Рубрика «уязвимость» - 13

в 8:15, , рубрики: банк, банки, безопасность, информационная безопасность, платежные системы, уязвимость

Не так давно я решил протестировать очередной банк или платёжную компанию на предмет наличия простой, но от этого не менее популярной уязвимости вида «Возможность просмотра операций других клиентов».

Почему я пишу, что эта уязвимость простая? Потому что украинская электронная платёжная система Portmone.com в прошлом году имела такую ошибку. Как и Фидобанк (пост на Хабрахабр). Впрочем, как и упомянутые там же Qiwi или Тинькофф Банк — примеров множество. А сколько ещё не найдено, не опубликовано…

Итак, с целью разминки мозга мне захотелось проверить кого-то ещё. А в конце августа "Platinum Bank представил новый платежный портал pay.ptclick.com.ua".

Про Платинум Банк с официального сайта:

Platinum Bank – один из крупнейших участников отечественной банковской системы. Относится к І группе банков согласно рейтингу НБУ (на долю Platinum Bank приходится более 0,5% активов банковской системы Украины). Региональная сеть насчитывает 69 отделений и 1080 пунктов продаж в различных регионах Украины…

Также банк активно работает над проектом Digital Bank. В частности, активно развивает платформу pay.ptclick.com.ua и лабораторию финансовых инноваций Platinum Lab.

Вот его я и решил проверить на очевидную уязвимость.

Регистрация на портале pay.ptclick.com.ua предельно проста — e-mail + пароль и поле для капчи.

Уязвимость в платёжном сервисе Платинум Банка (Украина) - 1
Читать полностью »

в 10:04, , рубрики: css, Firefox, javascript, NoScript, svg, Tor, браузеры, информационная безопасность, уязвимость

Mozilla и Tor закрыли критическую уязвимость, которая активно использовалась для деанонимизации пользователей Tor - 1

Разработчики Mozilla и Tor в срочном порядке выложили патчи для браузеров, которые устраняют критическую 0day-уязвимость браузера под Windows, Mac и Linux. По мнению независимого эксперта, новый эксплойт почти в точности идентичен эксплойту для 0day-уязвимости 2013 года (исполнение произвольного кода после загрузки в браузер специально составленного JS-скрипта), которую успешно использовало ФБР для деанонимизации пользователей Tor, в том числе посещавших сайты с детской порнографией.
Читать полностью »

в 5:21, , рубрики: ddos, Mirai, банк, банки, информационная безопасность, платежные системы, уязвимость

В среду, 9-го ноября, источник, близкий к ЦБ, сообщил, что пять крупных банков РФ со вторника подвергаются DDoS-атакам.

Атаки начались во вторник, 8 ноября, около 16:00 МСК. Атакованы веб-сайты как минимум пяти организаций из ТОП-10 российского банковского рынка.

Средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов. Некоторые банки подвергались атакам неоднократно – от двух до четырех атак с небольшим интервалом между ними. Мощность атак достигала 660 000 запросов в секунду. Для атак использовался ботнет, который состоит более чем из 24 000 машин. Более 50% устройств, входящих в ботнет, находятся на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали в общей сложности машины из 30 стран. И да, это ботнет на основе Mirai. Про данный ботнет уже и на Википедии есть статья.

DDoS-атака на Сбербанк, Альфа-Банк, Банк Москвы, Росбанк и другие - 1
Читать полностью »

в 7:02, , рубрики: bug bounty, информационная безопасность, киевстар, уязвимость

Вот как после недавнего поступка Киевстара можно говорить об этом славном операторе связи и провайдере интернета, что он ценит и уважает труд специалистов?

image

Один хакер взломал сайт для абонентов Киевстара и не украл миллион со счетов абонентов сети, а рассказал руководству о том, что он нашёл где программисты схалтурили и сделали ошибку в программном коде, из-за которой любой может добавить чужие мобильные номера к себе в личный кабинет и пользоваться ими как своими: получать детализацию звонков, менять тарифный план, переводить деньги и многое другое.Читать полностью »

в 7:07, , рубрики: веб-сервисы, информационная безопасность, киевстар, операторы сотовой связи, Разработка веб-сайтов, Тестирование веб-сервисов, уязвимость

Я являюсь клиентом украинского оператора сотовой связи Киевстар и пользователем их веб-сервиса my.kyivstar.ua. Как и многие другие операторы, Киевстар предлагает веб-версию личного кабинета, в котором можно просмотреть баланс счёта, детализацию звонков, изменить тариф, заказать или отключить услугу и пр.
Так же у них недавно была запущена новая версия личного кабинета new.kyivstar.ua. В ней появилась интересная функция — добавление другого телефона Киевстар через смс верификацию. Я взялся её проверить на наличие уязвимостей, так как она фактически давала такой же доступ к добавляемому телефону, как и к своему, что меня не особо радовало, как клиента.
Новый сайт имеет следующий интерфейс добавления телефона:
Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина) - 1
Читать полностью »

в 16:09, , рубрики: d-link, LizardStresser, Блог компании ua-hosting.company, информационная безопасность, уязвимость

D-Link является мировым производителем сетевого и телекоммуникационного оборудования. Изначально название звучало как Datex Systems, но в 1994 году оно было изменено на известное сейчас D-Link Corporation, компания-пионер среди компаний занимающихся телекоммуникациями. На данный момент занимается производством коммуникаторов Ethernet, беспроводного оборудования стандарта Wi-Fi, устройств семейства xDSL, IP-камер, преобразователей среды, маршрутизаторов, межсетевых экранов, сетевых адаптеров, оборудования VoIP, принт-серверов, переключателей KVM, модемов, накопителей NAS, SAN, а также оборудования GEPON.

Продукты D-Link подвержены уязвимости - 1

В июне была обнаружена уязвимость в последней версии прошивки беспроводной облачной камеры D-Link DCS-930L, эксперты компании Senrio проэксплуатировали данную уязвимость,
Читать полностью »

в 9:15, , рубрики: badtunnel, windows, Блог компании Positive Technologies, информационная безопасность, разработка под windows, уязвимость, метки:

Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows - 1

Исследователи из ИБ-подразделения компании Tencent под названием Xuanwu Lab обнаружили серьезную ошибку в реализации протокола NetBIOS, использующейся в Windows. Критическая уязвимость получила название BadTunnel — она позволяет злоумышленникам полностью контролировать сетевой трафик жертвы. Читать полностью »

в 9:58, , рубрики: norton, rce, symantec, информационная безопасность, операционные системы, Софт, уязвимость

Опубликован рабочий эксплоит для всех версий антивирусов Symantec/Norton

Многочисленные критические уязвимости в антивирусах Symantec-Norton - 1

Вчера Тэвис Орманди (Tavis Ormandy) из хакерского подразделения Project Zero компании Google выложил в открытый доступ информацию о многочисленных уязвимостях в антивирусных программах Symantec, в том числе уязвимостях с удалённым исполнением кода.

Некоторые специалисты говорят, что установленная на компьютере антивирусная программа, учитывая её максимальный уровень привилегий в системе, может стать дополнительным вектором атаки, то есть дополнительной брешью в общей безопасности системы. Пример Symantec демонстрирует это настолько явно, насколько такое возможно. В некоторых случаях под Windows вредоносный код загружается прямо в ядро операционной системы, что ведёт к повреждению памяти ядра.
Читать полностью »

в 8:04, , рубрики: Facebook, facebook messenger, html, id сообщений, Блог компании Inoventica Services, информационная безопасность, переписка, уязвимость, чат

image

Команда специалистов Check Point security обнаружила в стандартном функционале Facebook, а так же в Facebook Messenger, уязвимость, которая позволяла получить доступ к любым отправленным через социальную сеть сообщениям пользователей.

Конкретно эксплоит позволял кому угодно получить доступ к сообщениям пользователей и изменять их содержимое, то есть, например, потенциально распространять вредоносное ПО.
Читать полностью »

в 13:18, , рубрики: Cisco, security, Сетевые технологии, уязвимость

Cisco опубликовала отчет о найденой уязвимости в реализации ipv6 Neighbor Discovery protocol (ND). Злоумышленник с помощью спецально сформированного пакета может остановить передачу всего ipv6 трафика на атакуемом устройстве.

Отчет.

Читать полностью »

1...10...121314...20...24
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js