Главная
blogs

Нужен ли антивирус для Android?

Опубликовано: 3 апр 2011 в 8:23
Увеличение числа вирусов и троянов для платформы Android подводит к вопросу: нужна ли антивирусная защита для Android или достаточно пользоваться проверенными источниками?
articles

Составляем безопасные пароли

Опубликовано: 2 апр 2011 в 23:13
Пароли присутствуют в области информационных технологий с момента основания, но только в последнии пять-шесть лет, когда компьютеры стали достаточно мощными, у нас появилась возможность взламывать их в разумные сроки.

Теперь уже на многих сайтах можно найти информацию по взлому паролей. К примеру, на сайте wpacracker.com показано, как легко взломать пароль от Wi-Fi, а у Elcomsoft выпущена программа для восстановления паролей, с возможностью подключения мощности видеокарты, для ускорения процесса взлома.
script

Сookie. Установка, извлечение и удаление

Опубликовано: 1 апр 2011 в 23:54
Полезные JavaScript функции для работы с куками. Установка куки, извлечение куки и удаление куки. Удаление cookie (функция deleteCookie) происходит через установку с прошедшей датой. Значения name и value обязательные для каждой функции, остальные по выбору. Значение secure (true/false) устанавливается для передачи куков по SSL.
articles

Защита сайта от CSRF

Опубликовано: 1 апр 2011 в 19:43
Несмотря на сходство названия с Cross-Site Scripting (XSS), Cross-Site Request Forgeries (CSPF) является почти противоположным методом атаки. В то время как XSS-атака эксплуатирует доверие пользователя к сайту, CSRF-атаки используют доверие сайта к пользователям. CSRF-атака являются более опасной и трудной для защиты, нежели XSS.
articles

Межсайтовый скриптинг (XSS)

Опубликовано: 1 апр 2011 в 18:23
Средства массовой информации сделали межсайтовый скриптинг (Cross-Site Scripting - XSS) довольно популярным термином, определенно заслуживающим нашего внимания. Это наиболее распространенная уязвимость в веб-приложениях, и многие популярные PHP-скрипты с открытым кодом страдают от XSS.
blogs

День рождения сайта

Опубликовано: 29 мар 2011 в 01:51
Наконец, этот день настал! Сайт обрел доменное имя — securityscripts.ru. Будем считать этот день началом работы сайта. Поживем — увидим!

И о насущном, а в частности о блогах. До конца этой недели планируется старт сразу 3-х блогов: взлом, Apple и вирусы. Следите за обновлениями.
articles

Обработка форм

Опубликовано: 27 мар 2011 в 14:37
Для того чтобы оценить необходимость фильтрации данных, рассмотрим следующую форму, теоретически расположенную на http://example.org/form.html:
<form action="/process.php" method="POST">
<select name="color">
    <option value="red">red</option>
    <option value="green">green</option>
    <option value="blue">blue</option>
</select>
<input type="submit" />
</form>
Теперь представьте себе, что хакер скачал HTML файл себе на компьютер и изменил его следующим образом:
<form action="http://example.org/process.php" method="POST">
<input type="text" name="color" />
<input type="submit" />
</form>
articles

Захват сессии (Hijacking)

Опубликовано: 26 мар 2011 в 19:46
Это, вероятно, самый популярный метод захвата идентификатора сессии, который используется чтобы получить доступ к сессии другого пользователя. Теоретически, после старта сессиии вы становитесь уязвимы к захвату идентификатора. Однако на практике все не так просто.
articles

Фиксация сессии

Опубликовано: 24 мар 2011 в 21:59
Защита сессий довольно сложная тема для обсуждения, и не удивительно, что сессии часто становятся объектом для нападения. В большинстве случаев хакер пытается получить доступ к сессии другого пользователя, выдавая себя за него.
articles

Слепая SQL-инъекция

Опубликовано: 24 мар 2011 в 11:57
Для начала вспомним о простой SQL-инъекции. Это метод взлома, который позволяет злоумышленнику получить несанкционированный доступ к серверу базы данных. Скрипт принимает данные от злоумышленника и выполняет SQL-запросы без предварительной проверки входных данных. Тем самым атакующий может свободно изменять, добавлять и удалять содержимое баз данных.

Обычно взлом начинается с поиска уязвимостей к SQL-инъекциям. Для этого скрипту отправляются данные, которые меняют логику SQL-запроса, тем самым делая эти запросы недействительными. При таком запросе сервер вернет сообщение об ошибке и хакер будет пытаться реконструировать оригинальные SQL-запросы на основании информации полученной из этих сообщений. Очевидно, что нужно просто отключить вывод этих сообщений об ошибках сервера. Но, к сожалению, этого не достаточно.

Страницы: