В интернете появились скриншоты, доказывающие взлом почты Федеральной службы охраны на сервере gov.ru
В течение нескольких часов любой пользователь интернета мог, перейдя по ссылке и введя простые имя пользователя и пароль, получить доступ к системе мониторинга и архивирования электронной почты "Дозор".
Уязвимость достаточно простая - тривиальный пароль .
Что в принципе не новость. Слабые пароли - распостраненная причина успешных внешних атак.
Показаны сообщения с ярлыком blackbox. Показать все сообщения
Показаны сообщения с ярлыком blackbox. Показать все сообщения
понедельник, 23 августа 2010 г.
среда, 28 октября 2009 г.
Выступление на "Разработке ПО 2009"
Сегодня выступал на мероприятии, которое странным образом оказалось знакомым. Пока готовил презентацию, понял, что такое уже делал. Посмотрел и действительно, с подобным докладом выступал на SQL Days. Но сейчас доклад получился более помпезным. Видимо окружение обязовало.
На этом же круглом столе выступал также Юрий Гуревич из Microsoft Research. Оказывается Microsoft упорно пишит аналог MaxPatrol. Я в шоке :). Придется интегрироваться... Пообщались, проблемы теже. В том числе и управление требованиями. И тоже пока не решена.
К сожалению, работа не дала возможности остаться на все выступления. Пришлось убежать.
На этом же круглом столе выступал также Юрий Гуревич из Microsoft Research. Оказывается Microsoft упорно пишит аналог MaxPatrol. Я в шоке :). Придется интегрироваться... Пообщались, проблемы теже. В том числе и управление требованиями. И тоже пока не решена.
К сожалению, работа не дала возможности остаться на все выступления. Пришлось убежать.
понедельник, 19 октября 2009 г.
Статистика безопасности Web-приложений 2008
Опубликована статистика уязвимостей Web-приложений за 2008 г. консорциума Web Application Security Consortium (WASC). Ознакомиться с ней можно здесь.
Русский вариант для загрузки.
WASC Web Application Security Statistics 2008 (Russian)
Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.
Дмитрий Евтеев опубликовал сравнение с нашей статистикой:
Забавно, но между русским (первоначальным, как вы могли догадаться) и "word-wide" есть некоторые различия. Для соблюдения политесу был выкинут раздел 4.3 - сравнение различных методик . Вот он, свободный демократический мир :)
Русский вариант для загрузки.
WASC Web Application Security Statistics 2008 (Russian)
Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.
Дмитрий Евтеев опубликовал сравнение с нашей статистикой:
Забавно, но между русским (первоначальным, как вы могли догадаться) и "word-wide" есть некоторые различия. Для соблюдения политесу был выкинут раздел 4.3 - сравнение различных методик . Вот он, свободный демократический мир :)
четверг, 16 октября 2008 г.
Выступление SQADays 2008
Нечаянно набрел в сети на видео. Весной участвовал в конференции братской хартии - специалистов по качеству ПО. Да, да это те самые люди, которые вместо bugtraq пишут bugtrack. С ошибкой в общем. Как оказалось, проблематика у нас, особенно в области Application Security достаточно сильно пересекается, как и инструментарий. Однако тестировщикам чаще верят на слово - не приходится ничего "доламывать" для обоснования затрат. Верят на слово. Оно и понятно - QA обычно часть процесса разработки, а не приходящие наёмники, мешающие сдать проект в срок.
Доклад общеметодический и достаточно нудный :)
Видео:
Презентация:
Доклад общеметодический и достаточно нудный :)
Видео:
Презентация:
Подписаться на:
Сообщения (Atom)