Pull to refresh
  • by relevance
  • by date
  • by rating

Новый API для мобильной версии Google Chrome подвергли критике за нарушение конфиденциальности

Information Security *Google API *Google Cloud Vision API *IT-companies
image

Разработка Google Chrome столкнулась с критикой из-за нового API — getInstalledRelatedApps. По мнению экспертов, он может серьезно повлиять на конфиденциальность данных пользователей.

API getInstalledRelatedApps разрабатывают с 2015 года. В Chrome 59 его внедрили в качестве эксперимента. API позволяет разработчикам определить, установлено ли их приложение на устройстве пользователя и, к примеру, избежать выведения одного уведомления дважды.

Эксперты, однако, указывают, что getInstalledRelatedApps спроектирован, скорее, в интересах девелоперов, а при некорректном использовании несет угрозу для безопасности и конфиденциальности данных пользователей. Если владелец ресурса с помощью getInstalledRelatedApps вычислит, какие приложения установлены на устройстве, то сможет использовать эту информацию в своих целях. Еще большая угроза заключается в том, что злоумышленники при получении такой информации смогут формировать целевые фишинговые письма или взламывать устройство через уязвимости в приложениях.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 4.1K
Comments 2

27 августа приглашаем на онлайн-митап Hot Frontend

Information Security *Website development *VK API *Conferences Game design *
Всем привет! В июле мы провели в Краснодаре первый митап по Backend-технологиям – а теперь самое время обсудить Frontend. Приглашаем на онлайн-митап с разработчиками SimbirSoft. Как всегда, участие бесплатное, а за самые интересные вопросы спикеры подарят полезные подарки.

Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 907
Comments 0

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

DataLine corporate blog Information Security *Website development *Cloud services


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 753
Comments 0

В бета-версию Chrome 89 добавили функции доступа к аппаратному обеспечению. Их критикуют Apple и Mozilla

Information Security *Google Chrome API *Browser extensions Browsers

Google выпустила бета-версию Chrome 89, добавив дополнительные API взаимодействия с аппаратным обеспечением. Mozilla и Apple выступили с критикой этих функций.

Читать далее
Total votes 19: ↑17 and ↓2 +15
Views 22K
Comments 46

10 шагов для защиты вашего WordPress блога

WordPress *
Translation
Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress — при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress — как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin», которое отображается только после авторизации. Мы сознательно выделили фразу "после авторизации" — вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

gilt-zu-schuetzen-administrationsbereich-in-wordpress

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.
Читать дальше →
Total votes 57: ↑47 and ↓10 +37
Views 62K
Comments 51

Защищенность правительственных сайтов

Information Security *
В процессе подготовки к семинару про тестирование защищенности веб-приложений решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.

При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
  • 5 сайтов подвержены пассивному XSS,
  • 1 сайт подвержен слепой SQL-инъекции,
  • 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
  • 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
  • 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.
В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.

Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
Total votes 43: ↑40 and ↓3 +37
Views 730
Comments 58

Как сделать из Яндекс.Диск'а безлимитную систему хранения файлов

Lumber room
Эта статья является заключительной в серии моих постов про Яндекс.Диск и загрузку файлов: обход каптчи, даунлоад части файла с RANGE запросом из удаленного источника и автоматический аплоад на Яндекс.Диск. Все эти посты объединяет одно желание, разобраться, как именно работает система защиты Яндекс.Диск'а и какие у нее недостатки. Я ни в коем случае не хочу сказать, что в Яндексе работают непрофессионалы, наоборот, изучая код, я пришел к обратному выводу. Единственная цель этой статьи, на примере Яндекс.Диск'a показать, как можно из бесплатного файлового хостинга сделать бесплатное хранилище под Ваш проект, просто идея. Ну и конечно, дать некоторую пищу для размышления разработчикам подобных сервисов.

