Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Разбитое ветровое стекло Tesla Model 3 принесло хакеру $10 000 по программе Bug Bounty

Информационная безопасность *Транспорт

Идея в том, что название хакерского автомобиля с XSS-пейлоадом всплывёт где-нибудь во внутренних системах Tesla Motors

Специалист по безопасности Сэм Карри рассказал, как ему удалось обнаружить критическую уязвимость в приложении удалённой диагностики Tesla Model 3. Этот автомобиль со встроенным веб-браузером, бесплатным LTE и беспроводным обновлением программного обеспечения — настоящий компьютер на колёсах.

Итак, все началось с того, что ему в ветровое стекло попал камень. Здесь-то и сработал установленный заранее XSS-хантер.
Читать дальше →
Всего голосов 62: ↑57 и ↓5 +52
Просмотры 18K
Комментарии 7

Исследование: российские государственные сайты свободно делятся информацией о посетителях с иностранцами

Информационная безопасность *

Официальные сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями. Об этом говорится в исследовании специалистов Общественного движения «Информация для всех», которые провели мониторинг интернет-ресурсов органов власти федерального уровня. 

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 5.2K
Комментарии 6

В британском реестре компаний обнаружили XSS

Информационная безопасность *JavaScript *HTML *

Выпуск комикса XKCD 327 «Мамины эксплойты» в переводе xkcd.ru

20 октября некто Джим Уокер поделился на форуме разработчиков британского государственного реестра компаний Companies House интересным наблюдением. Companies House допускает в именах компаний символы < и >. Это открывает простор для атак на тех сайтах, которые не фильтруют и не экранируют управляющие символы корректным образом. Если сайт отображает название компании и не санитизирует данные, то он потенциально уязвим к XSS-атаке.

Уокер обнаружил, что 16 октября некий Майкл Джон Тэнди зарегистрировал компанию с названием "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD. Если XSS-фильтра нет, то такое имя компании внедряет на веб-страницу код, который вызывает внешний JavaScript.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 3.3K
Комментарии 4

Хакерские форумы запретили рекламу и обсуждения вирусов-криптовымогателей

Информационная безопасность *Криптография *

Команда разработчиков крупного форума Exploit, который используется для найма хакеров и рекламы услуг Ransomware-as-a-Service (RaaS), объявила, что отныне реклама программ-вымогателей запрещена и будет удалена. С аналогичным заявлением выступил русскоязычный хакерский форум XSS.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 4.2K
Комментарии 10

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

Информационная безопасность *Администрирование доменных имен *Законодательство в IT

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 6.5K
Комментарии 33

Хакеры взломали платежный портал и сайты группировки REvil

Информационная безопасность *Платежные системы *Хранение данных *Законодательство в IT

По заявлениям партнеров вымогательской группировки REvil, хакеры захватили платежные системы и сайт утечек. Об этом пишет SecurityLab.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 1.6K
Комментарии 0

XSS-червь: кто меньше?

Информационная безопасность *
Наткнулся на днях на новость о конкурсе, в котором предлагают создать минимальный JavaScript-код, который будет сам себя копировать дальше. Автор конкурса — Robert Hansen aka RSnake, достаточно крупный специалист по информационной безопасности.

Условия



По условиям конкурса от кода требовалось следующее:
Читать дальше →
Всего голосов 46: ↑45 и ↓1 +44
Просмотры 9K
Комментарии 16

Jevix 0.9.5

Типографика *


Опубликована новая версия Jevix — 0.9.5.

Основное отличие новой версии в том, что с этих пор Jevix можно использовать как средство для всестороннего контроля и преобразования текстовых данных больших интернет-проектов с «User-Generated» материалом.

Теперь Jevix умеет не только применять правила типографики, унифицировать HTML/XML разметку, но и контролировать перечень допустимых тегов с возможностью определения списка допустимых атрибутов для каждого тега отдельно. Также предусмотрена возможность предотвращения вероятных XSS-атак, скрытых в HTML-коде.

