Язолъ
Язолъ →
root через XSS на ZeroNights от позитива
25 ноября в Петербурге прошла конференция ZeroNights, посвящённая компьютерной безопаности. Один из докладов назывался "root через XSS". Автор Денис Баранов (ведущий эксперт компании Positive Technologies).
Если вкратце:
Примечательно, что продемонстрированная XSS имеет очень много общего с обнаруженной мною в далёком 2006 году уязвимостью в Denwer. Но вот в чём фишка: в том 2006 году я писал об этом и на сайт СекЛаба (принадлежит Positive Technologies). Но там заметку об этом не опубликовали. Письма ответного уж не сохранилось, к сожалению. Но примерный текст был такой: «К Denwer по умолчанию запрещены коннекты извне, только локально. Не видим в этом особой опасности». О, времена, о, нравы! Либо действительно время поменяло представление людей на аналогичную ситуацию. Либо, я просто не сумел подать тогда эту новость в нужном соусе.
Если вкратце:
- используем XSS уязвимость в Denwer, чтоб вставить свой сценарий в браузер админа
- используем его браузер чтобы обратиться к phpMyAdmin (БД принимает подключения только локально)
- получив доступ, заливаем web-шелл, который выполнится с правами локального админа (Denwer с такими правами запускается)
Примечательно, что продемонстрированная XSS имеет очень много общего с обнаруженной мною в далёком 2006 году уязвимостью в Denwer. Но вот в чём фишка: в том 2006 году я писал об этом и на сайт СекЛаба (принадлежит Positive Technologies). Но там заметку об этом не опубликовали. Письма ответного уж не сохранилось, к сожалению. Но примерный текст был такой: «К Denwer по умолчанию запрещены коннекты извне, только локально. Не видим в этом особой опасности». О, времена, о, нравы! Либо действительно время поменяло представление людей на аналогичную ситуацию. Либо, я просто не сумел подать тогда эту новость в нужном соусе.
29.11.2011 00:48+0400
Язолъ →
Потерял Android-коммуникатор? Будь готов!
Привет, хабражители.
Потеря телефона — всегда неприятное событие. Но в сложившейся сейчас ситуации, когда и на сам смартфон, и на номер сим-карты завязаны почти все онлайн-сервисы, потеря телефона оборачивается настоящей головной болью.
Потеря телефона — всегда неприятное событие. Но в сложившейся сейчас ситуации, когда и на сам смартфон, и на номер сим-карты завязаны почти все онлайн-сервисы, потеря телефона оборачивается настоящей головной болью.
28.11.2011 19:17+0400
Язолъ →
Biglion осваивает новые источники прибыли
Привет, хабраюзер!Ты любишь спам? Думаю, что нет! И уверен, что руководство компании биглион тоже его не любит, но оно любит деньги, поэтому продает своих клиентов другим купонным клубам, чтобы ты им принес прибыль хотя бы своим емейлом! Как говорится, «… хоть шерсти клок»
24.11.2011 21:58+0400
Язолъ →
Google Reader и нерабочая кнопка Share в записи
Буквально сегодня я и мои коллеги начали замечать странную вещь – кнопка (линк) Share (внизу каждой записи в Google Reader), которая появилась не так давно в дополнение к "+1", при попытке расшарить записи из подавляющего большинства русскоязычных лент (feed) приводит к ошибке. Протестировали на ленте Хабра, ЖЖ и других ресурсов. Причем, через «Share» в верхнем гугл-меню эти же записи прекрасно «расшариваются». Текст ошибки (URL может менятся в зависимости от фида):
Я прошу проверить у себя и подтвердить или опревергнуть данное поведение.
The requested URL /... is too large to process. That’s all we know.
Я прошу проверить у себя и подтвердить или опревергнуть данное поведение.
23.11.2011 13:29+0400
Язолъ →
Абонентам МТС, смените пароль от интернет-помощника
11 ноября были замечены массовый брутфорс паролей
Случайно зашёл в интернет-помощнике в «Архив операций» и увидел
Ради интереса набрал айпи в яндексе/гугле и увидел что не только я заметил брутфорс. У всех друзей, кто является абонентом МТС, точно такая же история в логах, тот же айпи и время — утро и вечер. У некоторых пароль подобрали так как пароль был 123, номер телефона и т.п.
