Метка «уязвимости и их эксплуатация»

в 16:28, , рубрики: Песочница, метки: , ,

Моя основная деятельность — это строительство разного рода ворот, калиток и другого вида заполнения для ограждения периметра вашего двора или территории предприятия. То есть занимаюсь самым древним и примитивным видом обеспечения безопасности. С недавних пор начал ставить разного вида автоматику на ворота и системы домофонов с электромеханическими замками, и как заядлому хабрачитателю мне сразу начали приходить в голову идеи как можно обойти предусмотренные системы безопасности так заядло рекламируемые производителями.

Окончательно идея написать статью появилась после того, как к одному нашему клиенту ворвалась СБУ (Служба Безопасности Украины) причем не так элегантно как в фильмах про шпионов, а просто выбив дверь.
Читать полностью »

в 18:22, , рубрики: Песочница, метки: , ,

В самом конце сентября был создан ticket, а позже присвоен CVE: 2014-7235. Суть, в том, что злоумышленниками был найден способ через web-интерфейс загружать и выполнять shell-скрипты на сервере IP-телефонии, авторизация не спасает. В основном используется для генерации call-файлов, но не только…

Эта история о том, как наша команда столкнулась с эксплуатацией этой уязвимости на забытом сервере, где был выключен iptables.
Читать полностью »

в 20:57, , рубрики: Вирусы (и антивирусы), дыры в безопасности, информационная безопасность, роутер, Сетевое оборудование, уязвимости и их эксплуатация, метки: , ,

Есть такая давольно популярная линейка рутеров в Европах — AVM Fritz!Box. Это и рутер и мини АТС и для VOIP- и для аналоговой или ISDN-телефонии и медиа-сервер и вообще все-что-хочешь в одном.
Особенно топовые модели у AVM всегда отличались «умом и сообразительностью»(TM). Вплоть до того, что некоторые модели имеют систему «умный дом» (на базе FHEM сервера) и кучу других вкусностей.

Та же функция перенаправления звонка, например.

Например, звонок с сотового из Германии в Россию обычно сильно дорог, но Фритц можно настроить так, что он будет входящий на одну из линий звонок перенаправлять (через другую VOIP линию) на набраный затем российский номер. Таким образом можно звонить «через дом» заграницу с мобильного на два порядка дешевле…

Ваш покорный слуга плотно подсел на фритцы лет дтцать назад и ниразу не жалел (до недавного времени).
Скажу сразу — уязвимость это мягко сказано — это просто огромная дыра. И по моему скромному мнению, во всей этой истории AVM себя повела не совсем, скажем так, адекватно.

Читать полностью »

в 7:59, , рубрики: javascript, xss, Блог компании Журнал Хакер, информационная безопасность, уязвимости и их эксплуатация, метки: , ,

В поисках лазеек: гид по DOM Based XSS

XSS неспроста стоит в верхней части списка опасностей OWASP TOP 10. Любой толковый программист о них знает. Но это не мешает статистике: восемь из десяти веб-приложений имеют XSS-уязвимости. А если вспомнить личный опыт пентестов банков, то более реальной представляется картина «десять из десяти». Кажется, тема изъезжена от и до, однако есть подвид XSS, который по разным причинам потерялся. Это — DOM Based XSS. И как раз о нем я сегодня пишу.

Читать полностью »

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js