Как НЕ нужно проводить конкурсы на своём сайте

Автор: admin от 16-02-2012, 22:22, посмотрело: 2422

Как НЕ нужно проводить конкурсы на своём сайтеНаверное, многие уже слышали о замечательном сервисе ebaytoday.ru, который занимается пересылкой покупок с аукционов и интернет-магазинов США, Великобритании, Германии и Китая. Доставляют хорошо, нареканий не много, да и сервис у них хорош.

Так вот, они в преддверии 14 февраля решили сделать интересный конкурс — за что им честь и хвала. Условия очень простые: вы загружайте фотографию себя и своей второй половинки, а потом другие пользователи, принимающие участие в конкурсе, для каждого молодого человека подбирают девушку из 5 предложенных. Тем, кого угадают наибольшее количество раз приз — 2 Kindle Touch. А тому, кто угадает 20 пар в любой день — тоже Kindle Touch, но уже один.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Филипп Гросс о безопасности в соцсетях в передаче Соловьева

Автор: admin от 15-02-2012, 08:53, посмотрело: 2147

Друзья, сегодня в программе В. Соловьева был интернет-деятель Филипп Гросс Днепров.

Говорили об безопасности в инете, в частности про полиморфные вирусы и небезопасность в соцсетях.

Послушайте, на мой взгляд есть интересные моменты и есть спорные вопросы, которые можно обсудить здесь.

Ссылка на эфир

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Взлом университета Сколково и «соседних» сайтов

Автор: admin от 28-01-2012, 18:16, посмотрело: 1142

Думал, что для освещения хватит записи в личном блоге/твиттере/вк, но не хватило. Тут главное — огласка, поэтому перепост.

Впервые в жизни пишу о скомпрометированном ресурсе. Хотя, бывали случае в N раз крупнее...

Предыстория.

Есть такой университет, как ОтУС — Открытый Университет Сколково. Был (есть) раньше только в Москве, сейчас открывается еще в Томске/Питере. Собственно приехали они к нам с презентацией, замотивировали (правда, очень клевые ребята приехали, вдохновили на поступление, учитывая, что я скептически отношусь (относился) к Сколково), чтобы поступали ну и т.д. Зашел я заполнять заявку и просто сработала привычка…

аплоад кастомных файлов с отсутствием правильно настроенного .htaccesss

Итог: полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных следующих сайтов:

  • openu.ru — Открытый университет Сколково
  • apply.openu.ru — Отбор студентов в Открытый университет Сколково
  • eskolkovo.ru — ДО в Открытом университете Сколково
  • blog.eskolkovo.ru — вроде уже тоже самое, что и openu.ru
  • edu.opensingularity.ru — Открытый университет сингулярных технологий
  • И вроде еще какие-то, уже не помню.

    Но, студенты то не при чем, я даже не стал копать глубже, посмотрел архитектуру ресурса, БД, пару исходников (я такого кода никогда в жизни не видел, под катом я расскажу про капчу, govnokod #1 просто) и сообщил саппорту.


    Цель поста — быть на 100% уверенным, что после этой публикации данный скрипт приема студентов уберут навсегда
    (хоть и с администратором мы немного поговорили на эту тему). Но чтобы как обычно не забылось, с мыслью — работает и ладно (как это бывает в СНГ), сделаем контрольный выстрел.

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    МЧС выпустило «тревожную кнопку» для iPhone

    Автор: admin от 20-01-2012, 17:38, посмотрело: 1432

    МЧС выпустило «тревожную кнопку» для iPhoneМЧС России выпустило приложение для iPhone «Мобильный спасатель», позволяющее нажатием одной кнопки вызвать оперативные службы. Министерство так же планирует разработать аналогичные приложения и для других моделей телефонов.

    Тревожное сообщение отправляется автоматически после нажатия кнопки. «Для этого достаточно после загрузки приложения на iPhone внести в экстренные контакты номера телефонов близких или знакомых», — пояснили в МЧС.

    Приложение самостоятельно определяет регион, в котором находится человек и оператора сотовой связи, которого использует абонент.

    Помимо основной функции, приложение содержит справочники, где демонстрируются способы оказания первой помощи и правила поведения в экстремальных ситуациях.