Случайно зашёл в интернет-помощнике в «Архив операций» и увидел
11 ноября 2011 17:41 IP: 81.177.167.34 Попытка входа с неверным паролем
11 ноября 2011 09:26 IP: 81.177.167.34 Попытка входа с неверным паролем
Ради интереса набрал айпи в яндексе/гугле и увидел что не только я заметил брутфорс. У всех друзей, кто является абонентом МТС, точно такая же история в логах, тот же айпи и время — утро и вечер. У некоторых пароль подобрали так как пароль был 123, номер телефона и т.п.
23.11.2011 11:25+0400
Язолъ →
И снова кривая государственная программа
Не часто я перехожу по всяким рода рекламным ссылкам, но сегодня не удержался. Так и манили рекламные слова: «Люди разделяются на тех, кто разбирается в компьютерах и на тех, кто на них работает… но их нельзя разделить на инвалидов и не инвалидов.
Учимся жить вместе.
Государственная программа»
И любопытство взяло вверх, перехожу по ссылке а там…
23.11.2011 11:07+0400
Язолъ →
Ebaytoday + EMS: молотком по кошельку (часть 2)
Доброго времени суток, Хабраюзер.
Возможно ты читал, как год назад начиналась эта история (Ebaytoday + EMS: молотком по кошельку (часть 1)). Я, уж было, и сам не ожидал продолжения, но оно будет…
Возможно ты читал, как год назад начиналась эта история (Ebaytoday + EMS: молотком по кошельку (часть 1)). Я, уж было, и сам не ожидал продолжения, но оно будет…
21.11.2011 10:52+0400
Язолъ →
HP: caveat emptor
Ещё в те времена, когда на Хабре не было модным ругать HP, я собрался обновить свой старый лаптоп.
На официальном сайте http://hp.co.uk/ моё внимание привлекло спецпредложение: Compaq Presario CQ56-102SA за
На официальном сайте http://hp.co.uk/ моё внимание привлекло спецпредложение: Compaq Presario CQ56-102SA за
18.11.2011 02:43+0400
Язолъ →
Мошенники пишут СМС, Сбербанк игнорирует
Я имею карту Сбербанка. Сегодня пришла СМС:
Решил сделать доброе дело, позвонить в Сбербанк и сообщить им номер мошенников, которые от их имени рассылают СМС.
Краткий пересказ разговора:
— Вы не звонили по этому номеру?
— Нет
— С вашей картой все в порядке?
— Да
— Тогда вам стоит обратиться в правоохранительные органы и сообщить о мошенничестве.
— А вам не интересен номер, с которого пытаются совершать мошеннические операции от лица вашего банка?
— Нам главное, чтобы с вашей картой все было в порядке.
— Понятно. Спасибо. До свидания.
Вот так ребята блюдут безопасность своих клиентов. Зачем шевелиться, если ничего не случилось? Это не по-сбербанковски.
Также открытый вопрос, откуда у мошенников мой номер телефона и информации о наличии у меня карты Сбербанка.
В интернете информацию по этому номеру не нашел.
Будьте осторожны!
sb.smsinfo.
Vasha bankovskaya karta zablokirovana. Po voprosam snyatiya blokirovki: 8(903)087-40-49, kruglosutochno. Slujba bezopasnosti.Решил сделать доброе дело, позвонить в Сбербанк и сообщить им номер мошенников, которые от их имени рассылают СМС.
Краткий пересказ разговора:
— Вы не звонили по этому номеру?
— Нет
— С вашей картой все в порядке?
— Да
— Тогда вам стоит обратиться в правоохранительные органы и сообщить о мошенничестве.
— А вам не интересен номер, с которого пытаются совершать мошеннические операции от лица вашего банка?
— Нам главное, чтобы с вашей картой все было в порядке.
— Понятно. Спасибо. До свидания.
Вот так ребята блюдут безопасность своих клиентов. Зачем шевелиться, если ничего не случилось? Это не по-сбербанковски.
Также открытый вопрос, откуда у мошенников мой номер телефона и информации о наличии у меня карты Сбербанка.
В интернете информацию по этому номеру не нашел.
Будьте осторожны!
15.11.2011 18:42+0400
Язолъ →
Осторожно! Мегафон торгует б
Представляем вам сегодня подразделение Мегафон-Ритейл на Тверской 6 — очередного претендента на премию «Стеклянный болт», который умудрился сделать сразу 2 косяка в процессе из 2-х простых действий, а именно: сломать казенный агрегат и… — правильно! — порезать руки!
