Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

The Capture API и его возможные социальные последствия

Информационная безопасность
На сайте W3C лежит черновик «The Capture API» — он описывает джаваскриптовый интерфейс, при помощи которого сайт может получить доступ к видеокамере и микрофону на компьютере у посетителя сайта, может вести фотосъёмку, видеосъёмку, звукозапись. Этот черновик обобщает идеи аналогичных проприетарных API (Google и Nokia, в частности).

И меня наводит на мрачные мысли знание о том, что раздел «Соображения безопасности и приватности» в этом документе говорит только о том, что сайт не должен иметь возможность проведения фотосъёмки, видеосъёмки и звукозаписи без согласия посетителя (то есть владельца клиентского компьютера или мобильника).

А как насчёт приватности других людей? Помните июльский скандал с английским шефом внешней разведки, который оказался в Facebook разоблачённым собственной женою буквально до трусов, хотя сам он в Facebook вообще никогда не регистрировался? Сейчас, когда сайты готовятся видеть чужими глазами фотовидеокамер, весь мир может оказаться открыт их взору.

Вообразите себе такой сайт, посещение которого позволяет посетителю беспрерывно передавать на этот сайт кадры живого видео, поступающие с фотовидеокамеры собственного мобильника (геопривязанные по GPS, наклонённые по акселерометру, повёрнутые по азимуту цифрового компаса), и одновременно наблюдать любую точку земного шара глазами таких же цифровых наблюдателей. Нечто вроде Google Street View, но в реальном времени. Просто поворачивая мобильник в разные стороны, стоя в одной точке земного шара (например, в Уфе), вы сможете по своему выбору озирать «сквозь» его экран (как через окошко) панораму любой другой точки Земли — какого-нибудь Нью-Йорка, Сан-Франциско или Рио-де-Жанейро — лишь бы там набралось достаточное количество прохожих с такими же мобильниками, через которые смотрит в мир тот же сайт. А в это время электронный «глаз» вашего мобильника точно так же обозревает и сохраняет на сайте панораму той точки, на которой вы стоите.

Захватывающее, небывалое впечатление, не правда ли?

А теперь вообразите себя простым человеком в плотной цифровой толпе.*  Вы находитесь под беспрерывным наблюдением десятков электронных глаз, предоставленных анонимными добровольцами. Любая система распознавания лиц и личностей, подключённая к такому сайту, позволит без труда отследить или восстановить всю историю ваших перемещений по городу точно так же, как разветвлённая интернетовская система баннеров отслеживает ваше перемещение по всем её сайтам. Ваша ревнивая психованная воздыхательница узнаёт, какие цветы вы покупали жене, а ваша медицинская страховая компания узнаёт, как часто вы покашливали, прогуливаясь по морозу.

Но в реальном мире нет никакого Adblock Plus. Цифровую толпу не так просто заблокировать, как баннерную рекламу.

Читать дальше →
Всего голосов 42: ↑20 и ↓22 -2
Просмотры1.7K
Комментарии 23

Безопасность сайтов с лирическими отступлениями

Информационная безопасность
Недавно я писал для одного заказчика обзорный документ по безопасности web приложений, после чего я подумал, что было бы неплохо выложить его на общее обозрение.
Статья написана для непрофессионалов, поэтому дабы сделать ее более интересной для притязательных пользователей хабра, я разбавил текст некоторыми случаями из жизни.
Читать дальше →
Всего голосов 80: ↑74 и ↓6 +68
Просмотры9.3K
Комментарии 41

Вирусы на сайте и позиции сайта в Яндексе

Разработка веб-сайтов
Недавно мы столкнулись с весьма неожиданным и даже опасным явлением, о котором пойдет речь далее. Этот пост заинтересует всех, кого волнуют позиции собственного сайта в поисковой системе Яндекс. Возможно, наш опыт позволит кому-то не повторить чужих ошибок, а также оперативно исправить их. А также мы немного расскажем о нашем антивирусе для сайтов (а точнее, о целой системе защиты сайтов) — SiteGuard, который поможет максимально снизить риск заражения сайта. А значит — избежать потери клиентов, нервов, времени, денег.

«Site Guard»

Читать дальше →
Всего голосов 58: ↑45 и ↓13 +32
Просмотры9.1K
Комментарии 73

Сайт auto.ru заражен

Антивирусная защита
На странице http_//auto.ru/tagaz/ грузится скрипт
script type="text/javascript" src="http_//dmdfty.info/show-banner.php?kod=681458&site=www.auto.ru"


Вызывается iframe
http_//hjessc.info/cgi-bin/qp


Адрес известный: safeweb.norton.com/report/show?name=hjessc.info

image
Всего голосов 62: ↑21 и ↓41 -20
Просмотры1.6K
Комментарии 15

Хранение личных данных на примере сайта ГИБДД Челябинской области

Информационная безопасность
К сожалению, это очередной пост о дырявости и кривизне сайтов государственных учреждений.

Управление ГИБДД по Челябинской области решило пойти в ногу со временем и предоставлять государственные услуги посредством своего сайта — gibdd74.ru. А получилось как всегда.

Читать дальше →
Всего голосов 188: ↑166 и ↓22 +144
Просмотры3.1K
Комментарии 199

Безопасность и проблемы с ней в MODx Revolution

MODX
Данный топик посвящается вопросам защищенности MODx Revolution в целом, а так же коннекторов и контекстов в отдельности (релиз Revolution 2.1.0 ).

Предыстория: встал вопрос создать серьезный ресурс на движке MODx Revolution. Технических проблем мы не видели, но решили больше внимания уделить вопросам защищенности движка.
Честно сказать, я всегда считал механизмы безопасности в MODx Revolution очень гибкими и надежными, но тут я получил довольно много сюрпризов… Постараемся разобрать их как можно больше и подробней.

Кто любит сразу самое интересное читать, начинайте читать со слов «Теперь подытожим, что же надо чтобы работал коннектор........», так как сначала рассмотрели не проблему, а задачу.

UDP: в версии 2.1.1 пофиксили. Но зная на сколько >2.1.0 сырая еще, уверен что 99% Рево в ходу это более ранние релизы.

Читать дальше
Всего голосов 26: ↑22 и ↓4 +18
Просмотры9.3K
Комментарии 38

Скрытый редирект на ER.RU

Чулан
ER.RU --- 76-82.RU

Во время тестирования Brief.ly API открылся маленький казус на сайте Единой России.

Если попытаться вставить сайт ER.RU в iframe — то Java Script перебросить Вас на сайт «76-82. Энциклопедия нашего детства».

Читать дальше →
Всего голосов 31: ↑15 и ↓16 -1
Просмотры571
Комментарии 21

Облака в применении к ИБ: некоторые неочевидные следствия

Информационная безопасность
Из песочницы

Введение



Не секрет, что мы наблюдаем бурное развитие облаков aka Clouds. Все и вся переезжает в эти самые облака. Но какую пользу (и вред) мы из этого можем извлечь с точки зрения ИБ?

Рассмотрим новые возможности и новые угрозы.

Вот, тезисные посылки, чтобы уменьшить сумбурность изложения.

1. Хранить в облаках — небезопасно.
1.1. Не надо хранить там ваши пиратские коллекции.
1.2. Прятать надо грамотно, разбавляя шумом.
1.3. Толика здоровой паранойи не помешает, шифруем сами.

2. Обрабатывать в облаках — выгодно.
2.1. Для этого надо строить облачные сервисы по-новому.
2.2. Пережить атаки теперь проще.

3. Злым хакерам теперь тоже проще — собрать ферму для взлома паролей может каждый.
3.1. Используем пароли побезумнее и подлиннее, не из словаря.
3.2. Используем Keepass и аналоги для управления паролями.
3.3. Везде где можно — переходим на ключи.

