Рубрика «xss» - 8

в 15:19, , рубрики: hacking, kremlin, vkonakte, xss, информационная безопасность, метки: , , ,

Привет, читатель!
В этой статье не будет рассказываться о том, что такое XSS и с чем его едят. Все мы уже большие дяденьки (ну и тётеньки). Это статья о том, что внедрение произвольного кода бывает всегда и везде. Я покажу вам, что к таким видам атак уязвима самая популярная социальная сеть России и СНГ, а так же сайт президента РФ.
Уязвимости закрыты и мы можем начать.
Вы всё еще запускаете флешки из браузера? Тогда мы идем к вам.
Читать полностью »

в 11:13, , рубрики: xss, информационная безопасность, уязвимость, эксплойт, метки: , ,

Доброго времени суток. Я хочу немного рассказать об эксплойтах, о том как ко мне приходило понимание данного процесса. Читая в новостях очередное сообщение о том, что был взломан популярный веб-ресурс, я постоянно удивлялся, как это происходит.
Да, в интернете полно информации о найденных свежих уязвимостях, но как, зная об их наличие проникнуть в систему и извлечь конфиденциальную информацию – загадка. Я недавно начал изучать данную тематику и хочу поделиться информацией, которая, надеюсь, поможет сделать первые шаги.Читать полностью »

в 16:45, , рубрики: xss, грусть, информационная безопасность, электронное правительство, юмор, метки: , , ,

Сайт госдумы — рассадник экстремизма

С чего такие безрассудные выдумки, спросите вы меня? А ведь все достаточно просто.

В ожидании нового закона, как его сейчас принято называть — законом об цензуре в интернете (или просто — законопроект №89417-6), я путешествовал по просторам госдумовских сайтов и совершенно случайно наткнулся на рекламу алкоголя, пропаганду насилия, материалы экстремистского содержания.

Каким образом? Да оно же прямо под носом. Ну а более подробно под катом.
Читать полностью »

в 8:27, , рубрики: citrix, cross-site request forgery, cross-site scripting, csrf, positive hack days, positive technologies, xenserver, xss, Блог компании Positive Technologies, метки: , , , , , , ,

Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.
Читать полностью »

в 18:33, , рубрики: xss, информационная безопасность, метки:

Сделав свои дела на сайте mts, по привычке решил проверить строку поиска на XSS. На удивление быстро нашел, зарепортил, mts пофиксили. Детали под катом.Читать полностью »

в 9:18, , рубрики: xss, информационная безопасность, метки:

Доброго времени суток, %username%. Довольно давно беру сервера у одной хостинг-компании, занимающийся продажей, арендой и размещением серверов. Компания довольно приличная, имеются все нужные документы, а самое-то, что меня заинтересовало — это самописная биллинг панель. Компания решила остаться анонимной.

Всё началось недавно, когда мне захотелось проверить данную панель на уязвимости. Первым делом я начал искать XSS, т.к. полей ввода там было довольно много.

Читать полностью »

в 14:53, , рубрики: xss, банк, информационная безопасность, ошибки, Русский стандарт, метки: , , ,

Решил ради интереса посветить день обзору сайтов банков.
Первый из таких стал официальный сайт Россельхос Банка (реклама дала о себе знать :) ), следующий Русский стандарт банк, далее Альфа-Банк.

Целью было не взломать или добиться вывода какой-либо секретной информации, а просто проверить на сколько хорошо сделаны официальные сайты банков.
Читать полностью »

в 15:18, , рубрики: ustream.tv, xss, безопасность, Веб-разработка, информационная безопасность

Хранимая, фрагментированная XSS на ustream.tvXSS (Сross-site scripting) уязвимости увы далеко не редкость и встречаются куда чаще остальных, но интересные случаи связанные с ними можно пересчитать на пальцах двух рук. Я хочу рассказать об одном случае с фрагментированной XSS в теге meta у ресурса ustream.tv и искренне убежден, что это как раз тот самый интересный и далеко не частый случай. Всех кому интересно, прошу под кат;) Читать полностью »

в 16:41, , рубрики: php, xss, Афиша, информационная безопасность, яндекс, метки: , ,

Весь прошлый день провел в поисках XSS уязвимостей некоторых крупных сайтов. В итоге обнаружил XSS на нескольких официальных сайтах банков и на сайте Биглиона.
Администрация этих сайтов была уведомлена об уязвимостях, после их исправления — выложу пост с подробным описанием ошибок на сайтах банков.

В конце дня решил проверить есть ли такая дыра и в Яндексе.
Читать полностью »

в 8:18, , рубрики: chrome, client-side, crossdomain, DNS, Firefox, opera, php, SOP, xss, информационная безопасность, метки: , , , , , , , ,

Хочу поделиться одной особенностью при установке значений COOKIE, которую очень часто забывают веб-разработчики.
В моей практике исследования веб-приложений на уязвимости, за 2009-2011 года, данная ошибка встретилась в 87% веб-приложений, написанных на PHP.
Чтобы как-то уменьшить данный показатель, решил написать этот текст.

Речь пойдет даже не о httpOnly флаге, хотя его использование не менее важно и обязательно к применению.
Читать полностью »

1...789
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js