SecuRRity.Ru » Облако тегов » СКРИПТИНГ
Основная часть вредоносного ПО расположена на доверенных сайтах
автор: Administrator | 13 мая 2009, 20:18 | Просмотров: 4099теги: Новости, сайт, вредоносные, ПО, хакеры, безопасности, Google, McAfee, SQL, СКРИПТИНГ, Symantec
Компания MessageLabs, находящаяся ныне под крылом Symantec, утверждает, что времена, когда почти все вредоносные программы распространялись через наскоро сколоченные сайты-однодневки с порнографией, остались в прошлом.
Современные хакеры предпочитают компрометировать солидные ресурсы, которым пользователи доверяют день за днем.
Согласно полученной на прошлой неделе информации, 84,6% от общего числа доменов, блокируемых программами для обеспечения безопасности, имеют возраст более года.
Лишь 15,4% сайтов были развернуты менее года назад, а а долю сайтов, открывшихся меньше месяца назад, приходится 10,2 процента. При этом сайты, запущенные меньше недели назад, и вовсе составляют лишь 3,1%.
Современные хакеры предпочитают компрометировать солидные ресурсы, которым пользователи доверяют день за днем.
Согласно полученной на прошлой неделе информации, 84,6% от общего числа доменов, блокируемых программами для обеспечения безопасности, имеют возраст более года.
Лишь 15,4% сайтов были развернуты менее года назад, а а долю сайтов, открывшихся меньше месяца назад, приходится 10,2 процента. При этом сайты, запущенные меньше недели назад, и вовсе составляют лишь 3,1%.
XSS уязвимость в DataLife Engine
автор: Administrator | 4 марта 2009, 22:11 | Просмотров: 7320теги: Уязвимые сайты, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый
Программа:
DataLife Engine 7.х (теоретически во всех версиях)
Опасность:
средняя
Описание:
XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость, с помощию каторого можно:
- вставить на сайте невидимый IFRAME
- перенаправлять посетителей на другой сайт(фейк)
- размещять всплывающих окон
- загрузить разные вирусы, файлы и др.
DataLife Engine 7.х (теоретически во всех версиях)
Опасность:
средняя
Описание:
XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость, с помощию каторого можно:
- вставить на сайте невидимый IFRAME
- перенаправлять посетителей на другой сайт(фейк)
- размещять всплывающих окон
- загрузить разные вирусы, файлы и др.
Межсайтовый скриптинг (XSS) в DataLife Engine
автор: Administrator | 4 марта 2009, 02:41 | Просмотров: 10545теги: САЙТ, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый
Мы все думали, что DataLife Engine является идеальной системой, не имеет никаких уязвимостей, а администраторы могут использовать с большим удовольствием все функции этой системы, убеждены, что эта CMS является непобедимой.
Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.
К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.
Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.
Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.
К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.
Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Подписка на сайт
Календарь
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
|---|---|---|---|---|---|---|
Популярные новости
Облако тегов
Microsoft Windows Антивирус Атака БРАУЗЕР Безопасность ВРЕДОНОСНЫЕ Вредоносные программы ДАННЫЕ ЗАЩИТА ИНФОРМАЦИЯ Интернет КОМПЬЮТЕР НОВОСТИ ПО ПРОГРАММА САЙТ СТАТЬИ США Система Софт ТРОЯН Термины УЯЗВИМОСТИ Уязвимые сайты ФАЙЛ Хакер ЧЕРВЬ безопасности взлом вирус доступ злоумышленник программы сайты сервер спам уязвимость файлы хакеры
Последние комментарии
» Написал: Павел
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO