Рейтинг
+1.14

Аудит безопасности сайтов

Аудит безопасности сайтов, исследование public CMS…

Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta и наши банки

Аудит безопасности сайтов /
HeartBleed

8 апреля на Хабре была опубликована статья Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta, в которой сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.
Вчера я, как клиент народного банка, написал им в поддержку о наличии уязвимости на их сайте myhalyk.kz. Жаль что они дырку не закрыли.
Прошло уже два дня с опубликования уязвимости и я решил проверить как обстоит дело с безопасностью во всех банках Казахстана.
Были проанализировано 36 банков, а также проверены сервисы интернет-банкинга. Для этого использовался сервис Heartbleed.
Ниже представлены итоги проверки.

Читать дальше →

Встреча посвященная информационной безопасности


Добрый день, друзья!
Начну сразу и по делу.

Довольно давно я имел неосторожность пообещать провести конференцию, посвященную ИБ.
Вы помогли мне собрать интересующие вас вопросы.
И я не забросил эту идею, как может показаться =)

Конференцию я проведу обязательно, и расскажу о всех темах, выбранных вами. Однако эту встречу я планирую провести в более масштабном виде.

А пока я хочу встретиться с вами, и провести встречу в формате интерактива.
Как было год назад — jnet.kz/blog/jnetwork/2860.html

Я придумаю, что вам рассказать интересного, и буду отвечать на ваши вопросы, да и просто пообщаемся на интересные темы, затрагивающие ИБ.

Планируемая дата проведения — март 2014, ДАТА ОБСУЖДАЕТСЯ.

Будет 2 встречи:
1) 20 марта, четверг, в 16.45 на Макатаева 117, БЦ Лотос, офис 321 (Chocolife.me)
2) ?? марта. Дата обсуждается.



Вообще, к дате нет привязки, предлагайте свои варианты.

Буду рад вас видеть на встрече!

UPD:



Друзья, т.к. на встречу обычно приходят программисты, я думаю сделать несколько тестовых заданий с фрагментами уязвимого php-кода, вы попробуете найти в нем уязвимости, а потом мы детально разберем их на встрече. Думаю, будет достаточно интересно.

Будут на встрече:
1) slaik
2) Александр Константинович
3) Иван Борисович
4) oshulyak
5) Байсалбаев Нуржан (Nurzhan)
6) KaJo
7) Ибрагим
8) RawanQurmet
9) Serabass
10) Иван Берестов
11) Евгений Назаренко
12) Холметов Рузмат
13) Николаенцев Вячеслав
14) Айтжанов Абылай
15) Zhandos Ulan
16) Бахтияр Ибраев
17) KaDuman
18) shcoderAlex
19) slowpokewarrior
20) Дарья
21) Дмитрий

Темы для конференции по информационной безопасности


Друзья, добрый день!

Хотелось бы узнать у вас, какие темы, посвященные информационной безопасности в веб были бы вам интересны.
Делаю небольшой спойлер — в скором времени планируется проведение бесплатной конфереции, посвященной ИБ.
Вход будет свободный, поэтому её сможет посетить любой желающий.

На мой вкус, необходимо будет сделать как минимум два доклада — один общего плана, для неподготовленной аудитории — менеджеры, владельцы бизнеса и т.п. И второй доклад технический, который будет лучше восприниматься программистами и админами.

Прошу помощи у вас. Из комментариев к этому посту я составлю список и выберу наиболее интересные темы для доклада.

Заранее спасибо!

Предложенные темы:
1) Способы защиты распространенных CMS (Joomla, Drupal, Wordpress, etc)
2) API web-сервисов. Защищенная передача и обработка данных при авторизации и аутентификации.
3) Безопасная настройка служб (веб-сервер, СУБД, и т.п.)

Что делать после того, как Ваш сайт взломали?

Active SecurityX
Добрый день!
Многие сталкивались с ситуацией, когда сайт подвергся хакерской атаке.
В этой заметке мы попробуем разобраться с последовательностью действий после взлома.

Читать дальше →

ЦЕСНАБАНК! Репутация - куда же ты ушла?

