Рубрика «информационная безопасность» - 932

Возможно слегка громкое название статьи, но вопрос поднят именно этот.

Момент первый

Если следовать всем правилам, т.е. использовать внутренние механизмы Zend, подготавливать параметры в методах — то на данный момент нет информации о возможности проведения sql-инъекции. Речь идет о подобных конструкциях:

$select->order($value);

Которые так или иначе встречаются на практике.

Момент второй

В чем же соль? В том, что даже при поступлении параметров в подобные методы без какой-либо подготовки внутренние механизмы все же их подготавливают. Только не все (а некоторые частично) — об этом и речь.
Читать полностью »

Привет!
Спешите видеть пост нашего эксперта Курта Баумгартнера о последнем «Вторнике патчей»!

Порция патчей за март 2012 устраняет ряд уязвимостей в технологиях Microsoft, включая баг в службе Remote Desktop (pre-authentication ring0 use-after-free RCE), DoS-уязвимость в Microsoft DNS Server и несколько менее критичных локальных уязвимостей EoP.Читать полностью »

Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катомЧитать полностью »

Защита в виртуальной среде: чеклист угроз
Защита данных в виртуальной среде — это «дивный новый мир», означающий серьёзное изменение мировоззрения в отношении понимания угроз. В топике список возможных угроз и мер реакции на них.

Читать полностью »

Защита персональных данных в виртуальной среде: чеклист угрозЗащита данных в виртуальной среде — это «дивный новый мир», означающий серьёзное изменение мировоззрения в отношении понимания угроз.

Читать полностью »

Anonymous представили инструментарий «начинающего взломщика»

Группа Anonymous снова «засветилась». На этот раз не в роли «карающего меча» для какого-либо государственного или не очень государственного сайта, чем-либо не понравившегося большей части группы. Сейчас Anonymous представили собственный инструментарий, который действительно можно назвать «набором начинающего взломщика». Набор программных инструментов представляет собой измененную графическую оболочку MATE. В качестве ОС используется ОС Ubuntu.

Читать полностью »

Приветствую, коллеги! image
В процессе исследования языка OVAL и концепции SCAP-сканера я столкнулся с довольно серьезной проблемой, а именно с отсутствием удобных инструментов для создания контента на языке OVAL. Нет, я не утверждаю, что нет совсем ничего. Есть небольшой набор утилит, представленных на официальном сайте. Большая часть из них платная, остальные же представляют собой не очень удобные решения, больше всего похожие на XML-Notepad. В итоге я решил создать небольшой необходимый мне для работы инструмент самостоятельно, используя в качестве языка Python.

Читать полностью »

Периодически в интернете всплывают жалобы юзеров типа «Я выставил фотку на ВКонтакте, потом убрал ее, а она все равно доступна», на что Дуров отвечает «Это социальная сеть, здесь нечего скрывать, раньше думать надо было, до того, как выставили фотку» и даже есть теоретическое обоснование: «мы не хотом фрагментации». В принципе, если речь идет о социальных сетях, то такой подход имеет право на существование (хотя лично я с ним не согласен). Но давайте посмотрим, как обстоят дела на фотохостингах, которые не являются социальными сетями, а созданы именно для хранения и обмена фотографиями.

Читать полностью »

Наверное многие уже видели эту новость, кто не видел могут прочитать новость здесь.
Факт который меня ввел в ступор:
Расследованием занималось министерство национальной безопасности Казахстана, однако «запеленговать» взломщиков удалось в 2011 году, а установить личности — лишь сейчас.
Больше всего меня поразила цитата:
Следователи предполагают, что все же не школьник играл ключевую роль во всей этой операции

У кого есть какие мысли по этому поводу, на сайте до сих пор присутствуют уязвимости. Как думаете это халатность разработчиков или недостаточное финансированиеЧитать полностью »

NeoQUEST — подведение итоговКак и планировалось, 14-го марта 2012 года мы завершили NeoQUEST-2012. Суммарные баллы подсчитаны, победители названы; в ближайшие несколько дней мы обязательно свяжемся с ними и определим, когда и где они получат свои честно заслуженные призы (в том числе и наш главный приз, тот самый MacBookPro, засветившийся и в самом квесте).
Теперь можно подвести итоги квеста, рассказать о том, как мы его делали и о том, с какими трудностями столкнулись. И, конечно, поблагодарить всех тех, кто принимал участие как в самом квесте, так и в его создании и отладке.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js