Итак, представляю вашему вниманию пример использования файлового хостинга Яндекс.Диск несовсем по назначению.
Читать дальше →
Total votes 27: ↑20 and ↓7 +13
Views 7.3K
Comments 19

Безопасность SharePoint — Часть 2. Аутентификация пользователей

ECM *
Для начинающих SharePoint представляется чем-то большим и непонятным. А между тем, SharePoint – обычное ASP.NET приложение, работающее на IIS. Это, безусловно, отражается и на системе безопасности, важным элементом которой является аутентификация пользователей.
Читать дальше →
Total votes 12: ↑6 and ↓6 0
Views 4.8K
Comments 0

Безопасность сайтов с лирическими отступлениями

Information Security *
Недавно я писал для одного заказчика обзорный документ по безопасности web приложений, после чего я подумал, что было бы неплохо выложить его на общее обозрение.
Статья написана для непрофессионалов, поэтому дабы сделать ее более интересной для притязательных пользователей хабра, я разбавил текст некоторыми случаями из жизни.
Читать дальше →
Total votes 80: ↑74 and ↓6 +68
Views 9.5K
Comments 41

Когда безопасности в вэбе становится слишком много?

Lumber room
Translation
Меня всегда интересовал баланс «риска и доходности» в рамках публичной безопасности: какой уровень риска считать приемлемым для сохранения эффективности и производительности?

Примеры можно видеть всюду. Однажды, на одном из перекрестков одного из городов происходит несчастный случай: машина сбивает ребенка.

Общественность возмущена, чиновники города собираются на совещание, и вот результат: 60.000 долларов тратится на установку лежачих полицейских, оград и светофоров на этом перекрестке — даже, если было очевидно, что авария произошла по вине пьяного водителя и не была связана с особенностями самого перекрестка.
Читать дальше →
Total votes 24: ↑20 and ↓4 +16
Views 325
Comments 13

Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript

Information Security *
Sandbox
chi.mp
Небезызвестный лайфстрим сервис с бесплатным доменом второго уровня.
Погуглим:
google.com site:*.mp
227 000 — не так уж и мало. Большая часть выдачи — как раз блоги на chi.mp.
Но про безопасность как всегда забыли.
Читать дальше →
Total votes 7: ↑5 and ↓2 +3
Views 1.6K
Comments 6

Google выпустил расширение для Chrome, отслеживающее потенциально опасные веб-приложения

Browsers


Корпорация Google на днях сообщила о выходе нового экспериментального расширения для браузера Chrome, который позволит обнаруживать ошибки в «client-side» коде, приводящие к появлению уязвимостей различного рода. Расширение получило название DOM Snitch, и оно способно перехватывать вызовы JavaScript, позволяя отслеживать работу различных функций. По словам создателей DOM Snitch, расширение в первую очередь предназначено для разработчиков и тестеров.

Читать дальше →
Total votes 12: ↑7 and ↓5 +2
Views 873
Comments 2

Раскрытие чувствительной информации на сайте Chaos Constructions 2011

Information Security *
Не так давно в Санкт-Петербурге прошёл Chaos Constructions 2011 — фестиваль компьютерного искусства. У фестиваля есть официальный сайт. На этом сайте я обнаружил full path disclosure, а также раскрытие некоторой информации о структуре базы данных. Найдено было за пару дней до самого фестиваля. Но, так как я являлся докладчиком, я не стал публиковать информацию об этом раньше. И делаю это только сейчас.
Читать дальше →
Total votes 16: ↑6 and ↓10 -4
Views 794
Comments 11

HackQuest закончен?! HackQuest продолжается!

Positive Technologies corporate blog
Ante Scriptum

До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).

Вступайте и компилируйте!

Scriptum

26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.

Итак, как это было.
Total votes 10: ↑9 and ↓1 +8
Views 4.2K
Comments 2

Взлом из «облака», Russian.Leaks, обход WAF, защита VOIP и многое другое!

Positive Technologies corporate blog
Опубликованы материалы вебинаров, проведенных Positive Technologies в рамках образовательной программы «Практическая безопасность».
Программа направлена на повышение осведомленности специалистов о существующих угрозах, методах и подходах к анализу защищенности, а также об управлении соответствием стандартам и контроле эффективности средств защиты. В качестве докладчиков выступают известные эксперты по информационной безопасности — представители компании Positive Technologies и исследовательского центра Positive Research.
За 2011 год было проведено более 10 вебинаров, собравших более 1500 слушателей из различных стран мира. Были представлены доклады по вопросам безопасности Web, облачных вычислений, сетевой инфраструктуры, VOIP-сетей, обзоры по тематике контроля соответствия стандартам, оценки эффективности средств защиты информации и практическому использованию системы контроля защищенности и соответствия стандартам MaxPatrol.

