Задать вопрос
dollar

dollar

Делай добро и бросай его в воду.
Ответы пользователя по тегу Информационная безопасность

  • Насколько сложно защитить веб-приложение от основных видов атак?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Зависит от того, что за конкретное приложение и кому может понадобиться его ломать, сколько он готов будет вложить времени и денег. Ответ на это определит возможный вектор атак и соответствующие меры и стоимость защиты.

    Насчет ddos вы, видимо, не совсем понимаете, что это такое. Если у сервера узкий канал, то проверки ip внутри приложения не спасут вообще никак. Если же канал широкий и у вас достаточное количество мощностей, а само приложение (бэк) хорошо оптимизировано, то можно спокойно жить под ddos, не беспокоясь об этом. Кроме того, есть облака, которым (как раз по этой причине) пофиг на ddos. В общем, это сложная тема, в пару слов не уложусь.

    В общем, вы сейчас пытаетесь изобрести универсальный рецепт приготовления обеда из абстрактных ингредиентов в вакууме. Выбирайте, либо вы тратите кучу времени на чтение кучи книг и изучение темы ИБ в целом, либо вы решаете конкретную задачу и изобретаете что-то своё или берёте от ИБ то немногое, что понадобится в рамках этой задачи. А просто перечислить в 300 символов, что хорошо и что плохо, - не получится.
    Ответ написан
    4 комментария
    4 комментария

  • Возможно ли таким способом обезопасить почтовый ящик?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Скорее всего, вы используете один и тот же пароль на всех сайтах.
    Возьмите за правило для почты иметь отдельный сложный пароль, который вы больше нигде не вводите, кроме самой почты.

    Ну и еще есть шанс, что у вас троян, который следит за вашей активностью и берет управление, когда много вкусного наберется. В этом случае посоветовать ничего не смогу, разве что думать перед скачиванием всякой фигни.
    Ответ написан
    Комментировать
    Комментировать

  • Как следить за историей браузера\приложений телефона?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    , что писал и кому во вконтакте

    Да вы хотите полноценный троян.

    Думаю, на фриланс бирже можно найти исполнителя под ваши нужды. Но не бесплатно.
    Ответ написан
    Комментировать
    Комментировать

  • Если уже залили шелл и хотят слить мой скрипт?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Отключить nginx, далее уже разбираться без суеты, изучать новые файлы, логи, бд и т.д.

    Вы же не хотите сказать, что php у вас может (имеет права) менять системные файлы, запускать любые процессы и т.д.?

    Хакер залил и хочет слить проект в паблик.
    Это очень странное заявление, т.к. происходит это обычно очень быстро. Пока вы думаете, что делать, проект уже будет слит. Ну, конечно, если это не мега тяжелая база через узкое соединение. Так что хакер сначала сольет проект, а потом уже будет хотеть выложить его в паблик, лениво переписываясь с вами или с кем-либо еще.

    В общем случае совет - сразу отрубить всё, что только можно, а потом думать. В идеале должен быть физический доступ, чтобы обрубить интернет. Хотя в теории зловредный скрипт может быть настолько умным, что его автономные действия будут опаснее, чем при управлении хакером удаленно, но такой скрипт сделать сложно и дорого, поэтому это редкость.
    Ответ написан
    10 комментариев
    10 комментариев

  • Для того, чтобы обезопасить свой сайт, достаточно ли преобразования трех символов: &, < и >?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Достаточно одного символа <
    Но тема безопасности обширнее, чем только противодействие XSS.
    Ответ написан
    Комментировать
    Комментировать

  • Наткнулся на подозрительный скрипт в исходниках одного сайта, не вирус ли?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Данные не слились.

    Хотя теоретически это возможно, если использовалась 0day-уязвимость в самом браузере. Но практически шанс этого настолько мал, что не стоит переживать. Очень много слоев защит в браузере, так что даже переполнение буфера мало что даст.

    Это просто обфусцированный код. А значит, автор просто не хочет, чтобы вы знали, что он делает, но это не обязательно вирус. Что именно он делает см. ниже. Но вообще очень много где встречается обфускация (или хотя бы минификация), и гораздо больших масштабов, на килобайты. Это норма.

