Интересная информация, спасибо. Но, если это и было задумано, то реализовано очень плохо — с другого, «потенциально опасного», репозитория пакеты устанавливались.
Как это? Производитель поставляет операционную систему, в которой невозможно скачать дополнительные компоненты или обновить существующие из безопасных источников производителя? Сторонние репозитории добавились и работали.
Помешает ли тамбур-шлюз с повышенным давлением распространению огня, учитывая то, что в момент массовой эвакуации через обе двери будет идти поток людей? То есть обе двери, возможно, будут открыты одновременно?
Возможно, будет. Но если вы хотите докучать конкретно ООО «Вектор», то способом из статьи можно узнать конкретный IP. Разумеется, никто не утверждает, что для DDoS нужен хеш пароля.
Если полученный IP будет выделенным для конкретной компании — можно начинать исследовать корпоративный фаервол или устраивать DDoS на него. Логин можно использовать при фишинге, при продвижении внутрь корпоративной сети или для попытки залогиниться в веб-интерфейсе корпоративной почты.
Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.
Около года назад, получив карту NFC Сбербанка, я попытался установить лимит на бесконтактные операции равным 0. В контакт-центре сообщили, что лимит можно установить самому, но не менее 1000.
WAF блокирует запрос, когда встречает в нём функцию. Вы знали, что DB_NAME/**/() — вполне валидный вызов функции? Файрвол тоже знает и блокирует. Но, благодаря этой фиче, мы можем разделить вызов функции на два параметра!
Не совсем понял. Если WAF блокирует запрос, в котором встречается DB_NAME/**/(), то почему он не заблокировал countryFilter[]=UA’,DB_NAME/*&countryFilter[]=*/(),’RU?
Я вообще тоже не про ущемленные права, а про безопасность.
Оптимально — по велосипедным дорожкам.
Там, где есть велосипедные дорожки, вопроса «Где ехать?» вообще не возникает.
Выезжая на проезжую часть вы не нарушаете правил
Более того, текущие ПДД обязывают выезжать на дорогу в случае отсутствия велодорожки. К счастью, по моему основному маршруту достаточно широкие и удобные тротуары, а гаишники пока за этим не гоняются. Но где-то тротуаров нет совсем.
Мотоциклист имеет возможность двигаться со скоростью потока, поэтому ему как раз по обочине ездить не надо. А мне, как велосипедисту, чтобы не перекрывать правую полосу, надо ехать по обочине или правом краю дороги.
Попытки объяснить, что система безопасности выстроенная вокруг firewall+proxy+webwasher like content-filter & antivirus, без какой-либо худо-бедно настроенной гибридной IDS (HIDS+APIDS), хонепотов и т.д. и т.п., во первых по определению не является безопасной...
Почему, по вашему мнению, эта система небезопасна «по определению»? В реализованной вами же атаке вряд ли бы помог даже HIPS.
Когда я летом этого года имел дело с Астра Линукс, репозитории производителя не работали совсем.
Около года назад, получив карту NFC Сбербанка, я попытался установить лимит на бесконтактные операции равным 0. В контакт-центре сообщили, что лимит можно установить самому, но не менее 1000.
Не совсем понял. Если WAF блокирует запрос, в котором встречается DB_NAME/**/(), то почему он не заблокировал countryFilter[]=UA’,DB_NAME/*&countryFilter[]=*/(),’RU?
Более того, текущие ПДД обязывают выезжать на дорогу в случае отсутствия велодорожки. К счастью, по моему основному маршруту достаточно широкие и удобные тротуары, а гаишники пока за этим не гоняются. Но где-то тротуаров нет совсем.
Есть ли HIPS с эвристикой, которая отслеживает такие случаи? Известные мне HIPS просты как табуретки.
Почему, по вашему мнению, эта система небезопасна «по определению»? В реализованной вами же атаке вряд ли бы помог даже HIPS.