Читать дальше →
Всего голосов 55: ↑36 и ↓19 +17
Просмотры2.8K
Комментарии 20

О детектировании атак типа drive-by download и новых векторах распространения вредоносного ПО через Flash-баннеры

Информационная безопасность
Сегодня мы хотим рассказать вам о новом виде drive-by download атаки с помощью Flash-баннеров, и о том, как с ним бороться. Такая атака позволяет злоумышленникам распространять вирусы через сайт, не взламывая его. Вредоносное ПО распространяется через рекламные Flash-баннеры, с помощью которых веб-мастера хотят монетизировать свой сайт. При этом они сами могут не подозревать, что установленный на веб-странице баннер сделал их портал частью сети распространения вирусов.

Вредоносный код
Выполнение вредоносного JavaScript-кода, например, в контексте веб-браузера, возможно благодаря принадлежащего классу ExternalInterface методу call(), который появился в версии ActionScript 3.0. Процесс выполнения JavaScript-кода в контексте веб-браузеров, поддерживающих возможность работы с ActiveX, реализуется через компонент ActiveX для Shockwave Flash. А для веб-браузеров без такой возможности используется плагин для Shockwave Flash. Компонент ActiveX или плагин разбирает байткод переданного ему на обработку Flash-файла и формирует JavaScript-код, который будет выполнен в контексте веб-браузера, если во Flash-файле присутствует такой функционал. После того как JavaScript-код сформирован, происходит его дальнейшая передача на обработку через функции JavaScript, заранее заложенные в компоненте ActiveX или плагине для Shockwave Flash. На рисунке 1 показан список таких функций.

image

Рис.1 – JavaScript-функции, с использованием которых происходит формирование и дальнейшее выполнение кода, переданного в ExcternalInterface.call()

Ниже показан безвредный JavaScript-код тестового Flash-баннера, сформированный для выполнения в контексте веб-браузера компонентом ActiveX или плагином для Shockwave Flash.

Читать дальше →
Всего голосов 49: ↑42 и ↓7 +35
Просмотры11.6K
Комментарии 14

История одной SQL инъекции

Чулан
Из песочницы
Recovery mode
Добрый день!
Хочу рассказать, как я взломал большой американский сайт по созданию sitemap-ов и напомнить о защите от sql-инъекций. Цель поста исключительно ознакомительная. Но все по порядку.

Предыстория

Для ряда своих проектов мне понадобилось сгенерировать пару сайтмапов. Я загуглил и среди прочего нашел один американский сервис для создания сайтмапов (где нужно было зарегистрироваться). Я ввел быстро левую информацию (в надежде, что на сайте нет проверки подлинности мейла) и адрес сайт для создания сайтмапа. И продолжил заниматься более важными делами забыв на пару дней об этом.

Первые действия

И вот я снова возвращаюсь к созданию сайтмапа. Ввожу свои данные на том же сайте(уже подлинные), и раньше введенный адрес сайта. В результате обработки формы сайт выдает текст:
FATAL ERROR: Duplicate entry 'http://gnum.me/' for key 2 FATAL ERROR: query: 
INSERT INTO site (userid, url, verifyfile, usetimestamp, usepriority, useupload, useping, usepingbing, createdate) VALUES (178817, 'http://gnum.me/', 'fsga6a59.txt', '1','1','0','0','0', NOW());
Читать дальше →
Всего голосов 27: ↑14 и ↓13 +1
Просмотры7.2K
Комментарии 19

MediaMarkt раскрывает личные данные своих подписчиков

Информационная безопасность
Хочу сразу отметить, что я решил написать этот пост в надежде привлечь внимание к этой проблеме, т.к. техподдержка, в которую я обратился 3 дня назад, до сих пор не закрыла эту дыру.

Предыстория


Не так давно компания MediaMarkt проводила широкую рекламную акцию в СМИ, в которой всем предлагалось поучаствовать в конкурсе эссе, победитель которого получит шанс бесплатно вынести из магазина MediaMarkt любые товары за определенное время. Одним из обязательных условий конкурса была подписка на периодическую рассылку на сайте компании. Для этого необходимо было заполнить небольшой профиль.

