Думал, что для освещения хватит записи в личном блоге/твиттере/вк, но не хватило. Тут главное — огласка, поэтому перепост.

---

Впервые в жизни пишу о скомпрометированном ресурсе. Хотя, бывали случае в N раз крупнее...
Предыстория.
Есть такой университет, как ОтУС — Открытый Университет Сколково. Был (есть) раньше только в Москве, сейчас открывается еще в Томске/Питере. Собственно приехали они к нам с презентацией, замотивировали (правда, очень клевые ребята приехали, вдохновили на поступление, учитывая, что я скептически отношусь (относился) к Сколково), чтобы поступали ну и т.д. Зашел я заполнять заявку и просто сработала привычка…
аплоад кастомных файлов с отсутствием правильно настроенного .htaccesss
Итог: полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных следующих сайтов:

• openu.ru — Открытый университет Сколково
• apply.openu.ru — Отбор студентов в Открытый университет Сколково
• eskolkovo.ru — ДО в Открытом университете Сколково
• blog.eskolkovo.ru — вроде уже тоже самое, что и openu.ru
• edu.opensingularity.ru — Открытый университет сингулярных технологий

И вроде еще какие-то, уже не помню.
Но, студенты то не при чем, я даже не стал копать глубже, посмотрел архитектуру ресурса, БД, пару исходников (я такого кода никогда в жизни не видел, под катом я расскажу про капчу, govnokod #1 просто) и сообщил саппорту.

Цель поста — быть на 100% уверенным, что после этой публикации данный скрипт приема студентов уберут навсегда

(хоть и с администратором мы немного поговорили на эту тему). Но чтобы как обычно не забылось, с мыслью — работает и ладно (как это бывает в СНГ), сделаем контрольный выстрел.

МЧС России выпустило приложение для iPhone «Мобильный спасатель», позволяющее нажатием одной кнопки вызвать оперативные службы. Министерство так же планирует разработать аналогичные приложения и для других моделей телефонов.

Тревожное сообщение отправляется автоматически после нажатия кнопки. «Для этого достаточно после загрузки приложения на iPhone внести в экстренные контакты номера телефонов близких или знакомых», — пояснили в МЧС.

Приложение самостоятельно определяет регион, в котором находится человек и оператора сотовой связи, которого использует абонент.

Помимо основной функции, приложение содержит справочники, где демонстрируются способы оказания первой помощи и правила поведения в экстремальных ситуациях.

Официальная презентация приложения пройдет 24 января во время подведения итогов работы МЧС за 2011 год.

В наше время сетевые технологии развиваются столь стремительно что еще недавно казавшийся бредовым лозунг "интернет в каждом холодильнике" уже не кажется фантастикой. Но вместе с тем начинают становиться актуальными вопросы безопасности встраиваемых устройств имеющих WEB интерфейс с выходом в локальную и, не дай бог, в глобальную сеть. SSL технология призвана помочь этому позволяя работать с WEB интерфейсом по протоколу HTTPS, но встраиваемые системы имеют здесь свои особенности.

В этом посте я расскажу о процессе и результатах тестирования сервиса предложений избирателей на восстановленном после сбоя сайте putin2012.ru и расскажу о найденной ошибке, из-за которой неправильно учитываются голоса за некоторые из предложений.

Теплым зимним вечером сидел я за компьютером и решил расслабиться, поиграв на пианино. Так как не фортепиано, не синтезатора у меня нет, я, воспользовавшись поиском, начал искать онлайн пианино с примерами для обычной клавиатуры QWERTY.

Поиск привел меня на страницу форума, где было предложено множество онлайн сервисов. Перейдя по одной из них и поиграв вдоволь, я открыл новую вкладку и начал писать адрес нужного сайта. Каково было мое удивление, когда при вводе адреса я услышал звуки фортепиано.

Пару недель назад столкнулся с проблемой — стоит TomCat на сервере(windows 2008), ставлен не мной, мало того, я даже не видел как его ставили. Нужно сделать авторизацию по SSL протоколу. Раньше никогда не настраивал веб-сервера ни на винде ни на никсах, а решать нужно в кратчайшие сроки — 3 дня. Решил спросить у гугла с яндексом и нашел куче статей как сделать SSL шифрование канала и одну малопонятную о «двухфазной авторизации». Мучался все 3 дня и на исходе срока получил решение (как всегда светлая идея пришла с великого бодуна). Теперь подробнее:
как устанавливать TomCat описывать не буду, т.к. таких статей валом.
Для начала создаём хранилище (keystore) с ключом:
Наберем в коммандной строке следующий код:

>keytool -genkey -alias tomcat -keyalg RSA -keystore mystore -validity 999 -keysize 512

Здесь:

http://www.google.ru/search?q=filetype:xls+site:izbirkom.ru

И ведь за полгода так и не смогли просечь модный ныне тренд использования поисковиков для нахождения не публичных данных.

Доброго времени суток. Я занимаюсь аудитом защищённости веб-приложений. По простому — тестами на проникновение в отношении веб-сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать в виде таких вот статей, но редко (для меня это первый случай) бывают ситуации когда клиент разрешает публикацию подобного материала с подробным описанием всех имевшихся проблем и предпринятых действий. Естественно, тут вы не встретите никаких конкретных имён, названия фирмы-заказчика и т. д. Упоминания таких данных мне, наверное, никто никогда не разрешит. Надеюсь что для вас, уважаемые читатели, данная статья окажется интересной и полезной.

В наши дни всё больше программ переводятся в так называемый «web-ориентированный» вид, то есть используется принцип клиент-сервер, что позволяет хранить данные удалённо и получать к ним доступ через тонкий клиент (браузер).
Одновременно с удобством использования остро встаёт вопрос о защищённости этих данных. Конфиденциальная информация может стать доступна другим людям несколькими путями. Во-первых, к пользователю могут быть применены физические меры для выпытывания. Во-вторых, при передаче данные могут быть перехвачены различными снифферами. И, в-третьих, на сервер могут быть произведены хакерские атаки, что позволит злоумышленникам похитить информацию, либо недобросовестный администратор сервера воспользуется ею в личных целях.

Задача

Некоторое время назад у меня возникла задача разработать прототип программы шифрования/дешифрования данных на стороне клиента в web-ориентированных системах.

Навеяно последними событиями, связанными с проблемой конфиденциальности личных данных в Мегафон, МТБанк и так далее ну и собственно вопросом habrahabr.ru/qa/10352/

В последнее время тщательно слежу за тем что происходит в интернете в плане безопасности данных и порой становится страшно, что занося какие либо данные в любой из органов, банков — твоя информация может стать доступна широкой аудитории Интернет пользователей. Более того моя текущая работа связанна с аудитом сайтов и веб систем на предмет наличия возможных уязвимостей, в первую очередь даже не программных (хотя именно это любимая часть и кландайк для злодеев) но и логических — и могу авторитетно заявить что большинство сайтов, проходящих через меня имеют критические или серьезные проблемы. А через меня проходят Web приложения крупных организаций, имена которых у всех на слуху.

Долгие вечера сидя за чашкой кофия, и разбирая и описывая очередную уязвимость на сайте я чаще ловил себя на мысли, что мир мог бы быть защищенней, безопасней, чище если бы…