Top Ten Web Hacking Techniques of 2012

Известный эксперт в области информационной безопасности Jeremiah Grossman (CTO компании WhiteHat Security), как обычно в конце уходящего года перечислил наиболее значимые техники и связанные с ними уязвимости в контексте нарушения безопасности веб-приложений. Примечательно, что в этом году в списке содержится упоминание исследования "Bruteforce of PHPSESSID", впервые продемонстрированного в рамках международной конференции Zeronight 2012, а также "Random Number Security in Python", демонстрация эксплуатации которой была замечена в PHDays CTF Quals 2012 - задание Real World (500).

Мой респект Арсению Реутову, Тимуру Юнусову и Дмитрию Нагибину за отличный ресерч!

Ознакомиться с полной публикацией Джереми Гроссмана можно по следующей ссылке.

Новый год нулевого дня. Полет стабильный.

Новогодние праздники у большинства уже закончились и лемминги потихоньку возвращаются в сеть. А там... ресерчеры со всего света по ним ужасно соскучились и очень-очень ждут 8)

Подведем краткие итоги наиболее интересных творений начала этого года, часть из которых уже содержится в BlackHole Exploit Kit и ему подобным.

- Java 7 Update 10 0-Day RCE Exploit (CVE-2013-0422)
Как становится ясно из названия, уязвимости подвержены счастливые параноики с последней версией Java. Воздействие - выполнение произвольного кода в пространстве браузера жертвы. Эксплоит уже портирован в самые распространённые коммерческие сборки эксплоит-паков и в скором времени появится в Metasploit. Стоит отметить, что сплоетс является межплатформенным! [демка]