    Официальная презентация приложения пройдет 24 января во время подведения итогов работы МЧС за 2011 год.

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    eSSL — SSL сертификаты для встраиваемых систем

    Автор: admin от 19-01-2012, 18:35, посмотрело: 3412

    В наше время сетевые технологии развиваются столь стремительно что еще недавно казавшийся бредовым лозунг "интернет в каждом холодильнике" уже не кажется фантастикой. Но вместе с тем начинают становиться актуальными вопросы безопасности встраиваемых устройств имеющих WEB интерфейс с выходом в локальную и, не дай бог, в глобальную сеть. SSL технология призвана помочь этому позволяя работать с WEB интерфейсом по протоколу HTTPS, но встраиваемые системы имеют здесь свои особенности.

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    Обнаружение бага на предвыборном сайте Путина

    Автор: admin от 14-01-2012, 20:57, посмотрело: 1525

    В этом посте я расскажу о процессе и результатах тестирования сервиса предложений избирателей на восстановленном после сбоя сайте putin2012.ru и расскажу о найденной ошибке, из-за которой неправильно учитываются голоса за некоторые из предложений.

    Обнаружение бага на предвыборном сайте Путина

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    Как любовь к музыке помогла найти уязвимость во Flash'е

    Автор: admin от 21-12-2011, 15:16, посмотрело: 1890

    Теплым зимним вечером сидел я за компьютером и решил расслабиться, поиграв на пианино. Так как не фортепиано, не синтезатора у меня нет, я, воспользовавшись поиском, начал искать онлайн пианино с примерами для обычной клавиатуры QWERTY. Поиск привел меня на страницу форума, где было предложено множество онлайн сервисов. Перейдя по одной из них и поиграв вдоволь, я открыл новую вкладку и начал писать адрес нужного сайта. Каково было мое удивление, когда при вводе адреса я услышал звуки фортепиано. →

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    Настройка SSL для TomCat

    Автор: admin от 12-12-2011, 13:51, посмотрело: 3087

    Пару недель назад столкнулся с проблемой — стоит TomCat на сервере(windows 2008), ставлен не мной, мало того, я даже не видел как его ставили. Нужно сделать авторизацию по SSL протоколу. Раньше никогда не настраивал веб-сервера ни на винде ни на никсах, а решать нужно в кратчайшие сроки — 3 дня. Решил спросить у гугла с яндексом и нашел куче статей как сделать SSL шифрование канала и одну малопонятную о «двухфазной авторизации». Мучался все 3 дня и на исходе срока получил решение (как всегда светлая идея пришла с великого бодуна). Теперь подробнее: как устанавливать TomCat описывать не буду, т.к. таких статей валом. Для начала создаём хранилище (keystore) с ключом: Наберем в коммандной строке следующий код:
    >keytool -genkey -alias tomcat -keyalg RSA -keystore mystore -validity 999 -keysize 512
    Здесь: →

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    Что если заглянуть в замочную скважину Избиркома?

    Автор: admin от 9-12-2011, 09:06, посмотрело: 1520

    http://www.google.ru/search?q=filetype:xls+site:izbirkom.ru И ведь за полгода так и не смогли просечь модный ныне тренд использования поисковиков для нахождения не публичных данных.

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    История взлома одной браузерной игры. Возврат контроля

    Автор: admin от 6-11-2011, 09:07, посмотрело: 824

    Доброго времени суток. Я занимаюсь аудитом защищённости веб-приложений. По простому — тестами на проникновение в отношении веб-сайтов. Иногда в моей практике встречаются интересные и познавательные случаи, которые я бы хотел описывать в виде таких вот статей, но редко (для меня это первый случай) бывают ситуации когда клиент разрешает публикацию подобного материала с подробным описанием всех имевшихся проблем и предпринятых действий. Естественно, тут вы не встретите никаких конкретных имён, названия фирмы-заказчика и т. д. Упоминания таких данных мне, наверное, никто никогда не разрешит. Надеюсь что для вас, уважаемые читатели, данная статья окажется интересной и полезной.

    Категория: Информационная безопасность » Безопасность в веб-технологиях