Перейти на Sec.Ru
Sec.Ru Интернет портал по безопасности
Мой Sec.Ru
Логин
или e-mail
Пароль
Забыли пароль?
Рейтинг@Mail.ru
Форум по безопасности на Sec.Ru


Популярные темы

О форуме
Регламент

Как пользоваться

Форум / Блоги / NOSECURE.INFO - Мифы об информационной безопасности
NOSECURE.INFO

NOSECURE.INFO - Мифы об информационной безопасности
В современном мире существует множество мифов. Мы верим в технологическое превосходство машин над людьми, в то, что самописные движки веб-сайтов безопаснее наиболее популярных и т.д. На наш взгляд, наиболее развитым заблуждением является весьма прелюбопытный “миф об абсолютно защищенной информации“.

последнее — 18.07.2009 11:06
всего — 2

Пчелиные трудности - XSS уязвимости на сайте Билайна
18.07.2009 11:06

Проблемы, связанные с XSS(”cross-site scripting” или “межсайтовый скриптинг”), специалистыинформационной безопасности склонны зачастую недооценивать. Особенно,если это так называемые пассивные XSS - мало того,что вместо непосредственной атаки сервера, злоумышленник использует егосамого в качестве средства атаки, так еще и сам пользователь долженкаким-то образом запустить переданный ему URI/URL.

Успешному взлому препятствует множество проблем - украденные авторизационные данные (как правило в виде “cookie“)могут быть привязаны к конкретному сетевому адресу пользователя, имеютограниченное время действия, не дают возможности восстановить пароль ит.д.

Однако, на самом деле, большинство ресурсов предоставляет бонусынаиболее внимательным злоумышленникам. При определенной подготовкеспециальной инфраструктуры заранее, хорошем понимании того, какустроены механизмы аутентификации и авторизации на разных ресурсахможно добиться желаемого результата. Например, украсть немного со счетаили подсмотреть список звонков у мобильного оператора, разослатьадресную рекламу в “дошкольниках.ру”или прочитать/отправить личную почту через веб-форму… Но хуже всегодело обстоит с определением наличия такого рода уязвимостей. Для этогоюному “скрипткидди” даже не понадобится специальных программ - только браузер и заветная строчка “<script>alert(document.cookie);</script>“, которую можно опробовать разными способами.

Еще одна проблема - автоматизация. Да, большинство XSS-атак заметныневооруженным глазом - пользователь может довольно быстро осознать, чтото, что он делает не является вполне себе корректной работой привычноговеб-ресурса. Вот только, автоматизированное вредоносное средство,которое уже получило к этому моменту его авторизационные данные, какправило не думает - оно реагирует и явно быстрее, чем человек. Реакциякак правило заключается в очистке украденных данных у пользователя (вэтом случае он не может корректно завершить сеанс работы), ипоследующем постоянном поддержании этих данных в актуальном состоянии.Последняя операция достигается путем постоянного взаимодействия свеб-ресурсом, а первая - с помощью сценариев на “Javascript“.

Давайте рассмотрим живой пример (по состоянию на 17.07.2009 г.) -информационный ресурс “Система управления услугами “Мой Билайн”компании “Билайн“. Используя простую строку “><script>alert(”NOSECURE.INFO”);</script>” мы подставляем ее в форму для ввода имени учетной записи и пароля… Вуаля! Веб-браузер получает ответ и выполняет Javascript. Что еще надо?

 Продолжение ...
..
подробно/комментарии (0) >>

Раскрытие персональной информации на сайте Ассоциации профессионалов в области ИБ
16.07.2009 12:16

Мировой известностью в сфере ИБ обладает консорциум InternationalInformation Systems Security Certifications Consortium, (ISC)2.Консорциум (ISC)2 был создан в качестве фильтра-решета для отбора средиспециалистов ИБ тех, кто может продолжать карьерный рост в компаниях,образовавших консорциум, и так или иначе связанных с государственнымиструктурами США.

В России также создано представительство(ISC)2 — ассоциация RISSPA (Russian Information Systems SecurityProfessional Association). Информационный ресурс раскрывает вот такуюинформацию об Ассоциации:

«Данная Ассоциация создана летом 2006года в целях создания и развития системы сертификации российскихпрофессионалов по информационной безопасности, популяризации идейинформационной безопасности, а также повышения уровня знанийспециалистов. Консорциум (ISC)2 является мировым лидером в областимеждународной сертификации специалистов по безопасности информационныхсистем. Принципы сертификации основаны на общепринятом объеме знанийCBK, разработанном Международным советом институтов управленческогоконсультирования ICMC, для специалистов по информационной безопасности.»

На сайте открыта регистрация посетителей. В моменты, когда доступнарегистрация, посетители сайта могут пользоваться своими учетнымизаписям для регистрации участия в проводимых RISSPA семинарах. Ксожалению, на данный момент сайт RISSPA.ORG сконфигурирован такимобразом, что с помощью полученных авторизационных данных нельзя никудапопасть, кроме как в административную панель 1C:Битрикс.

С еепомощью можно получить персональную информацию о всех участникахпроведенных семинаров. Для спам-рассылок и конкурентных DDOS-атакпригодится персональная информаци?я и списки всех зарегистрированных насеминарах пользователей с указанием телефонов, адресов электроной почтыи компании-нанимателя. Примечательный факт — в перечнях персональныхданных присутствуют и сами сотрудники RISSPA.ORG.

 Подробнее...
подробно/комментарии (0) >>

Новости
Найден принципиально новый метод компрометации данных в компьютерах под управлением Windows

Новая облачная платформа аутентификации ActivID Tap Authentication для Microsoft

Российские компании разработали типовой Микро-ЦОД


 
--{ team void }-- Rambler's Top100 Рейтинг@Mail.ru