Цікаві записи на тему веб безпеки

22:44 29.06.2010

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Timing Attacks in JavaScript, RSnake розповідає про можливість виявлення стану логіна через JavaScript. Тобто через визначення часу завантаження сторінки в JS можна визначити, чи залогінена людина, чи ні. Також RSnake навів PoC де можна перевірити дану концепцію в роботі.

В своєму записі Fox News, Directory Indexing, and FTP Passwords, Jeremiah розповів про цікавий випадок, що стався з сайтом Fox News. На якому виявили чимало уразливостей - спочатку Directory Indexing та адмінку без пароля (з таким доводолися також стикатися), де був виявлений пароль до FTP, а потім ще й XSS та SQLi уразливості. І все це на великому та полулярному ресурсі (а подібним ресурсам слід краще слідкувати за безпекою).

В своєму записі Human CAPTCHA Breaking, RSnake підняв тему ручного обходу капч. Коли люди наймаються (за гроші чи інші бонуси) для обходу капч вручну. Він розповів про тіньову економіку, що сформувалася в останні роки в сфері ручного обходу капч та про існуючі розцінки на таку роботу.


Leave a Reply

You must be logged in to post a comment.