Использование SQL-инъекций → Советы по избеганию SQL внедрения
Практически каждая база данных имеет средства для безопасной установки и безопасного хранения данных. Инициализировав данные службы, можно защитить базу данных от взломов с использованием внедрения SQL-инструкций на уровне приложения. Правильная обработка ошибок Никогда нельзя позволять приложению отсылать пользователю сообщения об ошибках механизма ODBC или любых других ошибках. Используйте генерацию страниц, описывающих причину ошибки, но ни [...]
Новости ИТ безопасности → Endpoint Security 8 от «Лаборатория Касперского»
По словам Евгения Касперского – директора компании «Лаборатория Касперского» в плане безопасности будущее информационных технологий очень туманное и беспросветное, поэтому работы в этом направлении очень много. Тем не менее в Нью-Йорке в рамках Cyber-Security Symposium компанией «ЛК» был представлен программный продукт Kaspersky Endpoint Security 8. Сверх новая разработка в области облачных систем, виртуализации и мобильных [...]
Обзоры ПО → Security Curator 5.5 от компании АтомПарк Софтваре
Данное программное решение предназначено для защиты предприятий. Комплекс ориентирован на контроль и оптимизацию рабочих часов работников фирм. Новое в Security Curator 5.5: Благодаря новой СУБД повысилась стабильность функционирования ПО; Реализована возможность создания одной БД из нескольких небольших; Более удобным стало восприятие информации, за счет улучшения интерфейса просмотра данных; Операции с отчетами для пользователя стали удобнее, [...]
Использование SQL-инъекций → Технологии взлома языковых средств SQL
Внедрение SQL-кода в при определенных обстоятельствах можно осуществить в другие СУБД. Что касается Microsoft SQL Server, то единственное его отличие от других продуктов — большое количество встроенных дополнительных функций, что делает эту технологию более уязвимой. Но существует и достаточное количество механизмов взлома, которые используют уязвимости любых баз данных, основанных на SQL. Эти механизмы основаны на [...]
Использование SQL-инъекций → Проверка WEB-сервера на уязвимость с помощью SQL-запросов
Технология, называемая внедрением SQL (SQL injection), может реализовываться как в виде простого внедрения символов, вызывающих ошибки, так и в виде выполнения произвольных запросов из командной строки. Продукты практически всех поставщиков баз данных могут подвергаться взломам данного типа. Этот изъян проявляется в SQL-запросах и соответствующих программных интерфейсах, предназначенных для поддержки таких запросов: ASP, PHP, Perl, a [...]
Изучение WEB-сервера → Cбор идентификационных маркеров через SSL
Утилиты netcat и fscan, не способны подключаться к сервисам SSL для сбора идентификационных маркеров. Поэтому напрашивается вопрос – как получить идентификационные маркеры от SSL-служб? Одним из самых простых способов является использование локального прокси-сервера, который по протоколу SSL посылает запросы к интересующему нас удаленному серверу, для чего существует несколько хороших инструментов, одним из которых является использование [...]
Изучение WEB-сервера → Идентификация Web-сервера
Процесс идентификации сервера также широко известен под названием сбора идентификационных маркеров (banners grabbing). Этот этап изучения объекта достаточно важен для хакеров, поскольку его результаты позволяют представить модель программного обеспечения сервера, что, в свою очередь, облегчает выбор направления дальнейшего взлома. В спецификации HTTP I.I (RFC 2616) определены заголовки ответов сервера для сообщения информации о сервере, обрабатывающем [...]
Лайфхак → Trojan.winlock: два дня танцев с бубном
Ирония в том, что в нескольким своих статьях я уже писал о том, что в сети гуляет данная разновидность троянца и ни сколько не мог предположить что сам подцеплю данную заразу. Как говорится ничего не предвещало беды, сидел на работе, обновлял контент сайта, открывал вкладки браузера и смотрел картинки и вдруг неожиданно система (Win XP) [...]
Взлом средств проверки вводимы данных → Переполнение буфера при выполнении сценариев
Для выполнения взлома данного типа нужно всего лишь попытаться ввести как можно больше символов в поле ввода. Это самый грубый и неэлегантный взлом, однако его можно использовать в случае, когда приложение выдает пользователю информацию об ошибке.
Хакинг с помощью WEB-клиентов → Методы похищения файлов cookie
Не секрет, что протокол HTTP не имеет средств, позволяющих различать сеансы пользователей. Для устранения этого недостатка был разработан механизм, описанный
Новости ИТ безопасности → Восстановление паролей к резервным копиям Apple iOS и RIM BlackBerry
Благодаря новой разработке Elcomsoft под названием Phone Password Breaker, органы внутренних дел получат доступ к конфиденциальным запароленным данным всем известных устройств на базе RIM BlackBerry/Apple iOS. Впечатляет не только многофункциональность утилиты, о чем можно почитать детальнее на сайте Elcomsoft (ссылка внизу), а также ее универсальность или мульти-платформенность, поддерживает: всю линейку Blackberry, все смарты на базе [...]
Хакинг с помощью WEB-клиентов → Взломы с использованием внедрения сценариев
Одним из слабых мест клиентов Web-приложений, является возможность внедрения сценариев (cross-site scripting). В основе взломов данного типа лежит внедрение сценариев на сервер, которые впоследствии используют для выполнения команд на машине клиента через его браузер. Выполнение кода на машине клиента является наиболее вероятным результатом взлома такого типа. При небольших доработках программа,
  Наши сообщества
  Хак новости
  Меню
  Метки


