Сьогодні вийшла нова версія програми SQL Shell v.1.0.2. В новій версії:
SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.
Скачати: SQL_Shell_v.1.0.2.rar.
Раніше я вже неодноразово писав про уразливості на www.privatbank.ua - проблеми з безпекою достатньо поширені на сайтах ПриватБанку. І зараз я розповів про черговий випадок.
В записі Приватбанк - защита персональных данных автор розповідає про те, як ПриватБанк дбає про захист персональних даних своїх клієнтів. На сайті банку можна легко знайти персональні дані клієнтів ПриватБанка.
Спочатку потрібно знайти логіни працівників банку (через Skype), що стало можливим через допущений витік інформації (як окремими працівниками, так і банком у цілому). Далі на сайті банку на сторінці історії потрібно ввести знайдені логіни і отримати перелік клієнтів даних працівників банку з персональними даними цих клієнтів.
Зазначу, що згаданий у записі сайт Привата, де можна було переглянути історію, вже не працює. Але легко можна знайти на офіціному сайті іншу форму для перегляду історії (я знайшов її на http://www.privatbank.ua). Де можна ввести знайдені логіни для отримання інформації про клієнтів банку.
Дана інформація може бути використання зловмисниками, зокрема фішерами, для проведення атак на клієнтів банку. Тому ПриватБанку не слід допускати подібних витоків інформації.
Зазначу, що стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.agrocombank.kiev.ua.
В своєму листі до розсилки Best security improvements of 2009? Andy Steingruebl підняв цікаву тему. Які відбулися покращення безпеки в 2009 році?
Він навів наступні покращення, що з’явилися в минулому році:
Дані покращення - це звичайно добре. Але стосовно покращень в IE8 в мене є ряд зауважень.
Те, що в IE8 нарешті прибрали підтримку expression(), це дозволить захистити користувачів браузера від XSS атак через expression(), а також від DoS атак (що були можливі в IE7 та попередніх версіях). Але стосовно даного захисту від XSS атак, то я тут бачу не тільки позитивні, але й негативні наслідки (тому що XSS дірки на сайтах потрібно виправляти на сайтах, а не в браузерах). І я розробив власну методику XSS атак, що дозволяє проводити XSS атаки в різних браузерах (в тому числі IE8), що може бути використана замість старих атак з expression(), про що я напишу окрему статтю.
А от заголовок X-Frame-Options в IE8 лише частково вирішує проблему. І методика атак через CSS, що я описав в статті MouseOverJacking атаки, дозволяє обходити даний захист в IE8 та може застосовуватися для проведення Clickjacking та MouseOverJacking атак в різних браузерах.
Зі своєї сторони додам наступні (еволюційні) покращення безпеки за 2009 рік:
Не кажучи про виправлення дірок, які робили на протязі року власники сайтів та веб девелопери (це відбується постійно). А також виправлення у різних плагінах до браузерів (Flash та інших) та в десктоп версіях даних додатків. У списку лише найбільш глобальні покращення безпеки.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Нещодавно Джеремія опублікував 10 найкращих веб хаків 2009 року - Top Ten Web Hacking Techniques of 2009 (Official). В записі він також навів перелік усіх веб хаків за минулий рік, які він почав збирати у грудні, з яких були вибрані 10 найкращих хакерських технік.
Десятка найкращих веб хаків:
1. Creating a rogue CA certificate
2. HTTP Parameter Pollution (HPP)
3. Flickr’s API Signature Forgery Vulnerability (MD5 extension attack)
4. Cross-domain search timing
5. Slowloris HTTP DoS
6. Microsoft IIS 0-Day Vulnerability Parsing Files (semicolon bug)
7. Exploiting unexploitable XSS
8. Our Favorite XSS Filters and how to Attack them
9. RFC1918 Caching Security Issues
10. DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation)
Дуже цікавий список веб хаків (як TOP 10, так і весь перелік веб хаків). Як і список найкращих веб хаків 2008 року. Мої поздоровлення авторам хакерських технік, що були вибрані до TOP 10, та всім секюріті дослідникам, що створили нові хакерські техніки в 2009 році.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
01.12.2009
Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14 та 15.
Ось нова добірка уразливих секюріті сайтів:
Всім security проектам слід приділяти більше уваги безпеці власних сайтів.
11.01.2010
Ще одна добірка уразливих секюріті сайтів:
Секюріті компаніям та хакерським проектам варто більше слідкувати за безпекою власних сайтів.
В грудні я писав про свої послуги по обміну WebMoney <-> LiqPAY, виводу WebMoney <-> Visa <-> та виводу WebMoney <-> Приват24. Зазначу, що в цьому місяці я підняв комісії на обмінні операції.
Детально про даний проект та про поточні комісії ви можете прочитати в мене на форумі та на форумі hackua.com.
І в своєму записі я писав про можливість виведення грошей з LiqPAY в банкоматі. Для чого потрібно з собою мати мобільний телефон та кредитну карту. Як я зазнав раніше, кредитка потрібна лише для обходу обмежень банкомату, щоб дістатися до його меню.
Декілька днів тому я вивів гроші з LiqPAY в банкоматі ПриватБанку (щоб власноруч перевірити даний функціонал). Під час чого стикнувся з деякими нюансами, про які вам і розповім.
При виведенні грошей в банкоматі вам потрібно мати на рахунку LiqPAY гривні. Якщо у вас в LiqPAY є тільки гроші на доларовому чи іншому рахунку, окрім гривневого, ви не зможете вивести гроші. Банкомат видасть повідомлення про помилку, що операцію виконати не вдалось. При виведенні в банкоматі немає автоматичної конвертації з інших валют в гривню. А це було б варто ПриватБанку зробити, так було б набагато зручніше користувачам системи LiqPAY.
Тому спочатку вам потрібно обміняти гроші з іншого рахунку (наприклад, доларового) на гривні (UAH) в LiqPAY. Причому потрібно мати гривень з запасом, щоб вистачило на комісію системи (за виведення в банкоматі комісія 1% + $1,95). І лише після того, як у вас буде достатня для виведення сума, ви можете зняти гроші в банкоматі. При цьому потрібно врахувати наявні в банкоматі купюри (тобто треба виводити суму, що кратна тим купюрам, що зараз наявні в банкоматі). А це варто визначити заздалегідь.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
* 
You are currently browsing the archives for the Новини сайту category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.