Новости

iPhone можно взломать с помощью канцелярской скрепки
«Взломать» iPhone можно только в том случае, если на экране находится уведомление о пропущенном вызове.
Wed, 22 Feb 2012 20:04:16 +0300

Пользователь Safari подал в суд на Google
Житель Иллинойса подал судебный иск в федеральный суд Делавэра за нарушение права на частную жизнь.
Wed, 22 Feb 2012 19:40:01 +0300

WikiLeaks докажет факт сотрудничества министра Швеции с США
Руководство WikiLeaks опубликует документы, согласно которым Бильдт был информатором США с 1973 года.
Wed, 22 Feb 2012 18:08:27 +0300

Данные пользователей порносайта находились в открытом доступе
Брешь в системе безопасности сервера порносайта привела к тому, что личные данные нескольких сотен тысяч пользователей находились в открытом доступе.
Wed, 22 Feb 2012 17:26:18 +0300

Adobe прекратит обновлять Flash Player для Linux
Актуальный Flash Player для дистрибутивов Linux будет присутствовать только как часть нового API браузера Google Chrome.
Wed, 22 Feb 2012 17:06:54 +0300

В Дании заблокирован сайт по обмену музыкальным контентом Grooveshark
Интернет-провайдеров Дании обяжут заблокировать доступ к Grooveshark.


Wed, 22 Feb 2012 16:02:11 +0300

ЛК исследовала DDoS-атаки за второе полугодие 2011 года
Согласно данным отчета, лидерами стран-источников DDoS-трафика являются Россия, Украина и Таиланд.
Wed, 22 Feb 2012 14:24:50 +0300

Источник: SecurityLab.ru

Межсайтовый скриптинг в Internet Explorer все еще существует

Межсайтовый скриптинг в Internet Explorer все еще существуетПо данным Imperva интернет-браузер Internet Explorer грозит своим пользователям межсайтовым скриптингом, так называемым XSS. А все из-за чего? Из-за того, что IE не может правильно обработать двойные кавычки! Думаете ничего страшного? А вот и нет. Используя эту лазейку, мошенники могут испортить структуру страницы и осуществить XSS нападение! Так что все не так уж и просто! Internet Explorer не может обработать двойные кавычки в окне URI, и это ведет к массе менее радужных последствий. Сайты, обращаясь к которым мы будем вводить ложный URI с двумя кавычками, могут решить, что этот URI является корректным, и в последствии реализовать прикрепленный в идентификаторе HTML код. 

Интернет-стандарты диктуют нам, что некоторые символы, в том числе и двойные кавычки, обязательно должны быть «pct-закодированными». Этому правилу следуют многие интернет-браузеры, кроме IE. Этот браузер обрабатывает вводимые символы только в той части, где в URI указывается путь, при этом, не обращая никакого внимания на те параметры, которые в нем передаются. А так как большинство веб-сайтов не фильтруют получаемые параметры, то злоумышленники легко могут атаковать сайт через специальную ссылку. 

Такая вот на первый взгляд кажущаяся незначительной проблема, может серьезно повредить структуры некоторых сайтов. Подумаешь, какие-то двойные кавычки! А вот тебе, и сама атака сервера уже не за горами появилась. Так что лучше лишний раз перестраховаться и проверить свои сайты и движки на подверженность этой XSS-атаке. А тем сайтам, которые все еще не фильтруют передаваемые в URI параметры, следует проявить особую бдительность, ведь злоумышленники-то ее не теряют!