Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Облако тегов » СКРИПТИНГ
Новости

Основная часть вредоносного ПО расположена на доверенных сайтах

автор: Administrator | 13 мая 2009, 20:18 | Просмотров: 3946
теги: Новости, сайт, вредоносные, ПО, хакеры, безопасности, Google, McAfee, SQL, СКРИПТИНГ, Symantec

Компания MessageLabs, находящаяся ныне под крылом Symantec, утверждает, что времена, когда почти все вредоносные программы распространялись через наскоро сколоченные сайты-однодневки с порнографией, остались в прошлом.

Современные хакеры предпочитают компрометировать солидные ресурсы, которым пользователи доверяют день за днем.

Согласно полученной на прошлой неделе информации, 84,6% от общего числа доменов, блокируемых программами для обеспечения безопасности, имеют возраст более года.

Лишь 15,4% сайтов были развернуты менее года назад, а а долю сайтов, открывшихся меньше месяца назад, приходится 10,2 процента. При этом сайты, запущенные меньше недели назад, и вовсе составляют лишь 3,1%.
Уязвимые сайты

XSS уязвимость в DataLife Engine

автор: Administrator | 4 марта 2009, 22:11 | Просмотров: 7153
теги: Уязвимые сайты, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый

Программа:
DataLife Engine 7.х (теоретически во всех версиях)

Опасность:
средняя

Описание:
XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость, с помощию каторого можно:
- вставить на сайте невидимый IFRAME
- перенаправлять посетителей на другой сайт(фейк)
- размещять всплывающих окон
- загрузить разные вирусы, файлы и др.
Статьи

Межсайтовый скриптинг (XSS) в DataLife Engine

автор: Administrator | 4 марта 2009, 02:41 | Просмотров: 10310
теги: САЙТ, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый

Мы все думали, что DataLife Engine является идеальной системой, не имеет никаких уязвимостей, а администраторы могут использовать с большим удовольствием все функции этой системы, убеждены, что эта CMS является непобедимой.

Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.

К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.

Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.