Архив записей выступлений и презентаций докладов доступны по следующему адресу:
http://www.ptsecurity.ru/webinars.asp?t=1

С удовольствием выслушаем пожелания хабролюдей по темам выступлений в 2012 году!
Total votes 5: ↑3 and ↓2 +1
Views 2K
Comments 0

Twitter признался в использовании адресных книг пользователей

Social networks and communities
#address book

Администрация сервиса микроблогов Twitter признала, что копировала адресные книги со смартфонов пользователей, не уведомляя их об этом.

Читать дальше →
Total votes 47: ↑42 and ↓5 +37
Views 1.1K
Comments 47

Самый частый шаблон SQL инъекций в РНР — бесполезное экранирование символов

Information Security *
Sandbox
По роду своей деятельности, мне приходится выполнять аудиты безопасности исходного кода веб-приложений.
Много веб-приложений и много кода…

В этой статье я хотел бы поделиться одной простой (очень простой) истиной и статистикой, которые вывел и многократно проверил в течении трех последний лет просмотра тонн РНР кода.

Не секрет, что уязвимости внедрения операторов СУБД (SQL injections) являются самыми распространенными из всех серверных уязвимостей веб-приложений. Есть платформы и фреймворки, где такие вещи практически полностью исключены, например ORM'ом и прочим. Но статистика упорно говорит нам об абсолютном преобладании на просторах Интернета веб-приложений с простыми конкатенированными SQL запросами. Кроме того, есть случаи, где ORM вообще применим быть не может. Например, когда от пользовательских данных должны зависеть не только параметры выражений, но и сама логика запроса на уровне операторов.
Читать дальше →
Total votes 90: ↑78 and ↓12 +66
Views 34K
Comments 148

Логические уязвимости при составлении SQL запросов с LIKE

Information Security *
Когда пользовательские данные попадают в запрос под оператор LIKE следует быть предельно внимательными.
Дело в том, что ни одна функция фильтрации, включая mysql_real_escape_string, и даже prepared statements не защитят от логических ошибок, связанных с wildcard символами.

В нашей практике аудита веб-приложений, данная ошибка встречается примерно в каждом пятом веб-приложении, уязвимом к SQL-инъекциям (19.3%).

Оператор LIKE используется для поиска по неточному значению, строковых типов.
Синтаксис оператора позволяет использовать wildcard семантику, где
% заменяет классический * — последовательность любых символов
_ заменяет классический? — любой одиночный символ

Частая ошибка разработчиков состоит в том, что символы % и _ не фильтруются в попадании пользовательских данных в SQL запрос. Да, нарушить синтаксис запроса, то есть выполнить внедрение операторов, в этом случае нельзя, но может пострадать логика работы веб-приложения.
Читать дальше →
Total votes 24: ↑15 and ↓9 +6
Views 8.1K
Comments 13

Очередная схватка с веб-вирусами

Information Security *
Доброго времени суток, уважаемые хабрапользователи. Наконец-то у меня появился ещё один клиент позволивший на условиях анонимности описать решение его проблемы. Под катом рассказ о том, как происходила борьба с вредоносным кодом, появляющемся на сайтах заказчика несколькими путями одновременно. В связи с тем, что статьи большого объёма много кому не нравятся, в этот раз я постарался изложить всё как можно короче.
Читать дальше →
Total votes 53: ↑48 and ↓5 +43
Views 3.1K
Comments 14

Мастер-классы PHDays 2012: от защиты сетей Wi-Fi до безопасности SAP и Web 2.0

Positive Technologies corporate blog Information Security *
Существует ли возможность взломать компьютер через мышь, клавиатуру или принтер? насколько защищен Android? что должен знать этичный хакер? сложно ли поймать киберпреступника? безопасен ли HTML5? Можно обо всем об этом гадать — а можно участвовать в Hands-on Lab на форуме Positive Hack Days 2012 и получить ответы на все эти вопросы.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 7.1K
Comments 5