Использование SQL-инъекцийСоветы по избеганию SQL внедрения

Практически каждая база данных имеет средства для безопасной установки и безопасного хранения данных. Инициализировав данные службы, можно защитить базу данных от взломов с использованием внедрения SQL-инструкций на уровне приложения. Правильная обработка ошибок Никогда нельзя позволять приложению отсылать пользователю сообщения об ошибках ме­ханизма ODBC или любых других ошибках. Используйте генерацию страниц, описывающих причину ошибки, но ни [...]

Октябрь 16, 2011 → 1 Comment

Новости ИТ безопасностиEndpoint Security 8 от «Лаборатория Касперского»

По словам Евгения Касперского – директора компании «Лаборатория Касперского» в плане безопасности будущее информационных технологий очень туманное и беспросветное, поэтому работы в этом направлении очень много. Тем не менее в Нью-Йорке в рамках Cyber-Security Symposium компанией «ЛК» был представлен программный продукт Kaspersky Endpoint Security 8. Сверх новая разработка в области облачных систем, виртуализации и мобильных [...]

Октябрь 14, 2011 → 6 Comments

Обзоры ПОSecurity Curator 5.5 от компании АтомПарк Софтваре

Данное программное решение предназначено для защиты предприятий. Комплекс ориентирован на контроль и оптимизацию рабочих часов работников фирм. Новое в Security Curator 5.5: Благодаря новой СУБД повысилась стабильность функционирования ПО; Реализована возможность создания одной БД из нескольких небольших; Более удобным стало восприятие информации, за счет улучшения интерфейса просмотра данных; Операции с отчетами для пользователя стали удобнее, [...]

Октябрь 14, 2011 → 1 Comment

Использование SQL-инъекцийТехнологии взлома языковых средств SQL

Внедрение SQL-кода в при определенных обстоятельствах можно осуществить в другие СУБД. Что  касается Microsoft SQL  Server, то единственное его отличие от других продуктов — большое количество встроенных дополнительных функций, что делает эту технологию более уязвимой. Но существует и достаточное количество механизмов взлома, которые используют уязвимости любых баз данных, основанных на SQL. Эти механизмы основаны на [...]

Октябрь 9, 2011 → Leave a Comment

Использование SQL-инъекцийПроверка WEB-сервера на уязвимость с помощью SQL-запросов

Технология, называемая внедрением SQL (SQL injection), может реализовываться как в виде простого внедрения символов, вызывающих ошибки, так и в виде выполнения произвольных запросов из командной строки. Продукты практически всех поставщиков баз данных могут под­вергаться взломам данного типа. Этот изъян проявляется в SQL-запросах и соответствующих программных интерфейсах, предназначенных для поддержки таких запросов: ASP, PHP, Perl, a [...]

Октябрь 2, 2011 → 5 Comments

Изучение WEB-сервераCбор идентификационных маркеров через SSL

Утилиты netcat и fscan, не способны подключаться к серви­сам SSL для сбора идентификационных маркеров. Поэтому напрашивается вопрос – как получить иден­тификационные маркеры от SSL-служб? Одним из самых простых способов является использование локального прокси-сервера, который по протоколу SSL посылает запросы к интересующему нас удаленному серверу, для чего существует несколько хороших инструментов, одним из которых является использование [...]

Август 29, 2011 → 5 Comments

Изучение WEB-сервераИдентификация Web-сервера

Процесс идентификации сервера также широко известен под названием сбора идентифи­кационных маркеров (banners grabbing). Этот этап изучения объекта достаточно важен для хаке­ров, поскольку его результаты позволяют представить модель программного обеспечения серве­ра, что, в свою очередь, облегчает выбор направления дальнейшего взлома. В спецификации HTTP I.I (RFC 2616) определены заголовки ответов сервера для сообщения информации о сер­вере, обрабатывающем [...]

Август 21, 2011 → 2 Comments

ЛайфхакTrojan.winlock: два дня танцев с бубном

Ирония в том, что в нескольким своих статьях я уже писал о том, что в сети гуляет данная разновидность троянца и ни сколько не мог предположить что сам подцеплю данную заразу. Как говорится ничего не предвещало беды, сидел на работе, обновлял контент сайта, открывал вкладки браузера и смотрел картинки и вдруг неожиданно система (Win XP) [...]

Июль 29, 2011 → 21 Comments

Взлом средств проверки вводимы данныхПереполнение буфера при выполнении сценариев

Для выполнения взлома данного типа нужно всего лишь попытаться ввести как можно больше символов в поле ввода. Это самый грубый и неэлегантный взлом, однако его можно использовать в случае, когда приложение выдает пользователю информацию об ошибке.

Июль 21, 2011 → 1 Comment

Хакинг с помощью WEB-клиентовМетоды похищения файлов cookie

Не секрет, что протокол HTTP не имеет средств, позволяющих различать сеансы пользователей. Для устранения этого недостатка был разработан механизм, описанный

Июнь 27, 2011 → 13 Comments

Новости ИТ безопасностиВосстановление паролей к резервным копиям Apple iOS и RIM BlackBerry

Благодаря новой разработке Elcomsoft под названием Phone Password Breaker, органы внутренних дел получат доступ к конфиденциальным запароленным данным всем известных устройств на базе RIM BlackBerry/Apple iOS. Впечатляет не только многофункциональность утилиты, о чем можно почитать детальнее на сайте Elcomsoft (ссылка внизу), а также ее универсальность или мульти-платформенность, поддерживает: всю линейку Blackberry, все смарты на базе [...]

Май 27, 2011 → 6 Comments

Хакинг с помощью WEB-клиентовВзломы с использованием внедрения сценариев

Одним из слабых мест клиентов Web-приложений, является возможность внедрения сценариев (cross-site scripting). В основе взломов данного типа лежит внедрение сценариев на сервер, которые впоследствии используют для выполнения команд на машине клиента через его браузер. Выполнение кода на машине клиента является наиболее ве­роятным результатом взлома такого типа. При небольших доработках программа,

Май 24, 2011 → 6 Comments
13 pages