filed in Chaos Construction, Инциденты, Методы и техники, Новые уязвимости, Практика, Статьи on Aug.24, 2010
В свете скорого доклада на СС опубликовал материал, который ляжет в его основу. Оформил в как WhitePaper, кстати, первый, надеюсь вышло не комом… Обсуждения есть в FullDisclusure: seclists.org/fulldisclosure/2010/Aug/236 Оригинал на английском: http://onsec.ru/onsec-whitepaper-01.eng.pdf А теперь кратко о сути:
filed in Инциденты, Новые уязвимости, Практика on Mar.06, 2010
Как-то в том году, а именно 19.10.2009 сообщил об уязвимости на популярном портале его администрации по следующим адресам: [email protected] , [email protected] Ответа, естественно не последовало, а сегодня вдруг проверил эту уязвимость и с ужасом обнаружил, что она все еще на месте ;( Интересно то, что пользовательские данные встречаются на странице много раз, однако только в [...]
filed in Новые уязвимости on Feb.12, 2010
Сегодня в рассылке Full-Disclosure появилось сообщение о возможности проведения CSRF на новый сервис от Гугла – живая лента (Buzz). Оригинальное уведомление ниже: Greetings, Google Buzz is an incredibly useful new social networking service. However, it is also quite vulnerable to persistent CSRF attacks when data is pulled from external data feeds. For instance, I encourage [...]