Читать дальше →
Всего голосов 44: ↑39 и ↓5 +34
Просмотры 1K
Комментарии 56

События на хабре, vote_up_down и многое другое

Drupal *
После событий на хабре потестировал локальный drupal-сайт, потом повторил эксперимент на drupal.ru
А ведь замечательный модуль vote_up_down можно крутить для любого топика в любую сторону с помощью банального добавления нужной урлы в src картинки и это практически самое безобидное что можно делать.
Хотелось бы выслушать мнения по этому поводу.

P.S. А вы говорите: "ноутбук за 100 доларов каждому африканскому ребенку социальная сеть за 300 доларов и 7 дней на drupal".
Всего голосов 38: ↑31 и ↓7 +24
Просмотры 556
Комментарии 49

Безопасность в PHP (Обработка даных полученных от пользователей)

Чулан
Хочу рассказать о простых приемах, которые помогут обезопасить ваш скрипт.

Общие положения


Всегда проверяйте полученные данные от пользователя ($_POST, $_GET, $_REQUEST, $_COOKIE, $_FILES), причем не только от разных инъекций, XSS и прочего, но и на корректность вводимых данных, например, если у вас интернет магазин, то проверяйте, чтобы количество товаров было не отрицательным и целым.

Представьте себя на месте хакера, подумайте чтобы вы сделали с сайтом.
Более подробно о методах защиты
Всего голосов 16: ↑7 и ↓9 -2
Просмотры 3.6K
Комментарии 29

asp.net: Microsoft Anti-Cross Site Scripting Library еще один способ защиты от XSS-атак

.NET *

Небольшое введение.


Атаки XSS (cross-site scripting) на веб-ресурсы не зависят от платформы, среды разработки, веб-сервера или языка программирования. Основа успеха при этой атаки смешивание кода и данных, когда на сайте данные контента формируются в коде, как, например, в следующем примере:
Читать дальше →
Всего голосов 19: ↑15 и ↓4 +11
Просмотры 2.7K
Комментарии 4

Практический JS: проблемы innerHTML

Разработка веб-сайтов *
Перевод
Примечание: ниже перевод статьи Julien Lecomte «The Problem With innerHTML», в которой автор рассматривает проблемы при использовании метода innerHTML в современных браузерах и предлагает ряд советов, как ее можно избежать. Мои комментарии далее курсивом

Свойство innerHTML крайне популярно среди веб-разработчиков в силу своей простоты и удобства, поскольку оно совершено элементарно позволяет заменить HTML-содержание у конкретного тега. Можно также воспользоваться DOM Level 2 API (removeChild, createElement, appendChild), но использование innerHTML гораздо более простой и эффективный способ для модификации DOM-дерева. Однако, есть ряд проблем при использовании innerHTML, которых следует избегать:

  • Неправильная обработка свойства innerHTML может привести к атакам, связанным со script-инъекциями (XSS) в Internet Explorer, когда HTML-строка содержит вызов <script>, помеченного как отложенный: <script defer>...</script>
  • Выставление свойства innerHTML уничтожит все текущие вложенные HTML-элементы со всеми обработчиками событий, что потенциально может вызвать утечки памяти в некоторых браузерах.


Есть и еще несколько более мелких недостатков, которые тоже стоит упомянуть:

  • Нельзя получить ссылку на только что созданные элементы, вам приходится добавлять код для получения ссылки на них вручную (используя DOM API).
  • Вы не можете выставить innerHTML для всех HTML-элементов во всех браузерах (к примеру, Internet Explorer не позволяет выставить innerHTML для строки таблицы (tr)).


Читать дальше →
Всего голосов 35: ↑33 и ↓2 +31
Просмотры 38K
Комментарии 50

Intrusion Detection For PHP Applications With PHPIDS

PHP *
Перевод
Эта статья покажет как настроить PHPIDS. PHPIDS (PHP-Intrusion Detection System) — это легко используемая, хорошо структурированная, быстрая прослойка для анализа безопасности ваших приложений. IDS — не является прослойкой для анализа данных, введенных пользователем, он только распознает, когда пытаются атаковать ваш сайт. на основе набора проверенных и оттестированных правил каждой атаке сопоставлен рейтинг ее опасности. Это позволит легко сохранять статистику по атакам или отсылать уведомления для команды разработчиков.
Читать дальше →
Всего голосов 18: ↑14 и ↓4 +10
Просмотры 3.4K
Комментарии 20