Я решил поучаствовать в конкурсе и создал свой аккаунт на сайте, подписался на рассылку.

Читать дальше →
Всего голосов 66: ↑43 и ↓23 +20
Просмотры16.9K
Комментарии 27

Инфекция на сайте — история на примере

Информационная безопасность
Из песочницы
image
Инъекция вредоносного кода в WordPress (Источник картинки)


Эта история начинается между 28.03.2013 и 2.04.2013. В этот промежуток времени сайт ******.ru был инфицирован. Это хорошо можно отследить по archive.org. В коде страниц появляется следующая строчка.
Читать дальше →
Всего голосов 9: ↑7 и ↓2 +5
Просмотры17.3K
Комментарии 5

Linux Malware Detect — антивирус для веб-серверов

Настройка LinuxАнтивирусная защита
Из песочницы


Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить.
Итак, представляем вашему вниманию Linux Malware Detect.

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.
Читать дальше →
Всего голосов 43: ↑38 и ↓5 +33
Просмотры61.2K
Комментарии 48

Обнаружение изменений в файлах на веб-сервере

Информационная безопасностьPHP
Здравствуйте, уважаемые читатели!

Картинка, кратко и аллегорично передающая смысл описанного в посте скрипта:


У меня есть несколько сайтов, на которых в какой-то момент начал появляться вредоносный код, выглядящий как отдельные php-файлы либо дополнительные строки с длинными eval() в существующих файлах.

После смены всех паролей, обновления CMS до последних версий и других мероприятий по повышению устойчивости сайтов от злоумышленников такие случаи стали редкими, но не прекратились.

Тогда я задумался, как бы мне так оперативно узнавать, куда в очередной раз будет внедрен код, чтобы можно было его тут же прибить?
Читать дальше →
Всего голосов 40: ↑24 и ↓16 +8
Просмотры35.1K
Комментарии 72

Спам-бот Stealrat

Информационная безопасность
imageНе слышали еще о спам-боте Stealrat? Возможно во время чтения данного поста ваш любимый сайт рассылает тысячи спам собщений через ваш же почтовый сервер. По поводу спам-бота Stealrat на Хабре не было еще упоминаний, что очень странно.

Один из наших серверов был заражен. На сервере в основном размещались сайты на Wordpress. Проблему локализировали, все вычистили и прикрыли. Все бы хорошо, но есть одно но…

Спам-бот Stealrat построен по принципу ботнета. Размещается на таких популярных CMS как WordPress, Joomla!, Drupal и других не защищенных, уязвимых сайтах.
Читать дальше →
Всего голосов 47: ↑40 и ↓7 +33
Просмотры55.9K
Комментарии 32

Внедрение через URL: www.site.ru/?jn=xxxxxxxx

CMSИнформационная безопасностьWordPressjQueryJoomla
Из песочницы
Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».

Описание

На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
www.site.ru/?jn=xxxxxxxx

Поиск и устранение

Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.

Вариант А: Код не обфусцирован

  1. Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
  2. Далее по коду смотрим кто где гадит (например: \js\swfupload\plugins\jquery\)

Вариант Б: Код обфусцирован

  1. Ищем каталог с файлами, названия которых идут после "?jn="
  2. Ищем подозрительные исполняемые файлы типа images/c0nfv.php
  3. Можно сделать поиск путей где могут быть файлы а-ля "/img/icon/thumb/jquery.php"
  4. Проверить дату изменения конфигов CMS
  5. Рекомендуется проверить на наличие (корректность) файлов base.php — это само тело вируса, код обфусцирован
  6. Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.

Встречается

  • CMS: Joomla, WordPress, DLE, PrestaShop, HostCMS
  • Plugins: ImageZoomer, SWFupload, BlockCategories
  • Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.

