Pull to refresh
  • by relevance
  • by date
  • by rating

Разбитое ветровое стекло Tesla Model 3 принесло хакеру $10 000 по программе Bug Bounty

Information Security *Transport

Идея в том, что название хакерского автомобиля с XSS-пейлоадом всплывёт где-нибудь во внутренних системах Tesla Motors

Специалист по безопасности Сэм Карри рассказал, как ему удалось обнаружить критическую уязвимость в приложении удалённой диагностики Tesla Model 3. Этот автомобиль со встроенным веб-браузером, бесплатным LTE и беспроводным обновлением программного обеспечения — настоящий компьютер на колёсах.

Итак, все началось с того, что ему в ветровое стекло попал камень. Здесь-то и сработал установленный заранее XSS-хантер.
Читать дальше →
Total votes 62: ↑57 and ↓5 +52
Views 18K
Comments 7

Исследование: российские государственные сайты свободно делятся информацией о посетителях с иностранцами

Information Security *

Официальные сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями. Об этом говорится в исследовании специалистов Общественного движения «Информация для всех», которые провели мониторинг интернет-ресурсов органов власти федерального уровня. 

Читать далее
Total votes 8: ↑7 and ↓1 +6
Views 5.2K
Comments 6

В британском реестре компаний обнаружили XSS

Information Security *JavaScript *HTML *

Выпуск комикса XKCD 327 «Мамины эксплойты» в переводе xkcd.ru

20 октября некто Джим Уокер поделился на форуме разработчиков британского государственного реестра компаний Companies House интересным наблюдением. Companies House допускает в именах компаний символы < и >. Это открывает простор для атак на тех сайтах, которые не фильтруют и не экранируют управляющие символы корректным образом. Если сайт отображает название компании и не санитизирует данные, то он потенциально уязвим к XSS-атаке.

Уокер обнаружил, что 16 октября некий Майкл Джон Тэнди зарегистрировал компанию с названием "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD. Если XSS-фильтра нет, то такое имя компании внедряет на веб-страницу код, который вызывает внешний JavaScript.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 3.3K
Comments 4

Хакерские форумы запретили рекламу и обсуждения вирусов-криптовымогателей

Information Security *Cryptography *

Команда разработчиков крупного форума Exploit, который используется для найма хакеров и рекламы услуг Ransomware-as-a-Service (RaaS), объявила, что отныне реклама программ-вымогателей запрещена и будет удалена. С аналогичным заявлением выступил русскоязычный хакерский форум XSS.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views 4.1K
Comments 10

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

Information Security *Domain names administrating *Legislation in IT

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 6.4K
Comments 33

XSS-червь: кто меньше?

Information Security *
Наткнулся на днях на новость о конкурсе, в котором предлагают создать минимальный JavaScript-код, который будет сам себя копировать дальше. Автор конкурса — Robert Hansen aka RSnake, достаточно крупный специалист по информационной безопасности.

Условия



По условиям конкурса от кода требовалось следующее:
Читать дальше →
Total votes 46: ↑45 and ↓1 +44
Views 9K
Comments 16

Jevix 0.9.5

Typography *


Опубликована новая версия Jevix — 0.9.5.

Основное отличие новой версии в том, что с этих пор Jevix можно использовать как средство для всестороннего контроля и преобразования текстовых данных больших интернет-проектов с «User-Generated» материалом.

Теперь Jevix умеет не только применять правила типографики, унифицировать HTML/XML разметку, но и контролировать перечень допустимых тегов с возможностью определения списка допустимых атрибутов для каждого тега отдельно. Также предусмотрена возможность предотвращения вероятных XSS-атак, скрытых в HTML-коде.

Читать дальше →
Total votes 44: ↑39 and ↓5 +34
Views 998
Comments 56

События на хабре, vote_up_down и многое другое

Drupal *
После событий на хабре потестировал локальный drupal-сайт, потом повторил эксперимент на drupal.ru
А ведь замечательный модуль vote_up_down можно крутить для любого топика в любую сторону с помощью банального добавления нужной урлы в src картинки и это практически самое безобидное что можно делать.
Хотелось бы выслушать мнения по этому поводу.

