В некоторых своих предыдущих статьях мы уже рассказывали о бесплатной панели управления Vesta CP. Сегодня утром мы получили тревожную информацию — в панели есть критическая уязвимость, позволяющая злоумышленникам получить доступ к серверу и производить с него DDoS атаки либо рассылать спам, что часто приводит к перерасходу трафика. Известные на текущий момент подробности, а также советы по защите чистого и очистке взломанного сервера, под катом.
Рубрика «безопасность веб-приложений» - 3
Обнаружена уязвимость в панели управления хостингом Vesta CP
2018-04-11 в 18:03, admin, рубрики: vesta, vestacp, антивирусная защита, безопасность, безопасность веб-приложений, Блог компании ua-hosting.company, Серверное администрирование, хостингКак можно взломать свой же Web проект?
2017-11-02 в 23:36, admin, рубрики: nginx, безопасность веб-приложений, вэб-разработка, информационная безопасность, ошибки, Программирование
Недавно мне позвонили и попросили помочь разобраться с очень странными симптомами на сайте. А симптомы выглядели вот так. Cовершенно разные клиенты звонили и рассказывали, что они на сайте попадают в личные кабинеты других случайных клиентов. Логинятся под собой. Входят в свой аккаунт, а потом бац – и уже в аккаунте другого клиента. Правда они не догадывались, что кто-то другой так же мог оказаться в их личном кабинете.
Давайте я расскажу «историю неуспеха», чтобы другие на эти грабли не наступали.
Обновления Magento, Защита от вредных администраторов, утечки данных, исполнения кода
2017-09-15 в 19:07, admin, рубрики: csrf, Magento, magento 2, open source, xss, безопасность веб-приложений, информационная безопасность, Разработка под e-commerce
Обновления Magento 2.1.9, 2.0.16, принесли множество заплаток в том числе от XSS, CSRF, неавторизированные утечки данных, защита от администраторов/операторов магазинов.
Зацепило даже Magento 1.x, 1.9.3.6 и 1.14.3.6 получили обновления.
Для простоты назовем плохого администратора/оператора — Одмин.
Обновление: Добавлено описание того как происходит утечка данных о заказанных товарах.
Читать полностью »
Пентест-лаборатория «Pentestit Test lab v.11» — полное прохождение
2017-07-12 в 15:42, admin, рубрики: Burp Suite, kali linux, pentestit, pentestit test lab, vulnerability, безопасность в сети, безопасность веб-приложений, информационная безопасность, повышение привилегий
30-го июня вновь запустилась пентест лаборатория компании Pentestit. Уже много лет эти лаборатории дают возможность проверить себя в роли пентестера в виртуальной компании со своими бизнес-процессами, серверами, сотрудниками и проблемами, узнать и опробовать современные уязвимости и отточить свои навыки в аудитах приложений и пентесте, максимально приближенном к реальному.
Эта лаборатория уже 11-я по счету. Описания десятой, девятой, восьмой, седьмой и шестой лабораторий тоже доступны, и могут пригодиться в подготовке к участию, если вы этого еще не сделали.
Как и в прошлый раз, спустя 11 суток лаборатория была пройдена первыми участниками, собравшими 12 токенов, которые подтверждают полное решение очередной задачи, будь то получение доступа в БД, проникновение и повышение привилегий на Linux-сервере или успешное выполнение MiTM-атаки на ноутбук директора виртуальной компании Test.Lab.
Эта статья описывает все этапы прохождения пентест-лаборатории Test.Lab 11 для всех, кому интересно погрузиться в область пентеста или узнать, как решалась конкретная задача.
Читать полностью »
Краткое введение в безопасность приложений
2017-05-16 в 14:11, admin, рубрики: OWASP, безопасность, безопасность веб-приложений, информационная безопасностьПеревод статьи Scott Arciszewski «A Gentle Introduction to Application Security».
У меня есть печальные новости для программистов, читающих эту заметку. Но, как вы знаете, нет худа без добра.
