Pull to refresh

Уязвимость xname.org

Reading time 2 min
Views 4.5K
Information Security *
Обнаружил на днях неприятную уязвимость на популярном DNS-хостинге XName.org
Дело в том, что ns2.xname.org позволяет выполнить трансфер любой зоны, находящейся на нем (AXFR-запросом) вне зависимости от того, откуда этот запрос приходит.
Читать дальше →
Total votes 34: ↑30 and ↓4 +26
Comments 8

Как не потерять почту когда умирают ДЦ или о надежности DNS

Reading time 3 min
Views 5.4K
Hosting
Многие недавно пострадали от одновременного падения тысяч серверов сначала в пожаре на hosting.ua, а затем при отключении на McHost. Зацепило и меня. Денег на умерших сайтах я не зарабатывал, однако почта постоянно нужна для деловой переписки. Несмотря на то, что почта у меня перенесена на Google (или как вариант на Yandex), ни одно письмо не могло до меня дойти, т.к. вместе с серверами умерли и Name-сервера, и отправители просто не могли прочитать MX-запись для моего домена. Итого, 26 часов я просидел без почты объясняя всем людям, с которыми я работаю, что им нужно дублировать все письма на другой ящик — достаточно унизительно и не профессионально.

Как же заставить почту работать даже если все сервера хостера лежат?
Читать дальше →
Total votes 78: ↑60 and ↓18 +42
Comments 79

Безопасность веб-ресурсов банков России

Reading time 12 min
Views 22K
Digital Security corporate blog Information Security *
image

В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.

Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.

Введение


Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Читать дальше →
Total votes 24: ↑19 and ↓5 +14
Comments 7

Список доменов в зоне ru/su/tatar/рф/дети доступен публично из-за некорректной настройки DNS

Reading time 4 min
Views 42K
Domain names administrating *DNS *
Начиная с 6 июня, на части DNS, обслуживающих российские доменные зоны, разрешен трансфер (AXFR), который позволяет получить полный список доменных имен зон .ru, .su, .tatar, .рф и .дети.

AXFR-запрос доступен на следующих серверах:

  • a.dns.ripn.net
  • b.dns.ripn.net
  • d.dns.ripn.net
Читать дальше →
Total votes 75: ↑71 and ↓4 +67
Comments 73