После публикации нашей статьи «CSRF в Umbraco CMS», мы получили несколько сообщений с вопросами, которые касались процесса получения CVE. В данной статье рассматривается, как правильно поступить в том случае, когда вендор отказывается присваивать индекс CVE найденной в его продукте уязвимости.

Работа с обнаруженными уязвимостями производится в три основных этапа:

1. Уведомление вендора
2. Подтверждение и исправление найденной уязвимости
3. Публичное раскрытие информации

Интернет полон статей про UML, вы найдете сотни примеров для каждого вида диаграмм, и без проблем создадите свои, нотация не сложная. Но так ли уж необходимо тратить на это время? Наш богатый опыт говорит «Да». Если у вас в команде более 2 человек и проект от 3 месяцев, то уже имеет смысл отрисовать 2-3 вида диаграмм. В одной нашей команде более 30 человек, проект длительностью более 3 лет, и мы используем...2-3 вида диаграмм.

Нотация UML избыточна. С другой стороны она недостаточна для проектирования распределенных систем, и здесь нам помогает Archimate. В этой статье мы расскажем, что действительно полезно из всего этого многообразия, и рассмотрим на примере полный цикл создания диаграмм для проекта.

Подделка межсайтовых запросов может быть использована для проведения произвольных веб-запросов к системе управления контентом Umbraco CMS и идентификации её пользователей без их ведома. Такая атака всегда требует взаимодействия с пользователем, но, как правило, жертве достаточно перейти по специально подготовленной ссылке или посетить веб-страницу, которая находится под контролем злоумышленника. Благодаря этому появляется возможность активировать, деактивировать или полностью удалять учетные записи пользователей. Как следствие, возникает угроза DoS-атак на учетные записи.

Стандарт бесконтактных карт MIFARE Classic создан более 20 лет назад и, несмотря на ряд найденных с тех пор уязвимостей, широко используется до сих пор (в частности в Москве и Санкт-Петербурге). В этой статье мы вспомним, какие уязвимости были найдены, и расскажем, как их можно устранить.


Источник: Instagram@pro.ticketing

Традиционно для подобных статей напоминаем, что в России подделка и сбыт билетов преследуются по закону (ст. 327 и 165 УК РФ), и призываем читателей оставаться на светлой стороне силы.

В России сейчас нет единой, полной и достоверной информации об уровне госрасходов на ИКТ (информационно-коммуникационные технологии). Все, что можно найти, – очень противоречиво, нет единообразия этих данных.

Мы, как компания, имеющая дело в основном с государственными структурами, вынуждены постоянно проводить как анализ уже имеющихся у нас данных, так и делать собственные прогнозы на будущее госрасходов на ИТ, используя эти данные как базу и прибавляя к ним открытые источники информации.

На прошлой неделе вышел рейтинг агентства CNews Analytics «Крупнейшие поставщики решений для госсектора» и обзор «ИКТ в госсекторе».

Давайте разберемся, какой же реальный уровень государственных расходов на ИТ в нашей стране.