    Если хотите практически полностью исключить атаку со стороны JS, отключайте его по-умолчанию. Например, я использую расширение (для хрома) Quick Javascript Switcher. Все сайты у меня без JS и всё прекрасно работает. На известных сайтах типа яндекса гугла, мейла, всё чем нужно пользоваться - включено. Ну и если внезапно надо включить (очень редко) - одним кликом делается. Хотя тема расширений сама по себе интересна с точки зрения ИБ, но это уже другая история (и всегда можно их скачать и использовать локально, особенно мелкие с кодом в 30 строк).

    P.S.
    Распаковка, этап 1
    var arr=[
	'||x2F|x20|x33|x42|_0x9a4f|x54|hi|x2E|x3A|x74|x31|x52|x37|x4E|x6F|x68|x50|x48|var|x70|x4B|x59|x63|x6C|x67|function|console|x73|x72|x76|x62|x6B|x6D|x6E', //0
	'split', //1
	'length', //2
	'constructor', //3
	'debugger', //4
	'toString', //5
	'replace', //6
	'\x5cw+', //7
	'k\x206=[\x22\x5c5\x5cn\x5c3\x5cf\x5c5\x5cd\x5c3\x5c2\x5c2\x5c3\x5cj\x5c7\x5c7\x5ci\x5ca\x5c2\x5c2\x5cf\x5c5\x5cd\x5cc\x5c4\x5c4\x5ce\x5c9\x5c7\x5cm\x5c3\x5c2\x5c2\x5c3\x5ch\x5cb\x5cb\x5cl\x5ct\x5ca\x5c2\x5c2\x5cv\x5cx\x5c9\x5co\x5cg\x5cy\x5c2\x5cz\x5cw\x5cu\x5cc\x5c4\x5c4\x5ce\x22,\x22\x5cp\x5cg\x5cq\x22];r\x208(){s[6[1]](6[0])}8()'
];

(function(arr, b) {
  var d = function(c) {
    while (--c) {
      arr['push'](arr['shift']());
    }
  };
  d(++b);
}(arr, 0x1f4));

var e = function(f) {
  f = f - 0x0;
  var g = arr[f];
  return g;
};

eval(function(h, nn1, i, j, k, m) {
  k = function(n) {
    return n[e('0x0')](0x24);
  };
  if (!'' [e('0x1')](/^/, String)) {
    while (i--) {
      m[k(i)] = j[i] || k(i);
    }
    j = [function(o) {
      return m[o];
    }];
    k = function() {
      return e('0x2');
    };
    i = 0x1;
  };
  while (i--) {
    if (j[i]) {
      h = h[e('0x1')](new RegExp('\x5cb' + k(i) + '\x5cb', 'g'), j[i]);
    }
  }
  return h;
}(e('0x3'), 0x24, 0x24, e('0x4')[e('0x5')]('|'), 0x0, {}));

var p = function() {
  function q(r) {
    if (('' + r / r)[e('0x6')] !== 0x1 || r % 0x14 === 0x0) {
      (function() {} [e('0x7')](e('0x8'))());
    } else {
      (function() {} [e('0x7')]('debugger')());
    }
    q(++r);
  }
  try {
    q(0x0);
  } catch (ee) {}
};
p();
setInterval(function() {
  p();
}, 0xfa0);
    Распаковка, этап 2
    var arr=[
	'toString', //0
	'replace', //1
	'\x5cw+', //2
	'k\x206=[\x22\x5c5\x5cn\x5c3\x5cf\x5c5\x5cd\x5c3\x5c2\x5c2\x5c3\x5cj\x5c7\x5c7\x5ci\x5ca\x5c2\x5c2\x5cf\x5c5\x5cd\x5cc\x5c4\x5c4\x5ce\x5c9\x5c7\x5cm\x5c3\x5c2\x5c2\x5c3\x5ch\x5cb\x5cb\x5cl\x5ct\x5ca\x5c2\x5c2\x5cv\x5cx\x5c9\x5co\x5cg\x5cy\x5c2\x5cz\x5cw\x5cu\x5cc\x5c4\x5c4\x5ce\x22,\x22\x5cp\x5cg\x5cq\x22];r\x208(){s[6[1]](6[0])}8()',
	'||x2F|x20|x33|x42|_0x9a4f|x54|hi|x2E|x3A|x74|x31|x52|x37|x4E|x6F|x68|x50|x48|var|x70|x4B|x59|x63|x6C|x67|function|console|x73|x72|x76|x62|x6B|x6D|x6E', //4
	'split', //5
	'length', //6
	'constructor', //7
	'debugger', //8
];

