Websecurity - Веб безпека

З початку грудня я розпочав свій новий проект. В якому я пропоную послуги виводу WebMoney на кредитні карти (Visa, MasterCard) і поповнення WebMoney із кредитних карт. А також обмін електронних валют WebMoney на LiqPAY і LiqPAY на WebMoney.

Детально про даний проект та про поточні комісії ви можете прочитати в мене на форумі та на форумі hackua.com.

Як я зазначив на форумах, можливий вивід з банкомата через систему LiqPAY. ПриватБанк з недавніх пір дозволяє знімати гроші в банкоматах з рахунку в LiqPAY навіть без картки (потрібно лише мати свій мобільний телефон).

Тобто не виводити з LiqPAY на картку, а потім змімати гроші в банкоматі, а одразу знімати в банкоматі гроші з рахунку LiqPAY. Так що люди можуть через мене обмінювати WebMoney на LiqPAY і виводити в готівку в банкоматах Приватбанку.

Але як я сьогодні перевірив під час досліджень даної функції ПриватБанку по виводу з банкомата через систему LiqPAY, цілком без карти вивести гроші не вийде.

Із собою обов’язково потрібно мати кредитну карту, окрім телефону. Це м.б. карта як приватовська, так і будь-якого іншого банку (це може бути навіть карта на якій немає коштів). Це пов’язано з тим, що приватовський банкомат, як це звичайно і буває в банкоматів, надає доступ до меню тільки після вставки карти в банкомат.

Так що потрібно мати із собою кредитну карту, вставити її в банкомат і ввести пін код (при цьому операцій з кредиткою проводитися не буде - це такий собі хакерський обхід обмежень банкомата). І після чого вибрати в меню вивід готівки з рахунка в LiqPAY (дотримуючись інструкцій Приватбанку).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vforum.com.ua (хакером Mr.P3rfekt) - 05.12.2009, зараз сайт вже виправлений адмінами
• http://www.hladotech.com.ua (хакером 32rferkipper)
• http://ssa.kpi.ua (хакером XUGURX) - це все той же ssa.ntu-kpi.kiev.ua, похаканий в 2008 році і все ще не виправлений
• http://www.acmagistral.com.ua (хакером CmTr) - 01.12.2009, зараз сайт вже виправлений адмінами
• http://ynik.org.ua (хакером Cyber_945) - 31.10.2009, зараз сайт вже виправлений адмінами

Ще в серпні компанія IBResource повідомила про запуск Антиспам сервісу. Як заявляють розробники, це перший в Рунеті Антиспам сервіс для форумів.

Вони не зупинился на минулорічних покращеннях системи захисту від спаму і вирішили запропонувати новий сервіс для більшої протидиї спамерам.

Сервіс Антиспама являє собою комплекс заходів для визначення і блокування користувачів-спамерів. Частина даного комплексу вбудована у форум, а інша реалізована у вигляді окремого зовнішнього сервісу. Він обробляє всі дані про реєстрації на форумах клієнтів і на основі власної бази, робить висновок про можливу спам-реєстрацію. Відповідно, чим більше клієнтів використовує сервіс, тим ефективніше він працює і тим більше захищені самі форуми від спамерів.

• Антиспам сервис (деталі)

Сервіс працює з форумами IPB 2.3.6 та 3.x. Але розробники заявляють, що можуть надати необхідну інформацію по роботі сервіса для власників інших форумних движків.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.secretland-online.com (хакером Czar) - 27.11.2009, зараз сайт вже виправлений адмінами
• http://www.hackeruman.com.ua (хакером B.S) - B.S не сподобалось, що в назві магазина є слово “хакер” і він похакав даний онлайн магазин
• http://naftusia.net (хакером me) - 26.11.2009, зараз сайт вже виправлений адмінами
• http://pray.org.ua (хакером yavuzonder_135) - 22.11.2009, зараз сайт вже виправлений адмінами
• http://oi-ca.org.ua (хакером SALDIRAY) - 28.11.2009, зараз сайт вже виправлений адмінами

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.president.gov.ua (невідомими хакерами) - 25.11.2009 - DDoS атака на сайт Офiцiйного представництва Президента України
• http://obmen.zt.ua (невідомими хакерами) - 02.11.2009 - DDoS атака на obmen.zt.ua
• http://www.velusk.ucoz.ua (хакером jankiy3)
• http://www.horayetsky.lviv.ua (хакером MucaHit) - 15.11.2009, зараз сайт вже виправлений адмінами
• http://plutka.at.ua (хакером jankiy3) - 13.11.2009, зараз сайт вже виправлений адмінами

Визначення сервера (fingerprinting), що використовується на конкретному сайті - це важлива задача в контексті безпеки (це відноситься як до веб серверів, так й іншого серверного ПЗ). І спеціальні методи ідентифікації потрібні у випадку, коли сервер не повертає банер (зі своєю назвою), або повертає підроблений банер, щоб ввести в оману дослідників чи зловмисників які визначають серверне ПЗ.

В своєму записі Tomcat SSL Fingerprinting RSnake розповів про виявлений ним метод визначення сервера Tomcat. Це популярний контейнер сервлетів, розроблений Apache.

Суть метода зводиться до того, щоб послати запит “GET / HTTP/1.0″ до SSL/TLS порта сервера. На це сервер відповість специфічним повідомленням про помилку, що дозволить ідентифікувати сервер.

З часом я оприлюдню власний метод визначення веб серверів, що я розробив ще в 2006 році.

05.11.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 та 14.

Ось нова добірка уразливих секюріті сайтів:

• bezpeka.com
• usm.co.ua
• ufsb.kiev.ua

Всім security проектам та компаніям слід приділяти більше уваги безпеці власних сайтів.

20.11.2009

Ще одна добірка уразливих секюріті сайтів:

• www.cctvua.com
• bezpeka.opta.com.ua
• www.ibm.com

Секюріті проектам та компаніям слід приділяти більше уваги безпеці власних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://balkon-info.at.ua (хакером jankiy3)
• http://maarek.org.ua (хакером jankiy3)
• http://naruta.at.ua (хакером jankiy3)
• http://ukrtexstandart.com.ua (хакером AsSerT)
• http://niam-niam.org.ua (хакером CybeR_945) - 31.10.2009, зараз сайт вже виправлений адмінами

Нещодавно я додав підтримку LiqPAY на сайт. І тому окрім WebMoney також можна використати LiqPAY для оплати моїх продуктів та послуг. Через дану систему ви можете оплатити проведення аудиту безпеки вашого веб сайта чи веб додатка, а також замовити мій SEO метод та програми до нього.

Так що всі користувачі системи LiqPAY можуть скористатися даною можливістю.

В себе на сторінці Security Bookmarklets RSnake розмістив цікаві секюріті буркмарклєти. Які можуть стати в нагоді для фахівців в галузів веб безпеки. Буркмарклєти призначені для браузера Firefox (але деякі з них працюють і в старій Mozilla).

Доступні наступні інструменти для вашого браузера:

• zoom images in та zoom images out
• linked images
• increment та decrement
• numbered list
• Yahoo site search
• methodToggle
• Edit Cookies
• Find Redirects
• Alexa

Сам я букмарклєтами особливо не користуюся (ні цими, ні взагалі), але комусь вони можуть стати в нагоді . Тим паче серед даного переліку букмарклєтів є деякі цікаві й зручні. Я ж полюбляю для деякої оптимизації роботи використовувати плагіни до браузеру. Зокрема такі корисні речі, що роблять methodToggle і Edit Cookies, я вже давно роблю в браузері через відповідні й зручні плагіни.