Мистецтво обману
22:44 13.06.2008Пропоную вам ознайомитися з цікавою книгою Кевіна Мітника “Искусство обмана“. В своїй книзі “Мистецтво обману”, Кевін розповідає про соціальну інженерію, про те як він опанував дану професію (наводить деякі деталі своєї біографії) і про можливості її використання.
Лінку на дану книгу люб’язно надав Роман в своєму книжному огляді. До речі, в своєму пості Роман згадує про цікавий випадок, який з ним стався коли він вирішив придбати собі в онлайні книги. В результаті замовлення книг на сайті магазину аудиокниг, він на додачу до самого зомовлення, ще й виявив серйозну Information Leakage дірку (що приводила до витоку конфеденційних даних покупців магазину).
Як він зазначив, після того як він повідомив власникам сайта, дірку залатали швидко, а ось про спасибі забули. На жаль, це звичайна ситуація (для власників будь-яких сайтів). Про те, що власникі сайтів забувають казати спасибі за повідомлення про уразливості на їх сайтах, я знаю дуже добре: за 2006, 2007 та 2008 роки, що я займаюсь соціальним секюріті аудитом, з подібнім видношенням зіткався і зіткаюся дуже часто (я почав зіткатися з несерйозним відношенням починаючи ще з 2005 року, як почав займатися напрямком веб безпеки, і по сьогодні).
P.S.
Як я щойно глянув, за кілька секунд знайшовши три уразливості на сайті згаданого онлайн магазину (а дірок там може бути ще чимало), безпека даного магазину залишає бажати кращого .
П'ятниця, 23:34 13.06.2008
Спасибо за ссылку.
Btw, жду ответа на письмо
Субота, 00:10 14.06.2008
Cooluck, завжди будь ласка.
Обов’язково напишу листа, як черга до нього дійде (а в мене чималі щоденні потоки емайлів).
Субота, 12:19 14.06.2008
Мне очень понравилась книга, только вот написана немного сложновать и замудренно…И говорю Вам - спасибо. А то хамов в сети действительно хватает.
Субота, 23:58 14.06.2008
megaObzor
Всегда пожалуйста.
Книга Кевина весьма интересная. А её возможная сложность будет разной у каждого читателя, в зависимости от рода его деятельности. Хакеру читать книгу хакера совсем несложно.
Более чем хватает . И хамов, и невоспитанных людей, которые забывают сказать спасибо за заботу о безопасности их сайтов. Хватает и тех, кто игнорирует мои сообщения, и не исправляет дыры на своих сайтах. А дырявых сайтов, как я уже многократно говорил, более чем хватает.
Кстати о дырявых сайтах . Как я сегодня посмотрел, на вашем сайте имеется множество уязвимостей (как на сайте, так и в используемом вами движке SLAED CMS, наименование которого вы так старанно старались спрятать). В частности на сайте есть Cross-Site Scripting и Insufficient Anti-automation уязвимости, о которых я вам вскоре напишу.