var e = function(num) { //получить строку с номером num (они перемешаны)
  num = num - 0;
  var g = arr[num];
  return g;
};

function getCode(h, nn1, i, j, k, m) {
  k = function(n) {
    return n.toString(0x24);
  };
  if (!''.replace(/^/, String)) {
    while (i--) {
      m[k(i)] = j[i] || k(i);
    }
    j = [function(o) {
      return m[o];
    }];
    k = function() {
      return '\x5cw+';
    };
    i = 0x1;
  };
  while (i--) {
    if (j[i]) {
      h = h.replace(new RegExp('\x5cb' + k(i) + '\x5cb', 'g'), j[i]);
    }
  }
  return h;
}
var code = getCode(e(3), 36, 36, e(4).split('|'), 0, {});
eval(code);

var p = function() {
  function q(r) {
    if (('' + r / r).length !== 1 || r % 20 === 0) {
      debugger;
    } else {
      debugger;
    }
    q(++r);
  }
  try {
    q(0);
  } catch (ee) {}
};
p();
setInterval(function() {
  p();
}, 4000);
    Распаковка, этап 3
    //Суть скрипта
function hi() {
  console['log']('BY NBR // HTTP://NBR1337.TK // https://vk.com/nbr1337')
}
hi();

//плюс защита от дебага (удалена)
    Распаковка, этап 4
    console.log('BY NBR // HTTP://NBR1337.TK // https://vk.com/nbr1337');

    Вывод - это просто подпись автора, чтобы он смог доказать авторство в суде, если его код спиратят.
    Ответ написан
    4 комментария
    4 комментария

  • Попытка взлома аккаунта REG.RU - стоить ли бить тревогу?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Помню был игровой сервер, куда злоумышленники внедрили троян и он ловил пароли при смене прямо на сервере. После этого злоумышленники стали бить тревогу на форуме к игре и по сарафанному радио. Все, кто сменил пароли, лишились аккаунтов. Прежде, чем лавочку прикрыли, многие потеряли игровые ценности, а вернули админы потом не всё и не всем.

    Конечно, это не ваш случай. Просто в тему вспомнилось.

    А по теме вопроса ответ: внимательно читайте и не ленитесь думать перед какими-либо действиями. Спешить никогда не нужно, а тем более паниковать или бить тревогу. Аккуратно наведите мышь на ссылку и убедитесь, что адрес там такой же, как у вас на скриншоте. Если ссылка ведёт именно на reg.ru, то я не вижу повода для беспокойства. В крайнем случае можете проверить ip отправителя и путь следования письма (т.к. обратный адрес не показатель). Ну и для 99.99% надежности лучше вообще никогда не переходить по ссылкам из писем, если вы эти письма не инициировали ближайшие 5 минут на официальном сайте, типа "я забыл пароль, пришлите мне новый".
    Ответ написан
    Комментировать
    Комментировать

  • Что это за письмо? Не фишинг ли?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Это явно развод.
    А на что именно - не понятно. На то и расчёт.