Новость первая: если вы являетесь веб-разработчиком или только размышляете о том, чтобы начать изучать веб-разработку, то, вероятнее всего, вы не думаете о себе как о специалисте по безопасности. Может быть, вы принимаете во внимание некоторые угрозы безопасности, например, при валидации пользовательских данных. Но, скорее всего, вы все же не являетесь экспертом в этой области.
И вторая новость: если ваш код выполняется на боевом сервере, он находится на первой линии обороны всей системы и, возможно, всей сети. Поэтому логично, что приложение, которое вы разрабатываете, обязано быть безопасным.
Читать полностью »
Cloud-AI – искусственный интеллект в облаке, нашедший 10 уязвимостей LinkedIn
2017-04-11 в 11:50, admin, рубрики: cloud computing, безопасность веб-приложений, Блог компании Cloud4Y, интерфейсы, информационная безопасность, искусственный интеллект, машинное обучение, Тестирование IT-систем, Тестирование веб-сервисовВ 2015 году команда проекта CloudSek задалась целью разработки системы искусственного интеллекта, которая сможет взаимодействовать с интернетом как разумный человек. Первый прототип системы был представлен публике в марте 2016 года на конференции NullCon. С тех пор в проекте было несколько прорывных открытий, о которых мы хотим сегодня рассказать.
Требования к паролям — полная чушь
2017-03-14 в 10:39, admin, рубрики: авторизация, безопасность, безопасность веб-приложений, безопасность сайтов, Блог компании Everyday Tools, информационная безопасность, пароли, форма авторизацииЗнаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».
Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.
Мир буквально погряз в ужасных правилах создания паролей:
→ Тупые требования
→ Примеры плохой политики
→ Доска позора
Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.
Читать полностью »
Что такое SAML аутентификация и кому она нужна?
2017-02-23 в 7:01, admin, рубрики: saml, аутентификация, аутентификация пользователей, аутентификация пользователя, безопасность, безопасность в сети, безопасность веб-приложений, Блог компании Gemalto Russia, защита данных, защита информации, информационная безопасность, Разработка для Office 365, метки: samlУправление доступом пользователей к облачным ресурсам представляет собой одну из основных проблем для безопасного использования облачных приложений в корпоративном окружении. С распространением многочисленных сервисных концепций SaaS, PaaS и IaaS управление политиками доступа, в том числе организация строгой аутентификации для каждого приложения создает определенную нагрузку на ИТ-подразделения предприятий. Пользователям приходится держать в памяти многочисленные логины и пароли, что неизбежно приводит к утере паролей, снижению продуктивности и раздражает пользователей. До 20% всех обращений в службу поддержки связано с восстановлением утраченных или забытых паролей.
Методы защиты от CSRF-атаки
2016-12-29 в 12:30, admin, рубрики: csrf, Анализ и проектирование систем, безопасность веб-приложений, информационная безопасностьЧто такое CSRF атака?
Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах:
Выдержка из ответа на SO:
Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (как, скажем, нажатие кнопки на форме или переход по ссылке) или пользователь неумышленно выполнил это действие (например, при посещении bad.com
, ресурсом был отправлен запрос на good.com/some_action
, в то время как пользователь уже был залогинен на good.com
).
Как от нее защититься?
Эффективным и общепринятым на сегодня способом защиты от CSRF-Атаки является токен. Под токеном имеется в виду случайный набор байт, который сервер передает клиенту, а клиент возвращает серверу.
Защита сводится к проверке токена, который сгенерировал сервер, и токена, который прислал пользователь.
Использование Service Worker для создания ботнета
2016-12-26 в 12:39, admin, рубрики: Google Chrome, javascript, javascript html5, serviceworker, безопасность веб-приложений, Блог компании Badoo, информационная безопасность, Разработка веб-сайтов
Если кратко: в этом посте мы рассмотрим один из множества способов запуска бесконечного выполнения кода Javascript в браузере с помощью Service Worker, а еще немного покритикуем саму технологию.
Читать полностью »