Рубрика «уязвимости» - 27

в 14:35, , рубрики: Блог компании Positive Technologies, информационная безопасность, разработка, уязвимости

По долгу службы мне часто приходится проводить инструментальный аудит безопасности различных предприятий. Процедура составления итогового отчета содержит одну неприятную особенность, от которой мне давно хотелось избавиться. Помимо наиболее опасных уязвимостей системы клиенту всегда надо показывать ссылки на общедоступные эксплойты для этих ошибок. И эти ссылки приходилось искать вручную.

В большинстве случаев заказчик принимает какие-либо серьезные меры по защите — только если знает о хакерских инструментах, которые автоматизируют атаки через найденные у него уязвимости. Обнаруженные дыры сами по себе не пугают, а такие программы — очень даже: благодаря им натянуть черные шляпы может целая армия школьников, кулхацкеров, недовольных экс-сотрудников и диверсантов из конкурирующих организаций. Создатель Grsecurity Брэд Шпенглер говорил, что только публичные эксплойты производят изменения в общественном понимании уровня существующей безопасности, и мой опыт полностью подтверждает эту мысль.

image

В какой-то момент я понял, что поиск ссылок на эксплойты — работа хотя и важная, но настолько рутинная и механическая, что просто грех ее не автоматизировать. Вначале был написан простенький консольный скрипт, который постепенно обзавелся GUI и научился понимать различные форматы отчетов систем поиска уязвимостей. Все доработки и улучшения PT Exploit Explorer в дальнейшем проводились исходя из пожеланий пользователей, и этот процесс продолжается до сих пор.Читать полностью »

в 8:19, , рубрики: e-commerce, insales, pentestit, qrator, Sitecure, Блог компании PentestIT, информационная безопасность, Разработка под e-commerce, уязвимости

Как и зачем «ломают» интернет-магазины - 1

Вы владелец интернет магазина, жизнь прекрасна и замечательна – вы договариваетесь с поставщиками или налаживаете собственное производство. Специально обученные люди или Вы сами занимаетесь продвижением, контекстной рекламой.
Магазин мало-помалу начинает приносить доход и занимать свою нишу в расширяющемся рынке интернет торговли. И становится мишенью.
Читать полностью »

в 14:40, , рубрики: microsoft, безопасность, патч, уязвимости

Корпорация Microsoft выпустила крупный пакет обновлений, направленный на борьбу с рядом уязвимостей, существующих в её продуктах.

Как стало известно, один из патчей закрывает дыру в безопасности, существующую со времён Windows 95 и Internet Explorer 3.0, которую в мае текущего года обнаружили специалисты из IBM X-Force.

Microsoft устранит уязвимость своих продуктов

Читать полностью »

в 8:04, , рубрики: Альфа-Банк, безопасность, выписки, информационная безопасность, уязвимости

Месяц назад, просматривая мобильное приложение для интернет-банкинга от Альфа-Банка, решил проверить, насколько оно безопасно.
Уязвимость в одном из сервисов Альфа Банка позволяла просматривать выписки по любому клиенту

Так как я являюсь клиентом этого банка, мне было интересно, уделяют ли они должное внимание безопасному хранению данных клиентов. Уточню, что я являюсь клиентом украинского филиала и соответственно имел возможность проверять только ту часть мобильного приложения, которая предназначена для украинских клиентов.
Уязвимость в одном из сервисов Альфа Банка позволяла просматривать выписки по любому клиенту

Читать полностью »

в 14:23, , рубрики: internet explorer, vbscript, windows, Блог компании Positive Technologies, информационная безопасность, уязвимости

Исследователи из IBM X-Force обнаружили опасную уязвимость CVE-2014-6332, которой, по их заявлениям, подвержены все версии Microsoft Windows, начиная с Windows 95. Основное потенциально уязвимое приложение с этим багом — Internet Explorer, начиная от версии 3.0. Уязвимость позволяет получать несанкционированный доступ к пользовательским данным или удалённо запускать вредоносные программы на атакованном компьютере. При этом атакующий может обойти такие защитные механизмы, как «песочница» Enhanced Protected Mode, используемая в IE 11, и система безопасности Enhanced Mitigation Experience Toolkit (EMET).

image

Уязвимость появилась в коде приложений Windows ещё в 1996 году с выходом IE 3.0, где стал использоваться Visual Basic Script (VBScript). Атаки на основе этой уязвимости относятся к классу «манипуляции данными», то есть являются более редкой и более опасной техникой, чем «переполнение буфера» и другие классические способы взлома. Уязвимость связана с некорректной отработкой процедуры изменения размера массивов SafeArray, что позволяет незаметно сбивать адресацию и получать доступ к данным по любому адресу, а не только в рамках заданного массива.Читать полностью »

в 10:12, , рубрики: информационная безопасность, платежные сервисы, платежные системы, уязвимости

Зачастую программисты при разработке финансовых систем по причине отсутствия опыта допускают простые, но довольно серьёзные ошибки. И хотя не всегда прямая вина лежит на разработчике, как правило одной из причин появления таких ошибок является отсутствие понимания их последствий.