Итак, представьте себя покупателем новой машины, который обнаружил полную окурков пепельницу, походный набор для шашлыков в багажнике и… женские трусы в бардачке! Но самое главное, что дилер зажал обещанный комплект зимней резины на литых дисках, клятвенно обещанный в подарок при покупке! А когда покупатель пришел жаловаться в салон, тот взял его и… просто послал!!!
Я! Негодую!
Итак, читайте в нашем выпуске — скандалы, интриги, расследования! Пионеры жгут костры! Шок-фото!
Итак, представьте себя покупателем новой машины, который обнаружил полную окурков пепельницу, походный набор для шашлыков в багажнике и… женские трусы в бардачке! Но самое главное, что дилер зажал обещанный комплект зимней резины на литых дисках, клятвенно обещанный в подарок при покупке! А когда покупатель пришел жаловаться в салон, тот взял его и… просто послал!!!
Я! Негодую!
Итак, читайте в нашем выпуске — скандалы, интриги, расследования! Пионеры жгут костры! Шок-фото!
15.11.2011 01:44+0400
Язолъ →
Еще одна история о датацентрах. Драгонара
В конце прошлого месяца (ровно 2 недели назад) нам сообщили пренепреятнейшую весть — реселлер в одном из европейских дата-центров закрывается. Саппорт ДЦ развел руками и сообщил, что во внутренние отношения реселлеров и потребителей не вмешивается.4 дня, 12 серверов, около 30 сервисов. Как все это перенести? Выход был только один — взять готовое к установке железо в надежном ДЦ Европы. Иначе не успеть.
Поскольку сервисы к аптайму очень критичны, бюджеты не резиновые, времени мало — выбор был сделан в пользу ДЦ Драгонара. По отзывам товарищей — адекватный саппорт, быстрый сетап, цены не запредельные. Так, 27 октября 2011 года началась эпопея.
12.11.2011 15:15+0400
Язолъ →
Biglion — интернет-мошенники
Добрый день!
Я хотел бы пожаловаться на интернет-мошенников biglion.ru.
16 октября 2011 года мы приобрели 2 купона в компании Биглион для занятий теннисом. В условиях акции явно было указано, что один человек может приобрести любое количество купонов. Однако оказание услуги по второму купону оказалось невозможно, — это видимо очень невыгодно заведению, и мы решили вернуть второй купон — оказание услуги по нему было невозможно не по нашей вине.
Я хотел бы пожаловаться на интернет-мошенников biglion.ru.
16 октября 2011 года мы приобрели 2 купона в компании Биглион для занятий теннисом. В условиях акции явно было указано, что один человек может приобрести любое количество купонов. Однако оказание услуги по второму купону оказалось невозможно, — это видимо очень невыгодно заведению, и мы решили вернуть второй купон — оказание услуги по нему было невозможно не по нашей вине.
08.11.2011 21:04+0400
Язолъ →
Конкурс от HP — спасибо тебе, добрый менеджер
… за то, что включил меня в список этой увлекательной рассылки.
Пришла 3 числа рассылка от HP Care Pack.
Просто no comments.
Пришла 3 числа рассылка от HP Care Pack.
Просто no comments.
07.11.2011 13:53+0400
Язолъ →
Приват24. Смена способа подтверждения платежа
Как и многие другие, я уже привык пользоваться интернет банкингом (в моём случае приват24). И также, наслышан о злых кардерах (да чего там греха таить, некоторые из моих знакомых программистов писали для них скрипты).
Поэтому, когда при попытке отправить платёж в системе приват24 мне вместо привычной смс с паролем (с номера 10060) вылезло окошко, что я должен переслать пришедшую смску (кстати с номера 3700) на тот же номер — я, мягко говоря, удивился.
Поэтому, когда при попытке отправить платёж в системе приват24 мне вместо привычной смс с паролем (с номера 10060) вылезло окошко, что я должен переслать пришедшую смску (кстати с номера 3700) на тот же номер — я, мягко говоря, удивился.
05.11.2011 22:18+0400
Язолъ →
Конкурс от HP — часть вторая, позитивная
Буквально неделю назад я писал об интересных итогах проведенного на Хабре конкурса «Рабочее место мечты». Через три дня после той публикации со мной связались представители организаторов, прокомментировали ситуацию с подменой ноутбука, извинились и предложили каким-нибудь способом сгладить неприятный осадок.
03.11.2011 19:43+0400