Безопасность

Хотите хорошо зарабатывать?…

Золото...Пришёл СПАМ-комментарий на Стайлере - “Хотите хорошо зарабатывать?…”. И сразу подумалось, неужели такое ещё “прокатывает”?! Такие письмена уже настолько всем приелись, что дальше некуда. Главная строчка этой лабуды: Всё это удачно работает благодаря честности участников. Во как !

Читать всю публикацию »

Некачественное Web-программирование

Web разворачивается большими темпами. И на этом фоне число Web-разработчиков (как частников, так и компаний), так же стремительно растет. Однако при этом слишком мало внимания уделяется качеству разработки Web-систем. Почему-то считается, что почитать книжку по Web-программированию и полистать форум вполне достаточно для написания Web-системы. Как результат: ошибки в коде, дыры в безопасности, взломы, потери данных и т.д. Уж сколько раз твердили миру… но нет. Вот один из последних (но достаточно типичный) пример некачественного программирования.

Читать всю публикацию »

А защитят ли ваш сайт?

Защитим ваш сайт. Ваш сайт в опасности! - вот такой устрашающий СПАМ получили на днях. Разумеется, тут же было предложено “решение” вопроса.

Читать всю публикацию »

IDN домены способны ограничить доступ к некоторым сайтам или ошибка IDN в IE7

Microsoft Ie7Буквально на днях выяснилась проблема с доступом к сайту c установленной статистикой “Google Analytic”. Причем физически доступ к ресурсу был нормальный, но при попытке загрузки сайта в IE7 броузер подвисал. При изучение проблемы, выяснилось, что виной такому поведению стала ошибка поддержки IDN доменов в IE7.

Читать всю публикацию »

OS Commanding (Выполнение команд ОС)

Выполнение ОС команд (OS Commanding) - метод нападения, используемый, чтобы эксплуатировать веб-сайты, выполняя команды Операционной Системы посредством манипуляций входными данными приложения.

Читать всю публикацию »

LDAP Injection (LDAP Инъекция)

LDAP Инъекция (LDAP Injection) является методом нападения, используемым для эксплуатирования веб-сайтов, которые формируют LDAP операторы из потока входных данных от пользователей.

Читать всю публикацию »

Format String Attacks (Атаки Форматирования Строк)

Атаки Форматирования строк (Format String Attacks) изменяют ход выполнения приложения, используя возможности библиотеки форматирования строк, чтобы получить доступ к другой области памяти. Дыра в безопасности возникает, когда данные, введенные пользователем, используются напрямую, как входная строка форматирования для определенных C/C++ функций (такие как, fprintf, printf, sprintf, setproctitle, syslog,…).

Читать всю публикацию »

Buffer Overflow (Переполнение Буфера)

Переполнение Буфера (Buffer Overflow) используется злоумышленниками, чтобы изменить ход выполнения приложения путем переполнения переменных памяти. Переполнение Буфера является распространенной ошибкой программного обеспечения, которая приводит к сбойной ситуации. Сбойная ситуация возникает, когда данные, записываемые в память, превышают размер отведенного под них буфера. Поскольку буфер переполнен, соседние адреса памяти переписываются, что приводит программное обеспечение к системной ошибке или аварийному сбою. Если при этом для переполнения буфера могут быть использованы неограниченные, особым образом подготовленные входные данные, это может привести к множеству проблем безопасности.

Читать всю публикацию »

Cross-site Scripting или XSS (Межсайтовое выполнение сценариев)

Межсайтовое выполнение сценариев (Cross-site Scripting или XSS) является методом нападения, который вынуждает веб-сайт выводить, подготовленный злоумышленником программный код, который загружается в браузере пользователя. Сам программный код обычно пишется на HTML/JavaScript, но может быть также перенесен в VBScript, ActiveX, Java, Flash, или на любую другую поддерживаемую браузерами технологию.

Читать всю публикацию »

Content Spoofing (Подмена содержания)

Подмена содержания (Content Spoofing) - метод нападения, используемый, чтобы обмануть уверенность пользователя в том, что определенное содержание представленное на веб-сайте является подлинной, а не берется из внешнего источника. Некоторые веб-старницы формируются с использованием динамического наполнения из HTML содержащих источников.

Читать всю публикацию »