P.S. А вы говорите: "ноутбук за 100 доларов каждому африканскому ребенку социальная сеть за 300 доларов и 7 дней на drupal".
Total votes 38: ↑31 and ↓7 +24
Views 550
Comments 49

Безопасность в PHP (Обработка даных полученных от пользователей)

Lumber room
Хочу рассказать о простых приемах, которые помогут обезопасить ваш скрипт.

Общие положения


Всегда проверяйте полученные данные от пользователя ($_POST, $_GET, $_REQUEST, $_COOKIE, $_FILES), причем не только от разных инъекций, XSS и прочего, но и на корректность вводимых данных, например, если у вас интернет магазин, то проверяйте, чтобы количество товаров было не отрицательным и целым.

Представьте себя на месте хакера, подумайте чтобы вы сделали с сайтом.
Более подробно о методах защиты
Total votes 16: ↑7 and ↓9 -2
Views 3.5K
Comments 29

asp.net: Microsoft Anti-Cross Site Scripting Library еще один способ защиты от XSS-атак

.NET *

Небольшое введение.


Атаки XSS (cross-site scripting) на веб-ресурсы не зависят от платформы, среды разработки, веб-сервера или языка программирования. Основа успеха при этой атаки смешивание кода и данных, когда на сайте данные контента формируются в коде, как, например, в следующем примере:
Читать дальше →
Total votes 19: ↑15 and ↓4 +11
Views 2.7K
Comments 4

Практический JS: проблемы innerHTML

Website development *
Translation
Примечание: ниже перевод статьи Julien Lecomte «The Problem With innerHTML», в которой автор рассматривает проблемы при использовании метода innerHTML в современных браузерах и предлагает ряд советов, как ее можно избежать. Мои комментарии далее курсивом

Свойство innerHTML крайне популярно среди веб-разработчиков в силу своей простоты и удобства, поскольку оно совершено элементарно позволяет заменить HTML-содержание у конкретного тега. Можно также воспользоваться DOM Level 2 API (removeChild, createElement, appendChild), но использование innerHTML гораздо более простой и эффективный способ для модификации DOM-дерева. Однако, есть ряд проблем при использовании innerHTML, которых следует избегать:

  • Неправильная обработка свойства innerHTML может привести к атакам, связанным со script-инъекциями (XSS) в Internet Explorer, когда HTML-строка содержит вызов <script>, помеченного как отложенный: <script defer>...</script>
  • Выставление свойства innerHTML уничтожит все текущие вложенные HTML-элементы со всеми обработчиками событий, что потенциально может вызвать утечки памяти в некоторых браузерах.


Есть и еще несколько более мелких недостатков, которые тоже стоит упомянуть:

  • Нельзя получить ссылку на только что созданные элементы, вам приходится добавлять код для получения ссылки на них вручную (используя DOM API).
  • Вы не можете выставить innerHTML для всех HTML-элементов во всех браузерах (к примеру, Internet Explorer не позволяет выставить innerHTML для строки таблицы (tr)).


Читать дальше →
Total votes 35: ↑33 and ↓2 +31
Views 38K
Comments 50

Intrusion Detection For PHP Applications With PHPIDS

PHP *
Translation
Эта статья покажет как настроить PHPIDS. PHPIDS (PHP-Intrusion Detection System) — это легко используемая, хорошо структурированная, быстрая прослойка для анализа безопасности ваших приложений. IDS — не является прослойкой для анализа данных, введенных пользователем, он только распознает, когда пытаются атаковать ваш сайт. на основе набора проверенных и оттестированных правил каждой атаке сопоставлен рейтинг ее опасности. Это позволит легко сохранять статистику по атакам или отсылать уведомления для команды разработчиков.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 3.4K
Comments 20

