Вход
Имя пользователя:
Пароль:
Запомнить меня

Зарегистрируйтесь, чтобы получить доступ к форуму, чату, комментированию статей и написанию собственных статей. Для регистрировавшихся на форуме ранее сейчас регистрироваться не надо.
Регистрироваться!!!

Забыл пароль?
Сервер World Of Warcraft
Имя пользователя:
Пароль:
Повторите пароль:
E-mail:
Сейчас на сайте:
Всего: 125
0 юзеров | 125 гостей

Рекорд: 396 на February 25, 2009 в 09:19 AM.
Последние посты
Баги с квестамиvelasces
Патчvelasces
Баги другого родаKimo
какую музыку слушают
игроки на форсемите?
velasces
Поднимем онлайн!Dvorf
Ульдуар.Kimo
ПЕРЕНОС ЧАРОВ С
ДРУГОГО СЕРВЕРА.
Dvorf
РЕЙТЫ НА ПРОФЫsanekXXL
ОПРОС:Наши Рейты!TABURETNIK
ОПРОС:Что оставить и
что убрать?
StyX
юмор wowsanekXXL
Баги с персонажами и
аккаунтами
Psycho
С Днем Системного
Администратора!
Aбвгдe
ASCII GeneratorVan
Баны игроковNighter
Sponsor links:
[Soft & Game]Серию модулей памяти Kingmax Zeus DDR4 пополнили модели, работающие на эффективной частоте 3600 МГц
[Soft & Game]Австралийские налоговики считают, что Google недоплачивает налоги
[Soft & Game]Nvidia готовит к выпуску новые мобильные 3D-карты GeForce GTX 1080 и 1070
[Soft & Game]Обновление для смартфонов Samsung Galaxy S8 и S8+, позволяющее корректировать цвета экрана, стало доступно и в Европе
[Soft & Game]По данным CIPA, поставки цифровых камер увеличились по сравнению с прошлым годом
[Soft & Game]Представлен планшет-трансформер Acer Switch 3 на платформе Intel Apollo Lake
[Soft & Game]Смартфон Samsung Galaxy J3 Prime нового поколения не получил экран Super AMOLED, но работает под управлением Android 7.0
[Soft & Game]Браслет Fitbit Flex 2 взорвался на руке его владелицы не сам по себе
[Soft & Game]Видеокарта GeForce GT 1030 на самом деле получит лишь 384 ядра CUDA и 64-разрядную шину памяти
[Soft & Game]Подробности о крупных инвестициях Foxconn в США расскажут через несколько недель
[Soft & Game]Macronix разрабатывает флэш-память 3D NAND для SSD
[Soft & Game]Консоль Nintendo 2DS XL появится в продаже летом по цене 150 долларов
[Soft & Game]GoPro продолжает терпеть убытки, хотя и смогла нарастить выручку
[Soft & Game]Фотогалерея дня: смартфон LG G6 Mini с экраном диагональю 5,4 дюйма
[Soft & Game]Джон Макафи готовит «антишпионский» смартфон с кнопками, позволяющими физически отключить аккумулятор и антенны Wi-Fi
[Soft & Game]Колонку Siri Speaker, которая составит конкуренцию Amazon Echo, могут представить в июне
[Soft & Game]Компания Sharp отчиталась за финансовый год, завершившийся у нее 31 марта
[Soft & Game]В Гонконге выйдет разблокированная версия смартфона Samsung Galaxy S8+ с 6 ГБ ОЗУ
[Soft & Game]Доход Microsoft в минувшем квартале достиг 22,1 млрд долларов
[Soft & Game]Дисплеи Acer Predator X27 и Z271UV получили подсветку с квантовыми точками, расширяющими цветовой охват
По теме:
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
От ixbt
Опубликовано: February 6, 2015

На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.

Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».

Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.

Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:

Header always append X-Frame-Options SAMEORIGIN

Для nginx:

add_header X-Frame-Options SAMEORIGIN;

Для IIS:

<system.webServer>
...
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
...
</system.webServer>

При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).

Источник: Positive Technologies

[Читать далее...] Показать Каменты (0)