Полный код (необфусцированного) зловредного кода под катом.
Читать дальше →
Всего голосов 36: ↑19 и ↓17 +2
Просмотры22.1K
Комментарии 10

5 основных тенденций в хостинге в 2015 году

Блог компании ХостТрекер
Перевод


В 1899 году Чарльз Дьюелл, член комиссии патентного бюро США, сделал заявление, что «все, что могло быть изобретено, уже изобретено». Многочисленные открытия и инновации тех дней были настолько впечатляющими, что многие думали: больше быть уже не может. Спустя столетие, развитие технологий продолжает производить серьезные изменения в нашей жизни, и видимых ограничений для этого все еще нет.

С другой стороны, согласно с высказыванием «если сделать усовершенствованную мышеловку, люди ее купят», современные технологии развиваются в соответствии с запросами общества, а не наоборот. Изобретателям наших дней не обязательно ждать обратной связи от пользователей, чтобы понять, что их идеи будут приносить деньги. По этой причине, тенденции в технологии сейчас отображают запросы маркетинга намного последовательнее, чем когда-либо. Поэтому очень важно следовать наиболее «горячим» тенденциям, следить, чтобы предложение всегда оставалось «в потоке», потакать запросам рынка, и постоянно находить наиболее обещающие возможности для будущего. Мы рассмотрим наиболее значимые тенденции прошлого, 2014-го года, и попытаемся применить их на 2015-й.

Также, опишем, как ХостТрекер может помочь следовать этим тенденциям.
Читать дальше →
Всего голосов 14: ↑6 и ↓8 -2
Просмотры5.6K
Комментарии 0

Почему Касперский определяет на сайте троян HEUR:Trojan.Script.Generic? (и возможный способ устранения)

Информационная безопасностьРазработка веб-сайтовJavaScriptПрограммирование
Доброго времени суток. У меня созрела еще одна статья, касающаяся безопасности, а точнее доступа к Вашим сайтам, уважаемые вебмастера… и позвольте мне Вам рассказать.

Угроза «HEUR:Trojan.Script.Generic»


Возможно у Вас есть сайт и Вы не использовали библиотеки типа jQuery, а решили просто на яваскрипте «спагетти-код на сайте намотать» (пусть как я, ради спортивного интереса). И тут Вы наверное даже не ожидаете такой «подлости» от любимого антивируса Касперского, тем более если Вы им не пользуетесь… а пользуется Ваш друг. Он то и увидит такое сообщение на Вашем сайте «объект заражен HEUR:Trojan.Script.Generic»:

А тем временем, другие антивирусы молчат.
Погружение на глубину
Всего голосов 19: ↑12 и ↓7 +5
Просмотры47.3K
Комментарии 20

Бесплатные SSL-сертификаты — теперь на 3 года от WoSign

Информационная безопасностьКриптография


Вчера обнаружил, что WoSign дает бесплатно сертификат, теперь уже на 3 года.
Читать дальше →
Всего голосов 60: ↑54 и ↓6 +48
Просмотры184.4K
Комментарии 80

Тот случай, когда флуд бесполезен

Блог компании ХостТрекерИнформационная безопасность

Когда фермер возделывает свое ранчо, он рассчитывает, что на его участке буйно заколосятся помидоры черри, но ни в коем разе не состоится чемпионат по боулингу или слет адвентистов седьмого дня. Создатели многих онлайн-ресурсов похожи на такого фермера, как близнецы, – порой им и в голову не может прийти, каким образом будут использоваться их виртуальные детища. Несколько таких случаев на примере нашего сервиса мониторинга сайтов ХостТрекер мы уже описывали в соответствующей статье. И если земледелец может воткнуть в свой огород кол с чучелом (или достать из кобуры старый добрый кольт) и надолго отвадить непрошеных гостей, то хозяевам онлайн соток приходится действовать хитрей. Как именно? Об этом ниже.
Читать дальше →
Всего голосов 13: ↑6 и ↓7 -1
Просмотры5.7K
Комментарии 11
1