Аудит безопасности сайтов /
Захожу сегодня на официальный сайт ЦеснаБанка и вижу удручающую картину
официальный сайт ЦЕСНАБАНКА на 11 ноября 2012
Решил позвонить на телефон поддержки клиентов и сообщить об ошибке на их сайте, но после соединения с оператором, на первых же моих словах связь разорвалась. Может это и случайность, но второй раз звонить уже не было желания.
И так — что же мы имеем? После такого события, к банку нельзя относится как к надежному. Думаю, что руководство банка сделает оргвыводы и более серьезно отнесется к проблеме безопасности своего сайта. Ладно бы, если бы ЭТО висело 5 минут на сайте, но я вижу эту картинку уже более 3 часов. Видимо, ни руководство банка, ни сами программисты не заглядывают на свой сайт. Может он им и не нужен вовсе? Выкладывать запросы на всеобщее обозрение — непозволительно для всех банков. Уж лучше бы — если бы сайт был недоступен. Соответственно, есть большие опасения, что через сайт кто-то зашел куда-нибудь подальше, а возможно, что и попытался поучаствовать в распределении денежных средств банка.
Надеюсь, что у них есть бекапы, откуда можно восстановить все потерянное, если оно имеет место. А то вдруг — программисты внесли в пятницу небольшое улучшение…
Руководству Банка в данном случае, я советую поставить яндекс метрику, либо подключить другие сервисы, которые сообщат на мобильный телефон при недоступности сайта хоть на несколько минут.
Я бы понял и не относился к этому так серьезно, если бы это произошло с сайтом других фирм — даже если бы лег jnet.kz, то это бы не представляло такую опасность. Ведь БАНК — это ГАРАНТ! Он гарантирует сохранность ваших финансов. Но если он не может обеспечить стабильную работу своего сайта, то к такому банку трудно относится как к надежному.
Надеюсь, что финансы клиентов не пострадали. Я сам обслуживаюсь в этом банке и знаю, что электронные услуги у банка не такие уж и обширные — только оплата через электронную карточку для интернета — и то на сторонних сайтах — через Paypal.com, к примеру.

Примеры взломов крупнейших сайтов. Ваше мнение

Добрый день, уважаемые пользователи jnet!

Хотелось бы услышать ваше мнение о череде крупных взломов в этом году:
Утекла база LinkedIn хэшей?
В сеть утекли пароли Yahoo
У сервиса Formspring “увели” 420 тысяч паролей пользователей

Не совсем взлом, но всё таки занятно:
Хранение паролей в Ozon.ru

Список вопросов по web-безопасности

Добрый день, уважаемые пользователи jnet!

Обращаюсь к вам с просьбой — мне необходимо создать список вопросов по ИБ в web-е.
Это могут быть вопросы по защите\взлому скриптов, настройке web-сервера, общие сведения об атаках, виды атак и т.п.
Любые вопросы, которые вас интересуют, и вы хотели бы задать, если бы такая возможность была.

Прошу отписывать свои вопросы в комментариях к топику, а я буду постепенно добавлять их в список, в конец поста.

Заранее спасибо!
Удачного дня!

UPD:
1. Какие самые главные вещи нужно соблюдать, чтобы по максимуму обезопасить сайт от взлома. Если этот сайт создан на базе CMS WOrdpress, Joomla, Drupal?
2. Есть ли способы защиты контента от копирования. Какие?
3. Способы защиты от XSS
4. На какие уязвимости чаще производится автоматическое сканирование сайта.
5. Что выбрать? Паблик CMS или самописная? Холиварная тема.
6. По каким причинам, передаваемый параметр от пользователя к скрипту на сервере может быть потенциально опасен?

Для чего нужна безопасность сайта?

Аудит безопасности сайтов /
Здравствуйте, уважаемые пользователи jnet.
Сегодня мы поговорим о насущном вопросе — для чего нужна безопасность сайта? и нужна ли вообще?

Читать дальше →

Аудит безопасности на примере паблик CMS - Joovili v3.1.5 PL1

Аудит безопасности сайтов /
Уязвимости Joovili v3.1.5 PL1
В данный пост я поместил аудит безопасности CMS и возможные способы закрытия уязвимостей.

Читать дальше →