Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Новый API для мобильной версии Google Chrome подвергли критике за нарушение конфиденциальности

Информационная безопасностьGoogle APIGoogle Cloud Vision APIIT-компании
image

Разработка Google Chrome столкнулась с критикой из-за нового API — getInstalledRelatedApps. По мнению экспертов, он может серьезно повлиять на конфиденциальность данных пользователей.

API getInstalledRelatedApps разрабатывают с 2015 года. В Chrome 59 его внедрили в качестве эксперимента. API позволяет разработчикам определить, установлено ли их приложение на устройстве пользователя и, к примеру, избежать выведения одного уведомления дважды.

Эксперты, однако, указывают, что getInstalledRelatedApps спроектирован, скорее, в интересах девелоперов, а при некорректном использовании несет угрозу для безопасности и конфиденциальности данных пользователей. Если владелец ресурса с помощью getInstalledRelatedApps вычислит, какие приложения установлены на устройстве, то сможет использовать эту информацию в своих целях. Еще большая угроза заключается в том, что злоумышленники при получении такой информации смогут формировать целевые фишинговые письма или взламывать устройство через уязвимости в приложениях.
Читать дальше →
Всего голосов 16: ↑15 и ↓1 +14
Просмотры4.1K
Комментарии 2

27 августа приглашаем на онлайн-митап Hot Frontend

Информационная безопасностьРазработка веб-сайтовВКонтакте APIКонференцииДизайн игр
Всем привет! В июле мы провели в Краснодаре первый митап по Backend-технологиям – а теперь самое время обсудить Frontend. Приглашаем на онлайн-митап с разработчиками SimbirSoft. Как всегда, участие бесплатное, а за самые интересные вопросы спикеры подарят полезные подарки.

Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры743
Комментарии 0

Вебинар DataLine «Защита веб-приложений: как это нужно делать сегодня» 26 ноября

Блог компании DataLineИнформационная безопасностьРазработка веб-сайтовОблачные сервисы


Если у вас есть сайт, его будут атаковать. И не всегда так, как вы думаете. 

На вебинаре 26 ноября мы поговорим о самых распространенных угрозах для сайтов и о том, как подходить к защите веб-приложений комплексно.

С каждым годом методы злоумышленников становятся все изобретательнее. Web Application Firewall (WAF), настроенный однажды, не станет надежной защитой. Его работа должна опираться на регулярный анализ и устранение уязвимостей в веб-приложении, сетевую защиту и постоянную корректировку настроек защиты на основе данных мониторинга. Посмотрим на тему с разных сторон и зададим вопросы техническим специалистам Qualys, Fortinet и Qrator.

Будет интересно руководителям и специалистам по информационной безопасности, техническим и ИТ-директорам, системным администраторам, сетевым инженерам, разработчикам веб-приложений.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры626
Комментарии 0

В бета-версию Chrome 89 добавили функции доступа к аппаратному обеспечению. Их критикуют Apple и Mozilla

Информационная безопасностьGoogle ChromeAPIРасширения для браузеровБраузеры

Google выпустила бета-версию Chrome 89, добавив дополнительные API взаимодействия с аппаратным обеспечением. Mozilla и Apple выступили с критикой этих функций.

Читать далее
Всего голосов 19: ↑17 и ↓2 +15
Просмотры22.2K
Комментарии 46

10 шагов для защиты вашего WordPress блога

WordPress
Перевод
Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress — при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress — как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin», которое отображается только после авторизации. Мы сознательно выделили фразу "после авторизации" — вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

gilt-zu-schuetzen-administrationsbereich-in-wordpress

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.
Читать дальше →
Всего голосов 57: ↑47 и ↓10 +37
Просмотры61.4K
Комментарии 51

Защищенность правительственных сайтов

Информационная безопасность
В процессе подготовки к семинару про тестирование защищенности веб-приложений решил пройтись по сайтам министерств, федеральных агентств и служб, чтобы посмотреть, как там обстоят дела с защищённостью.

При этом я не обращал внимания на то, можно ли атаковать сервер целиком, проверял только сами сайты на наличие базовых уязвимостей – XSS, SQL-инъекции, инъекции команд. Просмотрел не все, штук сорок, то есть около половины. Из них:
  • 5 сайтов подвержены пассивному XSS,
  • 1 сайт подвержен слепой SQL-инъекции,
  • 1 сайт подвержен SQL-инъекции с возможностью внедрения UNION,
  • 3 сайта раскрывают некоторые детали внутреннего устройства, из них 2 предоставляют доступ к phpinfo, а 1 выдаёт сообщения об ошибках с отладочной информацией,
  • 1 сайт подвержен внедрению команд, это наиболее серьёзная проблема из всех, что мне встретились.
В общем, я бы не сказал, что всё плохо, несмотря на наличие отдельных проблем.

Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств (хотя бы за защищенность, функциональность оставим в стороне)? Или каждый отвечает сам за себя?
Всего голосов 43: ↑40 и ↓3 +37
Просмотры707
Комментарии 58

Как сделать из Яндекс.Диск'а безлимитную систему хранения файлов

Чулан
Эта статья является заключительной в серии моих постов про Яндекс.Диск и загрузку файлов: обход каптчи, даунлоад части файла с RANGE запросом из удаленного источника и автоматический аплоад на Яндекс.Диск. Все эти посты объединяет одно желание, разобраться, как именно работает система защиты Яндекс.Диск'а и какие у нее недостатки. Я ни в коем случае не хочу сказать, что в Яндексе работают непрофессионалы, наоборот, изучая код, я пришел к обратному выводу. Единственная цель этой статьи, на примере Яндекс.Диск'a показать, как можно из бесплатного файлового хостинга сделать бесплатное хранилище под Ваш проект, просто идея. Ну и конечно, дать некоторую пищу для размышления разработчикам подобных сервисов.

Итак, представляю вашему вниманию пример использования файлового хостинга Яндекс.Диск несовсем по назначению.
Читать дальше →
Всего голосов 27: ↑20 и ↓7 +13
Просмотры6.6K
Комментарии 19

Безопасность SharePoint — Часть 2. Аутентификация пользователей

ECM/СЭД
Для начинающих SharePoint представляется чем-то большим и непонятным. А между тем, SharePoint – обычное ASP.NET приложение, работающее на IIS. Это, безусловно, отражается и на системе безопасности, важным элементом которой является аутентификация пользователей.
Читать дальше →
Всего голосов 12: ↑6 и ↓6 0
Просмотры4.2K
Комментарии 0

Безопасность сайтов с лирическими отступлениями

Информационная безопасность
Недавно я писал для одного заказчика обзорный документ по безопасности web приложений, после чего я подумал, что было бы неплохо выложить его на общее обозрение.
Статья написана для непрофессионалов, поэтому дабы сделать ее более интересной для притязательных пользователей хабра, я разбавил текст некоторыми случаями из жизни.
Читать дальше →
Всего голосов 80: ↑74 и ↓6 +68
Просмотры9.3K
Комментарии 41

Когда безопасности в вэбе становится слишком много?

Чулан
Перевод
Меня всегда интересовал баланс «риска и доходности» в рамках публичной безопасности: какой уровень риска считать приемлемым для сохранения эффективности и производительности?

Примеры можно видеть всюду. Однажды, на одном из перекрестков одного из городов происходит несчастный случай: машина сбивает ребенка.

Общественность возмущена, чиновники города собираются на совещание, и вот результат: 60.000 долларов тратится на установку лежачих полицейских, оград и светофоров на этом перекрестке — даже, если было очевидно, что авария произошла по вине пьяного водителя и не была связана с особенностями самого перекрестка.
Читать дальше →
Всего голосов 24: ↑20 и ↓4 +16
Просмотры325
Комментарии 13

Лайфстрим сервис chi.mp (бесплатный домен 2-ого уровня, блог) не фильтрует javascript

Информационная безопасность
Из песочницы
chi.mp
Небезызвестный лайфстрим сервис с бесплатным доменом второго уровня.
Погуглим:
google.com site:*.mp
227 000 — не так уж и мало. Большая часть выдачи — как раз блоги на chi.mp.
Но про безопасность как всегда забыли.
Читать дальше →
Всего голосов 7: ↑5 и ↓2 +3
Просмотры1.5K
Комментарии 6

Google выпустил расширение для Chrome, отслеживающее потенциально опасные веб-приложения

Браузеры


Корпорация Google на днях сообщила о выходе нового экспериментального расширения для браузера Chrome, который позволит обнаруживать ошибки в «client-side» коде, приводящие к появлению уязвимостей различного рода. Расширение получило название DOM Snitch, и оно способно перехватывать вызовы JavaScript, позволяя отслеживать работу различных функций. По словам создателей DOM Snitch, расширение в первую очередь предназначено для разработчиков и тестеров.

Читать дальше →
Всего голосов 12: ↑7 и ↓5 +2
Просмотры873
Комментарии 2

Раскрытие чувствительной информации на сайте Chaos Constructions 2011

Информационная безопасность
Не так давно в Санкт-Петербурге прошёл Chaos Constructions 2011 — фестиваль компьютерного искусства. У фестиваля есть официальный сайт. На этом сайте я обнаружил full path disclosure, а также раскрытие некоторой информации о структуре базы данных. Найдено было за пару дней до самого фестиваля. Но, так как я являлся докладчиком, я не стал публиковать информацию об этом раньше. И делаю это только сейчас.
Читать дальше →
Всего голосов 16: ↑6 и ↓10 -4
Просмотры763
Комментарии 11

HackQuest закончен?! HackQuest продолжается!

Блог компании Positive Technologies
Ante Scriptum

До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).

Вступайте и компилируйте!

Scriptum

26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.

Итак, как это было.
Всего голосов 10: ↑9 и ↓1 +8
Просмотры4.1K
Комментарии 2

Взлом из «облака», Russian.Leaks, обход WAF, защита VOIP и многое другое!

Блог компании Positive Technologies
Опубликованы материалы вебинаров, проведенных Positive Technologies в рамках образовательной программы «Практическая безопасность».
Программа направлена на повышение осведомленности специалистов о существующих угрозах, методах и подходах к анализу защищенности, а также об управлении соответствием стандартам и контроле эффективности средств защиты. В качестве докладчиков выступают известные эксперты по информационной безопасности — представители компании Positive Technologies и исследовательского центра Positive Research.
За 2011 год было проведено более 10 вебинаров, собравших более 1500 слушателей из различных стран мира. Были представлены доклады по вопросам безопасности Web, облачных вычислений, сетевой инфраструктуры, VOIP-сетей, обзоры по тематике контроля соответствия стандартам, оценки эффективности средств защиты информации и практическому использованию системы контроля защищенности и соответствия стандартам MaxPatrol.

Архив записей выступлений и презентаций докладов доступны по следующему адресу:
http://www.ptsecurity.ru/webinars.asp?t=1

С удовольствием выслушаем пожелания хабролюдей по темам выступлений в 2012 году!
Всего голосов 5: ↑3 и ↓2 +1
Просмотры2K
Комментарии 0

Twitter признался в использовании адресных книг пользователей

Социальные сети и сообщества
#address book

Администрация сервиса микроблогов Twitter признала, что копировала адресные книги со смартфонов пользователей, не уведомляя их об этом.

Читать дальше →
Всего голосов 47: ↑42 и ↓5 +37
Просмотры1.1K
Комментарии 47

Самый частый шаблон SQL инъекций в РНР — бесполезное экранирование символов

Информационная безопасность
Из песочницы
По роду своей деятельности, мне приходится выполнять аудиты безопасности исходного кода веб-приложений.
Много веб-приложений и много кода…

В этой статье я хотел бы поделиться одной простой (очень простой) истиной и статистикой, которые вывел и многократно проверил в течении трех последний лет просмотра тонн РНР кода.

Не секрет, что уязвимости внедрения операторов СУБД (SQL injections) являются самыми распространенными из всех серверных уязвимостей веб-приложений. Есть платформы и фреймворки, где такие вещи практически полностью исключены, например ORM'ом и прочим. Но статистика упорно говорит нам об абсолютном преобладании на просторах Интернета веб-приложений с простыми конкатенированными SQL запросами. Кроме того, есть случаи, где ORM вообще применим быть не может. Например, когда от пользовательских данных должны зависеть не только параметры выражений, но и сама логика запроса на уровне операторов.
Читать дальше →
Всего голосов 90: ↑78 и ↓12 +66
Просмотры33.9K
Комментарии 148

Логические уязвимости при составлении SQL запросов с LIKE

Информационная безопасность
Когда пользовательские данные попадают в запрос под оператор LIKE следует быть предельно внимательными.
Дело в том, что ни одна функция фильтрации, включая mysql_real_escape_string, и даже prepared statements не защитят от логических ошибок, связанных с wildcard символами.

В нашей практике аудита веб-приложений, данная ошибка встречается примерно в каждом пятом веб-приложении, уязвимом к SQL-инъекциям (19.3%).

Оператор LIKE используется для поиска по неточному значению, строковых типов.
Синтаксис оператора позволяет использовать wildcard семантику, где
% заменяет классический * — последовательность любых символов
_ заменяет классический? — любой одиночный символ

Частая ошибка разработчиков состоит в том, что символы % и _ не фильтруются в попадании пользовательских данных в SQL запрос. Да, нарушить синтаксис запроса, то есть выполнить внедрение операторов, в этом случае нельзя, но может пострадать логика работы веб-приложения.
Читать дальше →
Всего голосов 24: ↑15 и ↓9 +6
Просмотры7.9K
Комментарии 13

Очередная схватка с веб-вирусами

Информационная безопасность
Доброго времени суток, уважаемые хабрапользователи. Наконец-то у меня появился ещё один клиент позволивший на условиях анонимности описать решение его проблемы. Под катом рассказ о том, как происходила борьба с вредоносным кодом, появляющемся на сайтах заказчика несколькими путями одновременно. В связи с тем, что статьи большого объёма много кому не нравятся, в этот раз я постарался изложить всё как можно короче.
Читать дальше →
Всего голосов 53: ↑48 и ↓5 +43
Просмотры3K
Комментарии 14

Мастер-классы PHDays 2012: от защиты сетей Wi-Fi до безопасности SAP и Web 2.0

Блог компании Positive TechnologiesИнформационная безопасность
Существует ли возможность взломать компьютер через мышь, клавиатуру или принтер? насколько защищен Android? что должен знать этичный хакер? сложно ли поймать киберпреступника? безопасен ли HTML5? Можно обо всем об этом гадать — а можно участвовать в Hands-on Lab на форуме Positive Hack Days 2012 и получить ответы на все эти вопросы.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры7K
Комментарии 5