JavaScript Cross Site (XSS) POST

JavaScript *
Недавно, в Dojo появилась возможность производить cross site POST запросы, т.е. отправка POST запросов на другие сайты, с другими доменными именами. Это событие осталось незамеченным в нашем сообществе JavaScript разработчиков. По крайней мере, никто и слова про это не сказал. А зря…

В один прекрасный момент
Читать дальше →
Total votes 62: ↑57 and ↓5 +52
Views 12K
Comments 73

Свершилось — Jevix 1.0

Habr

Jevix — система автоматического применения правил набора текстов (типографика) разработанная в ТМ™ для собственных проектов (Хабр, Кадабра, Дрибблер), с открытым исходным кодом, наделённая способностью унифицировать разметку HTML/XML документов, контролировать перечень допустимых тегов и атрибутов и предотвращать возможные XSS-атаки в коде документов.

В связи с катастрофической нехваткой времени, не смотря на мои обещания, код версии 1.0 выложен только сегодня. Но зато он всё же вышел! Причём вместе с исправлением вчерашнего хабрабага с перечёркиванием текста.

Теперь Jevix доступен на google code. Я не поссорился с Juks — автором perl-версии (если кто что подумал) — просто с google code мне работать проще.
Читать дальше →
Total votes 107: ↑105 and ↓2 +103
Views 2.3K
Comments 104

Мирный XSS

JavaScript *
Эта статья о мирном атомеXSS. Заставим зло работать на добро!

А зачем?


Простейший пример всё объяснит:
Вы разрабатываете веб-сервис, который поставляет данные другим сайтам (погода, данные по торгам в реальном времени, чат и т.п). Вам нужно организовать кроссайтовую передачу данных(данные погоды, торгов, текст чата) на стороне клиента.

Методы организации XSS

  1. Через тэг iframe
  2. Через тэг script
  3. Через flash<->javascript
  4. Через window.name + iframe + form
  5. Через CSS хак
  6. Через canvas + img
  7. Через прокси
Реализация каждого метода
Total votes 98: ↑87 and ↓11 +76
Views 8.5K
Comments 23

Очередная инъекция XSS в рамблере.

Lumber room
По мотивам хабратопика. Решил посмотреть остальные поисковые сервисы рамблера, FTP-Search оказался
уязвим

Увы исправив в одном месте забыли в остальных…

UPD. Был сильно удивлён какое кол-во поисковиков не умеет обрабатывать такую фигню (Au.ru, Webalta)…
Total votes 17: ↑14 and ↓3 +11
Views 1.4K
Comments 11

О самоподписных сертификатах

Information Security *
В связи с моим участием в проекте fin-ack.com постоянно сталкиваюсь с подобными замечаниями:
я не доверяю вашому самоподписному сертификату, почему вы не купите «нормальный» сертификат?

Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых «Хакеров, крекеров, спамов, куки» :). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.

Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть :) Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…

А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing'ом или pharming'ом.
  • При фишинге пользователя перенаправляют на сайт с похожим URL. При этом в браузере обязательно появится предупреждение про сертификат (такое же предупреждение появляется и при первом заходе на реальный сайт с самоподписным сертификатом).

    В общем-то, в этой ситуации достаточно просто посмотреть к какому домену относится сертификат, и если это именно тот домен, на который вы хотели попасть, добавить сертификат в доверенные. После этого любое сообщение о недоверенном сертификате для данного сайта можно воспринимать как тревожный звоночек.
  • Отличие фарминга в том, что в данном случае пользователь попадет как-бы на тот сайт, на который хотел (судя по URL). Впрочем, ему также как и при фишинге будет показано сообщение о недоверенном сертификате.

Но это только начало...
Total votes 83: ↑59 and ↓24 +35
Views 22K
Comments 174

Фильтрация XSS

Lumber room
Все мы знаем о таком типе атаки как XSS (о их видах и способах применения было написано много), все мы знаем какую опасность может нанести такая атака, а также о том, что всегда нужно проверять входящие данные на наличие XSS — об этом пишут везде.

Но о том, чем именно и как именно защититься – информации практически нет.
подробности
Total votes 11: ↑6 and ↓5 +1
Views 660
Comments 34