• Удалённое выполнение кода через загрузку картинок на вашем сервере или локальном компьютере в ghostscript/imagick

      Кратко: если у вас на сайте есть загрузка изображений и вы обрабатываете их при помощи популярной библиотеки ImageMagick, то загрузив картинку можно выполнить shell-команду с правами юзера веб-сервера (например: загрузить RAT, майнер, слить исходники, получить доступ к базе, вызвать отказ и т.п.)

      Странно, что мимо хабросообщества прошла стороной новость (оригинал) о новых дырах в библиотеке GhostScript и как следствие множестве других библиотек, использующих её под капотом. Итак, что мы имеем?
      Читать дальше →
      • +26
      • 8,5k
      • 5
    • Как устроить DoS атаку на сервер баз данных одной строчкой

        40 МБит / сек — неплохой трафик для DoS атаки. Именно на столько внезапно вырос входящий трафик до одного из наших серверов. Сайт мужественно держался. Время начала всплеска аномально высокого трафика подозрительно точно совпадало с временем выкладывания одного крупного релиза, что и навело на мысль о том что мы DoS`им себя сами.
        Читать дальше →
      • О чём пользователи не напишут вам в feedback

          Бывает так, что на сайте что-то происходит, заметно снизилось количество регистраций, или активность пользователей на сайте упала до нуля, но у программиста “всё работает” и он считает что всё нормально. Я проанализировал проблемы с которыми мы столкнулись за два года на нашем проекте и составил небольшой список того, о чём пользователи вряд ли вам когда нибудь напишут.
          Читать дальше →
        • Маленькие неожиданности Робокассы

            Робокасса выбрала своим девизом «Без перерыва и прочих неожиданностей», неожиданности иногда всё таки случаются, но это проблемы пользователей…

            На сайте робокассы кэшируются реквизиты банковских карт, которые введены пользователем при совершении платежа, в результате после совершения единственного платежа можно получить банковские реквизиты или воспользоваться ими для совершения другого платежа.
            Читать дальше →
          • Новый вид развода — помоги девушке

              Недавно обнаружил новый способ, которым мошенники при содействии операторов зарабатывают себе на жизнь.

              Суть в следующем: вам в аську/личку приходит сообщение от симпатичной девушки (для девушек думаю, сообщения приходят от парней) с предложением познакомиться / встретиться / созвониться. Девушка сетует, что она не очень дружит с интернетом, и предлагает созвониться, чтобы пообщаться или договориться о встрече. Сама спрашивает ваш телефончик и с фразой «я пойду положу себе денег на телефон чтобы тебе позвонить» исчезает…

              Тем временем на ваш телефон приходит SMS с короткого номера примерно такого содержания:
              Код для активации вашего доступа - 12345. Справки по tel 8-800-3339008
              Вы как человек, привыкший к спаму недоуменно пожимаете плечами и на время забываете… но тут появляется Она!
              Читать дальше →
            • В новогоднюю ночь люди отправляли поздравительные SMS в никуда

                Время доставки sms было специально уменьшено со стороны оператора, при этом если абонент находился вне зоны действия сети, то SMS удалялось.

                По словам представителя Пермского оператора UTel это было сделано с целью уменьшения количества ошибок доставки и снижения нагрузки.

                Читать дальше →
              • Интернет-провайдеры сливают инфу по абонентам?

                  Только что позвонили на домашний, назвали по полному ФИО, сказали что у них есть есть информация о том, что я живу там-то, задавали вопросы о том, услугами какого internet-оператора я в данный момент пользуюсь и устраивает ли меня его качество.

                  На вопрос, откуда у них мои персональные данные звонившие внятно ответить не смогли. Операторы слили базу по абонентам или была утечка информации?
                  Читать дальше →