Рубрика «уязвимость» - 12

в 16:08, , рубрики: ie11, браузеры, информационная безопасность, попапы, скрипты, уязвимость, метки:

Дыра в IE11 позволяет выводить попапы даже после закрытия сайта - 1
Уязвимость можно использовать для демонстрации «неубиваемых» попапов

Специалист по информационной безопасности Мануэль Кабальеро из Аргентины опубликовал результаты своего исследования уязвимости в браузере IE11. Эксплуатация этой уязвимости позволяет владельцу сайта с внедренным эксплоитом добиться того, что у посетителя сайта начнут появляться всплывающие уведомления. Их демонстрация будет продолжаться даже после закрытия ресурса. Кроме того, при желании владелец сайта сможет запускать свой JavaScript-код, когда посетитель зловредной страницы уже ушел с нее и посещает другие ресурсы.

Уязвимость, по словам специалиста, характерна только для Internet Explorer 11, браузер Edge лишен этой проблемы, равно, как и браузеры других разработчиков. Сейчас IE11 — второй по распространенности браузер, если верить статистике NetMarketShare. На первом месте сейчас находится Chrome 55 с рыночной долей в 37%, а на втором — IE11 с почти 11%. Таким образом, уязвимость может быть угрозой для большого числа пользователей.
Читать полностью »

в 14:34, , рубрики: gdi, Google, microsoft, windows, информационная безопасность, уязвимость

Google опять раскрыла незакрытую уязвимость в WIndows - 1

Второй раз за три месяца разработчики из компании Google раскрыли баг в операционной системе Windows до того, как Microsoft выпустила патч. Теоретически, теперь несколько недель кто угодно может эксплуатировать критическую уязвимость, доступную на всех компьютерах под Windows.

Считается, что публичное разглашение информации — самый эффективный способ поторопить вендора с выпуском патча. Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.

В данном случае уязвимость обнаружена в подсистеме Windows GDI (Graphics Device Interface), то есть в библиотеке gdi32.dll.
Читать полностью »

в 19:35, , рубрики: authentication bypass, vk.com, баг, Вк, Вконтакте, Вконтакте API, информационная безопасность, обход аутентификации, Программирование, Разработка веб-сайтов, Тестирование веб-сервисов, уязвимость, фича, метки:

Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который входит на аккаунт vk меняется, нужно ввести полный номер телефона. Если злоумышленник входил через телефон; пароль, то он сможет совершать действия на аккаунте. Но если он входил через email; пароль или через подмену cookies, то он не сможет совершать какие либо действия на аккаунте.

image Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.

Читать полностью »

в 16:39, , рубрики: juniper, Блог компании Positive Technologies, информационная безопасность, уязвимость

Обновление для межсетевых экранов Juniper открывает несанкционированный root-доступ к устройствам - 1

Компания Juniper предупреждает пользователей своих межсетевых экранов SRX о том, что выпущенное системное обновление содержит критическую уязвимость в результате которой возможен несанкционированный root-доступ к устройствам. Уязвимы все системы, пользователи которых использовали команду «request system software» с установленной опцией «partition».

В своем первом в 2017 году бюллетене безопасности компания пишет о том, что в результате обновления «система может оказаться в состоянии, при котором root-логин для командной строки становится доступным без пароля». В зоне риска все системы, обновленные с Junos OS версий до 12.1X46-D65.Читать полностью »

в 12:02, , рубрики: alexarank, bug bounty, drugvokrug.ru, fl.ru, iframe injection, ivi.ru, qiece, securityz, userecho, xss, баг баунти, информационная безопасность, платежные системы, ПриватБанк, Программирование, Разработка веб-сайтов, Тестирование веб-сервисов, уязвимость

Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.

Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку.
Читать полностью »

в 22:38, , рубрики: php, phpmail, phpmailer, swiftmailer, vulnerability, yii, уязвимость

В последние дни было зарегистрировано три уязвимости, касающиеся PHPMailer и SwiftMailer:

Все три отчёта об уязвимостях упоминают фреймворк Yii наряду с другими PHP фреймворками как уязвимый, потому цель этой статьи — прояснить, кто именно подвержен этой уязвимости и что нужно сделать для того, чтобы обезопасить себя.

Читать полностью »

в 16:59, , рубрики: CVE-2016-582384, netgear, взлом, Железо, информационная безопасность, Сетевое оборудование, удаленное выполнение команды, уязвимость

Команда через URL. Взлом маршрутизатора Netgear никогда не был таким простым - 1
Маршрутизатор Netgear R8000 открыт для всех пользователей интернета

Специалисты по безопасности рекомендуют владельцам WiFi-маршрутизаторов популярной линейки Netgear Nighthawk (восемь моделей, список под катом) временно отключить веб-сервер на маршрутизаторе до выхода официальной версии патча. Пока что Netgear в экстренном порядке выпустила бета-версию патча для некоторых из пострадавших моделей. Для остальных патча нет вообще.

Новая уязвимость исключительно проста в эксплуатации и доступна для понимания даже школьникам. Эксплойт опубликован — есть подробная инструкция по взлому. Поэтому слишком высок риск стать жертвой атаки.
Читать полностью »

в 8:15, , рубрики: банк, банки, безопасность, информационная безопасность, платежные системы, уязвимость

Не так давно я решил протестировать очередной банк или платёжную компанию на предмет наличия простой, но от этого не менее популярной уязвимости вида «Возможность просмотра операций других клиентов».

Почему я пишу, что эта уязвимость простая? Потому что украинская электронная платёжная система Portmone.com в прошлом году имела такую ошибку. Как и Фидобанк (пост на Хабрахабр). Впрочем, как и упомянутые там же Qiwi или Тинькофф Банк — примеров множество. А сколько ещё не найдено, не опубликовано…

Итак, с целью разминки мозга мне захотелось проверить кого-то ещё. А в конце августа "Platinum Bank представил новый платежный портал pay.ptclick.com.ua".

Про Платинум Банк с официального сайта:

Platinum Bank – один из крупнейших участников отечественной банковской системы. Относится к І группе банков согласно рейтингу НБУ (на долю Platinum Bank приходится более 0,5% активов банковской системы Украины). Региональная сеть насчитывает 69 отделений и 1080 пунктов продаж в различных регионах Украины…

Также банк активно работает над проектом Digital Bank. В частности, активно развивает платформу pay.ptclick.com.ua и лабораторию финансовых инноваций Platinum Lab.

Вот его я и решил проверить на очевидную уязвимость.

Регистрация на портале pay.ptclick.com.ua предельно проста — e-mail + пароль и поле для капчи.

Уязвимость в платёжном сервисе Платинум Банка (Украина) - 1
Читать полностью »

в 10:04, , рубрики: css, Firefox, javascript, NoScript, svg, Tor, браузеры, информационная безопасность, уязвимость

Mozilla и Tor закрыли критическую уязвимость, которая активно использовалась для деанонимизации пользователей Tor - 1

Разработчики Mozilla и Tor в срочном порядке выложили патчи для браузеров, которые устраняют критическую 0day-уязвимость браузера под Windows, Mac и Linux. По мнению независимого эксперта, новый эксплойт почти в точности идентичен эксплойту для 0day-уязвимости 2013 года (исполнение произвольного кода после загрузки в браузер специально составленного JS-скрипта), которую успешно использовало ФБР для деанонимизации пользователей Tor, в том числе посещавших сайты с детской порнографией.
Читать полностью »

1...111213...20...23
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js