Ни для кого не секрет, что технология RemoteApp внедрённая в Windows 2008 это ответ Microsoft технологиям доступа к приложениям компании Citrix. Всё бы ничего, но для использования данной технологии в повседневной жизни, без наличия RD Gateway, нужен открытый наружу RDP Port tcp/3389. Наблюдая за своими терминальными серверами, я обнаружил что сервера постоянно подвергаются brute-force атакам подбора паролей различных пользователей.
Дабы не испытывать судьбу я немного модифицировал схему доступа к RDP.
Метка «security» - 5
Повышение безопасности сервера RemoteApp
2013-04-15 в 7:12, admin, рубрики: firewall, freebsd, microsoft, remote desktop, security, информационная безопасность, системное администрирование, метки: firewall, freebsd, remote desktop, securityContactManager, часть 4. Добавляем веб-сервис (REST)
2013-03-26 в 12:31, admin, рубрики: java, rest, security, spring, webservice, метки: java, rest, security, spring, webserviceНе успели просохнуть чернила на предыдущей версии приложения ContactManager, как раздался телефонный звонок, и я услышал в трубке голос приятеля, который начал осваивать разработку под Андроид и искал тестовый проект, на котором он мог бы практиковаться в работе с web-сервисами.
«Нет ничего проще!» — ответил я.
Читать полностью »
Выпущены Rails 3.2.13, 3.1.12, и 2.3.18: исправление 4х уязвимостей безопасности
2013-03-19 в 8:12, admin, рубрики: ruby, ruby on rails, security, РЕШЕТО, метки: ruby, ruby on rails, security, РЕШЕТО 
Итак, найдены очередные уязвимости в Rails. На этот раз их 4:
- CVE-2013-1854 Symbol DoS vulnerability in Active Record
- CVE-2013-1855 XSS vulnerability in sanitize_css in Action Pack
- CVE-2013-1856 XML Parsing Vulnerability affecting JRuby users
- CVE-2013-1857 XSS Vulnerability in the sanitize helper of Ruby on Rails
Уязвимости исправлены в версиях 3.2.13, 3.1.12, и 2.3.18. Настоятельно рекомендуется обновиться.
Подробнее тут.
Хранители: обзор приложений для хранения данных кредитных карт
2013-03-12 в 13:07, admin, рубрики: 2can, mobile apps, security, безопасность, Блог компании «2can», кошелек, кредитные карты, мобильные приложения, обзор приложений, хранение паролей, метки: 2can, mobile apps, security, безопасность, кошелек, кредитные карты, мобильные приложения, обзор приложений, хранение паролейНесмотря на то, что терминалы мобильного эквайринга, такие как Square или 2can позволяют принимать платежные карточки просто ставя подпись на экране смартфона или планшета, наша жизнь все еще буквально напичкана всевозможными номерами счетов, паролей, пин-кодов и другой конфиденциальной информацией, которую мы должны помнить и отслеживать. Пароли для часто посещаемых веб-сайтов, кредитных карт, банковских счетов, пароли для соцсетей или специализированных групп, номер водительского удостоверения, паспорта и страховки — это лишь малое количество примеров информации, которая бывает иногда нужна нам.
SSRF DoS Relaying
2013-03-04 в 11:51, admin, рубрики: dos, FTP, security, Блог компании «Digital Security», информационная безопасность, метки: dos, FTP, securityЗа 2012 год SSRF-атаки превратились из чего-то экзотического во вполне реальную угрозу. Работы Александра Полякова, Владимира Воронцова и других исследователей в этой области составили практически полную картину различных механизмов проведения таких атак и возможных последствий. Тем не менее, поскольку разработка этой тематики началась сравнительно недавно, поле для исследований еще остается.
В этой статье будет рассмотрена небольшая особенность протокола FTP, благодаря которой уязвимость, позволяющей провести SSRF-атаку, можно использовать не только для получения информации или развития вектора атаки, но и для релеинга атак типа DoS как на внешние, так и на внутренние системы (в том числе и на систему с уязвимостью, позволяющей DoS-атаку).
На пути к созданию безопасного веб-ресурса. Часть 2 — разработка
2013-02-20 в 21:30, admin, рубрики: php, security, архитектура, безопасность, информационная безопасность, метки: PHP, security, архитектура, безопасность Я рад продолжить рассказывать свои взгляды к подходам создания безопасных веб-ресурсов и веб-приложений и перейти от первой части, которая содержит в себе некоторые общеполезные security-инструкции, ко второй — разработке самого приложения.
Читать полностью »
Срочно обновляемся до Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 во благо собственных нервов
2013-02-11 в 20:48, admin, рубрики: FIX, json, ruby, ruby on rails, security, информационная безопасность, метки: json, ruby, ruby on rails, security, патч 
Доброго времени суток, дорогой читатель. Надеюсь, что ты читаешь этот короткий пост за своим утренним кофе, и тебе не пришлось творить экстренный деплой посреди ночи. Иначе — соболезную, и предлагаю тебе обновить свои Ruby on Rails приложения прямо сейчас.
Читать полностью »
Об одной малоизвестной уязвимости в веб сайтах
2013-02-11 в 6:56, admin, рубрики: http, nginx, php, security, информационная безопасность, метки: http, nginx, PHP, securityПервое правило безопасности при разработке Веб приложений гласит: —
Не доверять данным пришедшим от клиента.
Почти все это правило хорошо знают и соблюдают. Мы пропускаем через валидаторы данные форм, кукисы, даже URI.
Но недавно я с удивлением обнаружил, что есть одна переменная, приходящая от клиента, которую почти никто не фильтрует.
Речь пойдет о компрометации веб приложения через подмену значения HTTP_HOST и SERVER_NAME.
Читать полностью »
На пути к созданию безопасного веб-ресурса. Часть 1 — серверное ПО
2013-02-09 в 8:58, admin, рубрики: nginx, php, security, информационная безопасность, метки: nginx, PHP, securityЯ уже довольно долгое время хочу формализовать все свои мысли, опыт, ежедневно применяемый на практике, и многое другое в одном месте и предоставить их общественности. Уверен, многим этот материал будет полезен. Он посвящен различным моментам в конфигурации серверного ПО Linux и безопасным подходам к созданию сайтов/приложений на php (все же это до сих пор одна из самых популярных связок, хоть её успешно и подвигают другие технологии).
Т.е. речь идет о типичной ситуации. Проект (стартап), купили под него сервер и разворачиваем на нем сайт. Бизнесу не нужно тратить лишних денег на сервера (поэтому будут выбраны наиболее производительные связки ПО), а так же нужно, чтобы все было безопасно, при чем бесплатно :)
Читать полностью »
Критическая уязвимость во всех версиях JunOS начиная с 7.6R1
2013-01-31 в 9:10, admin, рубрики: juniper, security, tcp, информационная безопасность, метки: juniper, security, tcpПриветствую,
Juniper опубликовал PR839412, который описывает уязвимость, существующую во всех версиях JunOS начиная с 7.6R1. Cпециально сформированный TCP-пакет направленный на RE (Routing Engine) маршрутизатора может привести к краху ядра. Деталей о том каким именно должен быть TCP-пакет — не предоставляется. На данный момент известных публичных эксплоитов нет.
Читать полностью »