JavaScript Cross Site (XSS) POST

JavaScript *
Недавно, в Dojo появилась возможность производить cross site POST запросы, т.е. отправка POST запросов на другие сайты, с другими доменными именами. Это событие осталось незамеченным в нашем сообществе JavaScript разработчиков. По крайней мере, никто и слова про это не сказал. А зря…

В один прекрасный момент
Читать дальше →
Всего голосов 62: ↑57 и ↓5 +52
Просмотры 12K
Комментарии 73

Свершилось — Jevix 1.0

Habr

Jevix — система автоматического применения правил набора текстов (типографика) разработанная в ТМ™ для собственных проектов (Хабр, Кадабра, Дрибблер), с открытым исходным кодом, наделённая способностью унифицировать разметку HTML/XML документов, контролировать перечень допустимых тегов и атрибутов и предотвращать возможные XSS-атаки в коде документов.

В связи с катастрофической нехваткой времени, не смотря на мои обещания, код версии 1.0 выложен только сегодня. Но зато он всё же вышел! Причём вместе с исправлением вчерашнего хабрабага с перечёркиванием текста.

Теперь Jevix доступен на google code. Я не поссорился с Juks — автором perl-версии (если кто что подумал) — просто с google code мне работать проще.
Читать дальше →
Всего голосов 107: ↑105 и ↓2 +103
Просмотры 2.3K
Комментарии 104

Мирный XSS

JavaScript *
Эта статья о мирном атомеXSS. Заставим зло работать на добро!

А зачем?


Простейший пример всё объяснит:
Вы разрабатываете веб-сервис, который поставляет данные другим сайтам (погода, данные по торгам в реальном времени, чат и т.п). Вам нужно организовать кроссайтовую передачу данных(данные погоды, торгов, текст чата) на стороне клиента.

Методы организации XSS

  1. Через тэг iframe
  2. Через тэг script
  3. Через flash<->javascript
  4. Через window.name + iframe + form
  5. Через CSS хак
  6. Через canvas + img
  7. Через прокси
Реализация каждого метода
Всего голосов 98: ↑87 и ↓11 +76
Просмотры 8.5K
Комментарии 23

Очередная инъекция XSS в рамблере.

Чулан
По мотивам хабратопика. Решил посмотреть остальные поисковые сервисы рамблера, FTP-Search оказался
уязвим

Увы исправив в одном месте забыли в остальных…

UPD. Был сильно удивлён какое кол-во поисковиков не умеет обрабатывать такую фигню (Au.ru, Webalta)…
Всего голосов 17: ↑14 и ↓3 +11
Просмотры 1.4K
Комментарии 11

О самоподписных сертификатах

Информационная безопасность *
В связи с моим участием в проекте fin-ack.com постоянно сталкиваюсь с подобными замечаниями:
я не доверяю вашому самоподписному сертификату, почему вы не купите «нормальный» сертификат?

Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых «Хакеров, крекеров, спамов, куки» :). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.

Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть :) Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…

А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing'ом или pharming'ом.
  • При фишинге пользователя перенаправляют на сайт с похожим URL. При этом в браузере обязательно появится предупреждение про сертификат (такое же предупреждение появляется и при первом заходе на реальный сайт с самоподписным сертификатом).

    В общем-то, в этой ситуации достаточно просто посмотреть к какому домену относится сертификат, и если это именно тот домен, на который вы хотели попасть, добавить сертификат в доверенные. После этого любое сообщение о недоверенном сертификате для данного сайта можно воспринимать как тревожный звоночек.
  • Отличие фарминга в том, что в данном случае пользователь попадет как-бы на тот сайт, на который хотел (судя по URL). Впрочем, ему также как и при фишинге будет показано сообщение о недоверенном сертификате.

Но это только начало...
Всего голосов 83: ↑59 и ↓24 +35
Просмотры 22K
Комментарии 174