Рубрика «уязвимости» - 31

в 13:24, , рубрики: hmac, md5, аутентификация, криптография, переводы, уязвимости, метки: , , , ,

От переводчика: Хоть посыл статьи Ali Najaf, переведённой ниже, и носит слегка рекламный оттенок («оставьте криптографию нам, экспертам»), но описанные в ней примеры показались мне довольно интересными и заслуживающими внимания.
Кроме того, никогда не будет лишним повторить прописную истину: не придумывайте свою крипто-защиту. И эта статья отлично иллюстрирует почему.

Читать полностью »

в 10:57, , рубрики: Блог компании Deiteriy, гост, информационная безопасность, стандарты, угрозы, уязвимости, ФСТЭК, метки: , , , ,

Ни для кого не секрет, что многие действующие российские государственные стандарты (ГОСТ) по информационной безопасности на текущий момент морально устарели. Это очевидно по той причине, что большинство их них разрабатывались в 80–90 годы, когда большая часть современных информационных технологий не применялась так широко, как сейчас, или просто не существовала.

С недавнего времени российские государственные регуляторы начали обновлять нормативную базу, что само по себе не может не радовать. На этом пути было и есть много подводных камней, ярким примером служит эпопея с Федеральным Законом № 152-ФЗ «О персональных данных» и сопровождающими его приказами ФСТЭК и ФСБ. Много копий было сломано, несколько итераций приказов ФСТЭК были приняты, а затем заменены новыми версиями. И вот на днях, а именно 14 мая 2013 года Министерством Юстиции был зарегистрирован свежий приказ ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который профессиональное сообщество приняло в целом с одобрением. Стоит отдельно сказать, что при разработке этого документа регулятор обращался в том числе к независимым экспертам отрасли.

Положительной тенденцией ФСТЭК стало то, что теперь при разработке новых норм регулятор спрашивает общество его мнение относительно разрабатываемых документов. И самым свежим примером являются недавно пришедшие к нам запросы.

Читать полностью »

в 21:46, , рубрики: mail.ru почта, Песочница, уязвимости, метки: ,

Mail.Ru — The Ghost Question Bug!

Уязвимость была довольно серьёзной и по этому хотелось придумать звучное название.
Почему назвали именно так узнаете ниже.

На днях я решил заново взяться за базу примари на mail.ru и побрутить ящики по секретным вопросам. В 2011 году было снято несколько сотен ящиков и по этому встал вопрос: где взять актуальные ответы!?
Недолго думая я обратился к недавно найденной хитрости. С её помощью можно узнать имя и фамилию от любого зарегистрированного ящика в mail.ru. Для этого проходим по ссылке www.icq.com/download/webicq/ru, входим в аську и в поиске вбиваем желаемое мыло.
В ответе нам приходит имя и фамилия из информации о владельце ящика, дата рождения и город.
Читать полностью »

в 11:33, , рубрики: badoo, Clickjacking, csrf, xss, Блог компании Badoo, информационная безопасность, конкурс, уязвимости, метки: , , , , ,

Конкурс уязвимостей, или Ломай меня полностью!19 марта мы объявили о начале месяца поиска уязвимостей «Проверь Badoo на прочность». Сегодня нам хочется подвести первые итоги и поделиться с вами промежуточными результатами, рассказать, как мы готовились к проверке на прочность, рассмотреть самые интересные уязвимости и сделать «фейспалм».

И для начала немного статистики:

  • за первые две недели участники прислали нам почти 500 заявок с потенциальными уязвимостями;
  • около 50 заявок оказались дубликатами;
  • каждая десятая заявка содержала в себе реальную уязвимость (самые опасные были исправлены в течение нескольких часов);
  • Более 150 заявок составили ошибки, не связанные с безопасностью сайта, и около 10% из них относятся к платформам, не участвующим в конкурсе.
  • большинство уязвимостей пришлось на самый главный компонент системы ― профиль (как только участники конкурса не издевались над аккаунтами пользователей: удаляли и загружали фотографии, манипулировали комментариями, интересами, личными данными и адресами электронной почты).
  • Более половины присланных уязвимостей ― различные CSRF, в основном затрагивающие загруженный или написанный пользователями контент (удаление и загрузка фото и комментариев, работа с чёрным списком, избранным и т.д.).