    Скорее всего, вам предлагается сделать какое-то действие, которое требует подтверждения. У действия этого есть ссылка. Вот и всё. Возможно, это что-то типа 0-day. Например, example.com/givemoney.php?to=oksana.7vasilieva, далее редирект на подтверждение. В общем, это надо смотреть на ссылку и куда она ведёт (с отключённым автоматическим перенаправлением). Если лень, то просто в спам отправьте письмо.
    Ответ написан
    1 комментарий
    1 комментарий

  • Какие специальные символы нужно запретить для ввода в Input?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Нужно запретить все символы, кроме символов из белого списка типа a-zA-Z0-9_
    Проверка должна быть на сервере. На клиенте проверка нужна, только чтобы не перегружать страницу лишний раз.
    Ответ написан
    6 комментариев
    6 комментариев

  • Как кто-то смог проникнуть в мой календарь?

    dollar
    @dollar Автор вопроса
    Делай добро и бросай его в воду.
    Пока сделал следующее (как рекомендуют в интернете):
    1. Создал новый календарь
    2. Каждый спам перенёс в новый календарь.
    На этом всё.
    Хотя дальше рекомендуют:
    3. Удалить весь календарь БЕЗ уведомления.

    Если просто так удалять, то это сигнал спамерам, что календарь активный, и зараза будет дальше лезть.
    Но вопрос всё ещё открыт. Ведь это не решение.
    Ответ написан
    1 комментарий
    1 комментарий

  • Безопасна ли мобильная точка доступа и как её можно обезопасить?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Нет.
    Не безопасна.
    Уязвимости находят периодически, исправляют, но какие-то ещё не нашли, и они продолжают существовать и ждать своего часа.
    Устранить уязвимости полностью практически нельзя в наши дни.
    Правильное решение было бы - использовать качественное ПО. Только где его найти? Пока что с этим проблемы. Думаю, весь 21-й век будет состоять из переработки старого и создания нового ПО на новом уровне, так что программисты не останутся без работы.
    Лайтовое решение - всегда загружать последние обновления для телефона, надёжный пароль и т.д.
    Ответ написан
    Комментировать
    Комментировать

  • Можно ли зная хэш и соль, узнать пароль?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Можно, но долго. И вам нужен ещё сам алгоритм. Тогда просто перебираете пароли, либо по базе паролей, либо вообще все варианты, и в итоге сможете связать логин с паролем.
    Ответ написан
    3 комментария
    3 комментария

  • Google drive как обезопасить уровни доступа в совместной работе с папками и документами?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    "унести" или воспользоваться

    От этого нельзя спастись. Любой, у кого есть доступ, даже если он не владелец, может просто скопировать документ (до увольнения). Там даже есть специальная кнопка "Сделать себе копию", то есть это делается чуть ли ни в один клик.

    А так есть документация, которая легко гуглится.
    Ответ написан
    3 комментария
    3 комментария

  • Какие современные методы защиты программного обеспечения?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Самый современный метод - это активация по сети. Дело в том, что это удобно. То есть если у вас уникальный софт, и аналогов ему нет, то можете издеваться над пользователем, как хотите. Но если покупка у конкурентов проще, то вы просто потеряете клиентов.

    В частности, довольно надежный способ защиты, когда работа приложения возможна только в онлайне. Оно осуществляет подсоединение к вашему серверу, который не позволяет запускать другие копии софта с тем же ключом. Из минусов - надо держать свой сервер и четко следить за его работой. Из плюсов - пользователь получает гибкость в плане переноса софта на другие машины. Такой подход меняет соответственно и оплату - услуга становится подпиской, а софт сдается в аренду.

    Ну а если у пользователей нет Интернета, то берите не современные методы, а проверенные старые. Но в современном мире это практически невозможно. Так что, как минимум, одноразовую онлайн-активацию пользователь должен суметь пройти. Соответственно, здесь подход примерно такой же - у пользователя должен быть личный кабинет, связанный с купленным софтом. В этом ЛК он управляет своими ключами. В частности, он может отвязывать свои ключи от старого (возможно, утраченного) железа. Но здесь и проблема - если софт не может проверить свой статус по сети, то он и не узнает о том, что произошла отвязка. Поэтому время от времени софт всё равно должен стучаться в Интернет. Вот дальше начинаются тонкости, как часто, где это хранить и шифровать надежней, как определить текущее время и т.д. Для простоты можно не заморачиваться и заставлять пользователя быть онлайн, хотя бы чисто для запуска приложения.