В этой статье я расскажу о некоторых распространенных ошибках, которые допускают программисты при разработке платежных сервисов, а также приведу примеры последствий, к которым они могут привести.

Началось все с того, что однажды, когда я работал над одним из таких проектов, в нашу компанию поступило письмо от клиента о том, что им на нашем сайте обнаружена уязвимость, позволяющая получить доступ к любому файлу на сервере. Это было неприятно. И хотя уязвимость быстро исправили, и каких-либо серьезных последствий этот инцидент не имел, мне стало интересно, есть ли ещё подобные уязвимости в моем проекте. В последствии я начал их искать и на других сайтах. Теперь меня интересовал другой вопрос: на сколько надежно хранятся критичные для пользователя данные в сторонних системах. В первую очередь меня интересовали платежные сервисы, так как обнаружение уязвимостей на них могло иметь намного более серьезные последствия, нежели обнаружение уязвимостей на сайтах знакомств. Со временем я понял, что программисты даже в самых популярных и, на первый взгляд, надежных проектах, допускают довольно простые ошибки. Тем не менее такие простые ошибки приводят к появлению серьезных дыр в безопасности, которые позволяют не только получать несанкционированный доступ к личной информации клиентов, но и порой выполнять финансовые операции над их денежными средствами.

Заранее предупрежу, я специализируюсь на поиске уязвимостей, реализуемых через HTTP протокол и соответственно все примеры будут с использованием этого протокола.

Для простоты, там, где это возможно. я буду описывать пример в виде GET запроса вместо POST для более удобного восприятия.

И так, поехали…
Читать полностью »

в 9:46, , рубрики: информационная безопасность, компьютерная безопасность, национальная безопасность США, уязвимости, хакеры

«Меня больше беспокоят русские», — заявил недавно на форуме в Техасском университете директор национальной разведки США Джеймс Клэппер, говоря о кибератаках китайских хакеров. Большую статью с таким лейтмотивом и броским заголовком «Хакерский след ведет в Россию» опубликовал сегодня The Wall Street Journal. Возможно, китайцы занимаются кибершпионажем и чаще, но Россия действует эффективнее, считает Клэппер.

«Cлед ведет в Россию»: российских хакеров обвинили во взломе систем НАТО

Поводом для статьи стало недавнее расследование ведущей компанией Кремниевой Долины FireEye Inc взлома компьютерной системы неназванной американской фирмы, деятельность которой закрыта грифом «Совершенно секретно».Читать полностью »

в 7:51, , рубрики: безопасность, вирусы, информационная безопасность, компьютерная безопасность, РВСН, уязвимости

Похоже, что «компьютерные гении» призывного возраста отныне будут на особом счету у военкоматов. 1 октября президент России провел заседание Совета Безопасности, на котором обсуждались возможные меры защиты информационного пространства России.

СОПКА: зачем ракетным войскам России «белые хакеры»?

Через две недели пресс-служба Минобороны сообщила о том, что в российских ракетных войсках стратегического назначения, или РВСН, в скором будущем будут сформированы подразделения СОПКА, что расшифровывается как «Системы обнаружения и предупреждения компьютерных атак». Читать полностью »

в 15:09, , рубрики: вирусы, информационная безопасность, компьютерная безопасность, криптография, уязвимости

OpenSSL Project выпустил патч своего пакета для шифрования с открытым исходным кодом с целью исправления недавно обнаруженной уязвимости POODLE SSL и других. Обновления доступны для OpenSSL 0.9.8zc, 1.0.0o и 1.0.1j.

OpenSSL закрыл четыре опасные уязвимости

Читать полностью »

в 14:29, , рубрики: Facebook, вирусы, информационная безопасность, компьютерная безопасность, социальные сети, уязвимости

Компания Facebook увеличила вдвое награду для разработчиков и экспертов по информационной безопасности за обнаружение уязвимостей в коде рекламной системы своей сети. До настоящего времени средняя премия за обнаружение бага составляла $500, теперь выплата увеличивается до $1000.

Facebook удвоила антихакерскую премию

Решение выделить больше денег в призовой фонд для поощрения Белых шляп», последовало после ряда проверок, проведенных экспертами Facebook по безопасности. Читать полностью »

1...1020...262728...30...33
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js