Рубрика «информационная безопасность» - 931

Как известно хост ajax.googleapis.com является CDN-хостингом для множества библиотек, в том числе и jQuery. И вот сегодня обращается знакомый, который говорит, что при заходе на его сайт Yandex Safe Browsing сильно ругается и рекомендует не посещать, внезапно ставший опасным сайт.

Ссылка на сайт сразу же отправилась в онлайн антивирус и в анализатор кода сайта. И вот что выяснилось.
Читать полностью »

Помните приложение Birthday Calendar для Facebook? Оно могло генерировать десятки… нет, даже сотни уведомлений, приходящих вам. Любой ваш друг, установив его, автоматически отмечал вас на фотографиях с датами рождения. Вчера я сам попался на похожую схему в казалось бы нормальном приложении (WeHeartPics), которое только-только вышло. Нажав всего одну кнопку 1-tap invite, которая обещала для меня “Easy way”, я и не догадывался, что этот путь будет не самым легким для меня.

Боремся с рассылкой сообщений через приложения на стены в Facebook

Вот так за пару минут я (точнее приложение) успело разослать на стенки большинства моих знакомых этот спам. Ожидал ли я этого? Вы удивитесь — да, хотя не сразу в это поверил. В статье я расскажу, как бороться с такими приложениями:
— оперативно убрать возможность постить за вас
— определить, кому отправили на стену
— как удалить все спам сообщения со стен друзей
— рабочий пример: проверьте, кому из друзей отправили эти сообщения

Ну и самое главное для разработчиков — как правильно реализовать функционал приглашений и инвайтов, при этом не раздражая пользователей: где использовать Facebook Dialogs, Achievements and Scores APIs, Open Graph.
Читать полностью »

Похоже, МТС Украина с их политикой кучи тарифов и тенденцией переманить всех на контракто-припейд, перехитрили сами себя.

Сегодня стало известно, что благодаря неточной настройке Интернет-помощника (http://ihelper-prp.mts.com.ua) МТС Украина для абонентов предоплаты стал возможным переход в тарифы, закрытые для перехода при обычных условиях.Читать полностью »

Какое-то время назад мы в Symantec рассмотрели две популярные платформы – Android и iOS на предмет их безопасности. Без лишних предисловий объявляем подробности наших изысканий.
Android vs. iOS. Вопрос безопасности

Итак, мобильные платформы Google и Apple в разной степени полагаются на пять основных принципов мобильной безопасности...Читать полностью »

Боевое тестирование Wifi Protector: защищаем ARP таблицуНе так давно я проводил сравнительный тест программ, предотвращающих атаку на ARP-таблицу. Тогда некоторые пользователи пожелали, чтобы я провёл тестирование программы Wifi Protector, не попавшей в мой обзор.
Наконец, у меня дошли руки и до неё.

Об успешности атаки можно было судить через саму программку.

Боевое тестирование Wifi Protector: защищаем ARP таблицу

Тестирование происходило абсолютно также, как и в предыдущем случае

Читать полностью »

За бугром есть некий борец за безопасность в интернете, мистер Кребс. Есть и есть, пусть пиарится как хочет, но мне печально читать его статьи, в которых он легко может узнать кому принадлежит тот или иной счет в системе вебмани.
Вот выписки из его статей:
Читать полностью »

За бугром есть некий борец за безопасность в интернете, мистер Кребс. Есть и есть, пусть пиарится как хочет, но мне печально читать его статьи, в которых он легко может узнать кому принадлежит тот или иной счет в системе вебмани.
Вот выписки из его статей (по требованию хабра замазал личные данные, по ссылке они есть):
Читать полностью »

Ругаюсь с МТС. Творится кромешный ад, о котором я просто не могу молчать.

История:

Был у меня федеральный номер. И была на нем подключена услуга Автоплатеж с банковской карты. И все было хорошо.

Но потребовался мне городской номер и безлимитный тариф. И пошел я в МТС. И сказали мне что мне нужно расторгнуть старый договор и заключить новый с новым номером и новым тарифом. И обещали мне перенести баланс на новый договор. Я написал нужные заявления и получил новую сим-карту.

Старый договор заметьте я расторг. Вход в личный кабинет по нему был немедленно заблокирован. Сим-карту у меня любезно отобрали и выкинули за меня.
Читать полностью »

Никто не застрахован от утери мобильного устройства, которое ценно не только собственной стоимостью, но и содержащейся на нём информацией.
В этой статье я опишу функционал программы, которой я пользуюсь вот уже год на двух своих устройствах на базе ОС Android.

Поводом к написанию данной статьи стал комментарий читателя Kapustos в статье Сотрудники Symantec потеряли 50 мобильников. Не находили?. Он просил посоветовать софт, функционал которого схож с описанным в статье. Подробности под хабракатом.

Читать полностью »

Возможно слегка громкое название статьи, но полностью отображает ее суть.

Момент первый

Если следовать всем правилам, т.е. использовать внутренние механизмы Zend, подготавливать параметры в методах — то на данный момент нет информации о возможности проведения sql-инъекции. Речь идет о подобных конструкциях:

$select->order($value);

Которые так или иначе встречаются на практике.

Момент второй

В чем же соль? В том, что даже при поступлении параметров в подобные методы без какой-либо подготовки внутренние механизмы все же их подготавливают. Только не все (а некоторые частично) — об этом и речь.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js