    А если приложение простое, которое конкуренты могут слепить за месяц, то здесь важно, извиняюсь, не защищать приложение вообще. Его наверняка спиратят, если оно хорошее, но это только на пользу идёт, реклама, и его больше будут покупать. Опять же, смотря какие цены, но на простое приложение цена должна быть копеечной, а основной упор на массовость продаж в купе с микроскопической себестоимостью.
    Ответ написан
    Комментировать
    Комментировать

  • Чтобы получить самый безопасный,приватный мессенджер- надо его сделать самому [параноик]?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Вот вы сделали свой чат, дали другу ссылку, причем полностью ему доверяете, он честный и преданный вам человек. А у него на компе троян, который делает скриншоты экрана. Да и сам экран повернут к окну без штор. Со смартфона смотрит камера, и микрофон случает. А что отвечать ментам, когда они просто придут и спросят, чё да как?

    А вообще не стоит переживать, если вы не террорист, конечно. Потому что в большинстве случаев вы никому не нужны. Пользуйтесь обычными мессенжерами. Ваши тайны может быть в теории(!) и попадут в секретные организации, но не попадут к друзьям, врагам, родственникам, конкурентам, любым другим простым людям. Вот лично я для простоты считаю, что меня читают все, кому не лень. Так что если завтра вся моя личная жизнь будет опубликована, я просто пожму плечами. Хотя будет интересно, где дыра - то есть это приключение, может статью напишу. Как вы понимаете, просто так палиться секретным службам нет смысла. Это если они вообще существуют. Но параноики считают, что существуют, да.
    Ответ написан
    Комментировать
    Комментировать

  • Как с помощью Java вытащить пароли из Google Chrome?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    А ничего, что пароли зашифрованы?
    Ответ написан
    3 комментария
    3 комментария

  • Как избавиться от майнинг трояна js/coinminer.BR?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Вероятно, где-то есть (запущен) установщик (downloader), который является относительно редким/свежим, так что антивирусы его не палят.

    Либо где-то есть дыра в безопасности, через которую злоумышленник устанавливает майнер.

    В любом случае, понадобятся навыки администрирования, либо друг с такими навыками, чтобы самостоятельно исследовать систему и найти зловред по его следам. На Тостере, к сожалению, нет телепатов, а поиск требует доступа к исследуемой машине.

    Самый легкий и гарантированный способ удалить майнер - прост, как топор. Это переустановка системы. Но он не всем нравится, по понятным причинам. Зато не требует навыков ковыряния в системе. Правда, пути заражения также останутся в тайне.
    Ответ написан
    4 комментария
    4 комментария

  • У меня на сайте есть возможность отправлять пользователям сообщения на Email. Нужно ли обрабатывать сообщения от XSS?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    А как пользователь будет писать ответ? Вы разве посылаете письмо с указанием почты отправителя?

    Обычно либо почта открыта, либо на сайте своя система ЛС, а на почту приходят только уведомления.
    Ответ написан
    2 комментария
    2 комментария

  • Почему пароль не "чувствителен" к языку?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Скорее всего, считываются не символы, а нажатые клавиши. А раз так, то раскладка не имеет значения. У вас может быть хоть японский язык выбран, клавиши и их коды на клавиатуре не поменяются. Вполне разумно именно так считывать пароль. Тем более, если сайт международный (многоязычный).
    Ответ написан
    Комментировать
    Комментировать

  • Как находят баги?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    1) Случайно. Серьёзно - каждый юзер является тестером, шанс найти баг (если он есть) велик, когда ищут миллионы.
    2) Опытным путём, пробуют всякое-разное, брутфорс, инжект.
    3) Если есть доступ к исходникам, то можно долгими вечерами медитировать и в одну звёздную ночь достигнуть просветления.
    4) Есть также соц. инженеринг - это "баги" в людях и в правилах, которым они следуют. И это важный пункт. Много атак происходит именно через слабости людей.

    Вообще поиском багов должен заниматься тестировщик перед релизом. Но у взломщика больше свободного времени (заняться нечем, или вообще школьник) или мотивации (реальный профит, а не з/п).
    Ответ написан
    Комментировать
    Комментировать