирование, управления, уязвимости
Главная / Главные темы / Тэг «уязвимых»
|
Взлеты Топ 5
Падения Топ 5
|