Рубрика «уязвимость» - 19

в 20:46, , рубрики: законодательство, информационная безопасность, проблема, сайт, уязвимость, хакеры, метки: , , , ,

Шестнадцатилетнему австралийскому школьнику Джошуа Роджерсу около месяца назад пришла в голову мысль проверить сайт управления городским транспортом Мельбурна Public Transport Victoria (PTV) ptv.vic.gov.au на прочность. Не вполне ясно, что именно использовал молодой человек в качестве инструмента для своих действий (есть мнение, что это просто был сканер уязвимостей, скачанный и сети, и натравленный на определённый URL), но за это ему и его родителям пришлось серьёзно поволноваться.
Читать полностью »

в 9:04, , рубрики: telegram, безопасность, информационная безопасность, теле2, телефония, уязвимость, метки: , , ,

Уязвимость Теле2: пользователи Telegram и Qiwi кошелька в опасности

Нет так давно я наткнулся на неприятную особенность оператора Теле2, с помощью которой можно украсть историю сообщений Telegram, получить доступ к Qiwi-кошельку и т.д. Оговорюсь, что у метода есть несколько условий и он может не сработать для конкретного человека, но тем не менее, есть реальная опасность.
Читать полностью »

в 19:52, , рубрики: kernel, kvm, linux, информационная безопасность, патч, уязвимость, метки: , , , ,

Сегодня на SecurityLab в «TOP Новостях» появилась ссылка на «Множественные уязвимости KVM».

Интересно посмотреть, думаю, я же копаюсь в нём сейчас. Тем более — open source: можно сразу и на патч посмотреть.
Всем, кому интересно, как инженер по безопасности ПО из Google и главный инженер-программист из Red Hat закоммитили в kernel/git/torvalds/linux.git ненужный патч несуществующей уязвимости, добро пожаловать под кат.

Читать полностью »

в 6:56, , рубрики: nexus, sms, Блог компании «Apps4All», информационная безопасность, Смартфоны и коммуникаторы, уязвимость, метки: , ,

В минувшую пятницу на конференции DefCamp Security Conference исследователь Богдан Алеку продемонстрировал серьезную уязвимость, которую он обнаружил во всех смартфонах Nexus. С ее помощью нападающий может вынудить смартфон перезагрузиться или вызвать проблемы в работе некоторых сервисов.

Атака заключается в отсылке нескольких так называемых Class 0 «Flash» сообщений на целевой телефон. Такие «Быстрые» сообщения обычно используются экстренными службами и они сразу появляются на экране телефона, в обход стандартного приложения для обработки SMS. При получении такого сообщения звук не воспроизводится, но на экране остается одно окно этого сообщения. Проблема в том, что получение 20-30 таких сообщений вызывает перегрузку системы. Чаще всего это выливается в то, что смартфон перестает отвечать или перезагружается, в некоторых случаях падает само приложение Messages или вообще сбоит служба, отвечающая за сотовую связь.

Читать полностью »

в 3:36, , рубрики: gmail, Google, информационная безопасность, уязвимость, метки: , ,

image
Позавчера, Oren Hafif известный багхантер обнаружил уязвимость в Gmail. Точнее говоря, не одну уязвимость, а целую цепочку, которая позволяет угнать пароль от аккаунта.
Читать полностью »

в 15:54, , рубрики: nginx, информационная безопасность, пробел, уязвимость, метки: , ,

В nginx обнаружена (и уже исправлена) уязвимость.
Подробности здесь: mailman.nginx.org/pipermail/nginx-ru/2013-November/052575.html

Проблеме подвержены версии nginx 0.8.41 — 1.5.6.
Проблема исправлена в nginx 1.5.7, 1.4.4.
Для кастомных конфигураций доступен патч — nginx.org/download/patch.2013.space.txt

Особенно интересна вот эта часть:

а также возможность вызывать специальную обработку файла с пробелом на конце в конфигурации вида
location ~ .php$ {
fastcgi_pass…
}

запросив файл как "/file .php".

Читать полностью »

в 8:20, , рубрики: dir-300, dnrd, DNS, информационная безопасность, Сетевое оборудование, уязвимость, метки: , , , ,

Здесь неоднократно обсуждалось, как получить доступ к DIR 300 находясь в его внутренней сети. Но можно ли выполнить произвольный код имея доступ только к WAN интерфейсу роутера? Из сети Интернет? Оказывается сложно, но можно.
Читать полностью »

в 20:20, , рубрики: robokassa, Веб-разработка, интернет-магазин, коммерция, платежные системы, уязвимость, метки: , , , ,

Если точнее, как обмануть сердобольных физических лиц, берущих комиссию за покупку на себя. Возможно, заголовок слишком громкий, возможно это и не статья вовсе (особенно учитывая, что я никогда не писал статей ранее), а какой-то очерк больного мозга, которому пора наконец выспаться, а не допиливать этот интернет-магазин. И тем не менее, во время интеграции Робокассы в интернет-магазин, была замечена интересная особенность, которая позволяет сэкономить на покупке за счет тех, кто пытается взять обязательства по комиссии в пользу Робокассы на свой счет, и я хотел бы вам об этом поведать. Читать полностью »

в 19:18, , рубрики: Tenda, бэкдор, информационная безопасность, переводы, Сетевое оборудование, уязвимость

Чтобы вы не думали, что D-Link является единственным поставщиком, который оставляет бэкдоры в своей продукции, вот еще один — Tenda.

Читать полностью »

в 9:37, , рубрики: javascript, xss, взлом, уязвимость, хабрахабр, Хабрахабр API, метки: , , , ,

Не имел я несколько дней назад инвайта, но на Хабре был частым человеком и заходил сюда по своему аккаунту.

Несколько дней назад я нажал на «Регистрация», вместо «Войти» и увидел перед собой форму регистрации на Хабрахабр. «А вдруг?» — подумал я — и начал вводить тест на XSS-уязвимость в каждое поле регистрации.

И вот оно! Свершилось! Уязвимость была обнаружена в поле E-Mail. E-mail проверялся на правильность после перехода на следующее поле. В поле ввода E-Mail'а не было фильтрации, по этому сообщение с единичкой появилось.

Сначала я решил сделать какое-нибудь черное дело через уязвимость, но потом одумался и отписался в техподдержку.
Читать полностью »

1...10...181920...23
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js