Читать полностью »

в 9:11, , рубрики: android, blackberry, iphone, windows phone, Блог компании «Apps4All», информационная безопасность, уязвимости, метки: , , , ,

Когда дело касается мобильной безопасности, то мы чаще всего обсуждаем Android с его вирусами и троянами, живущими в основном за пределами Google Play Store. Однако новое исследование SourceFire легко показало, что у iPhone больше проблем с безопасностью, чем у Android, BlackBerry и Windows Phone вместе взятых.

Аналитики SourceFire проанализировали уязвимости, записанные в Common Vulnerabilities and Exposures (CVE) и National Vulnerability Database (NVD) за 25 лет. Ив Йунан, ведущий исследователь в Vulnerabilities Research Team компании и автор отчета, говорит, что результаты, касающиеся мобильных платформ, были «удивительными».

У iPhone больше уязвимостей, чем у Android, BlackBerry и Windows Phone вместе взятыхЧитать полностью »

в 13:48, , рубрики: Firefox, Google Chrome, internet explorer, opera, браузеры, Егор Хомяков, информационная безопасность, уязвимости, метки: , , , , ,

Делаем гадости: незакрываемая вкладка в IE, Chrome и FirefoxПрограммист и хакер Егор Хомяков (блог, хабрreadonly), прославившийся год назад массовой публикацией CSRF, а также взломом сети GitHub, пару дней назад опубликовал в твиттере крайне интересный скрипт длиной всего в 92 символа. Ссылка на твит в конце статьи.

Этот самый скрипт позволяет «завесить» окно браузера в IE, в Google Chrome и частично в Firefox. Эффект от запуска виден справа – от этих диалоговых окон невозможно избавиться, они появляются снова и снова, блокируя доступ к главному окну браузера.
Читать полностью »

в 20:03, , рубрики: взлом, защита, защита информации, информационная безопасность, программы, Софт, уязвимости, форум, хакинг, метки: , , , , , , , ,

Иногда бывает нужно найти какую-любо программу для тестирования, на уязвомости. Я составил свой список русскоязычных ресурсов по ИБ где можно достать (купить или бесплатно добыть) софт или услуги той сферы.
Читать полностью »

в 10:27, , рубрики: each, php, private, ошибки, уязвимости, метки: , , , ,

Никогда не понимал зачем в PHP функция each. Ведь есть foreach…
Но сегодня у меня «сломался» один участок кода, который жил шесть лет.
Там была конструкция с использованием each.
ошибка была исправлена секунд за 30 — давно думал исправить это все на foreach, но оставлял в качестве напоминания о том, какой индокод у меня был в свое время. Но просто исправить и пройти мимо я не мог.
Итак each против ООП:
1 — each игнорирует области видимости и спокойно выводит private свойства.Читать полностью »

в 7:52, , рубрики: capture the flag, sha1, Алгоритмы, информационная безопасность, уязвимости, хэширование, метки: , , , ,

Когда на хабре был опубликован пост о том, что компания Stripe проводит конкурс Capture the Flag, я незамедлительно зарегистрировался как участник.

Каждый из девяти уровней представлял собой задачу по взлому системы и получению пароля к следующему уровню. Пароли могли храниться как в базах и файлах, так и в памяти. К слову, весь код был открыт, поэтому задачи сводились к анализу кода на уязвимости, тыкаться вслепую не нужно было.

Уровни с 0-го по 6-й не представляли особого труда — стандартные SQL- и JavaScript-инъекции, загрузка на сервер PHP-скрипта вместо картинки и т.п.

А вот 7-й уровень заставить меня поломать голову…
Читать полностью »

в 5:10, , рубрики: internet explorer, браузеры, Вирусы (и антивирусы), информационная безопасность, Новости, уязвимости, уязвимость

Взломщики обнаружили и используют новую уязвимость в Internet Explorer, специалисты по компьютерной безопасности рекомендуют прекратить использование IE до тех пор, пока Microsoft не выпустит исправление.Читать полностью »

1...1020...303132...33
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js