Пару лет назад я писал, как с помощью css и истории браузера можно делать всякие интересные вещи. Прогресс не стоит на месте, умельцы написали скрипты, которые при заходе на сайт проверяют, какие чужие сайты посещал юзверь. В буржуйнетах народ активно ругается, что порносайты теперь палят, куда ходят их посетители. Ознакомиться с примером работы скрипта можно например [...]

• 7 Comments

В Facebook’е появился новый “червь”, самораспространяющаяся картинка с аппетитной негритянской расовой тёлочкой почти без целлюлита, при клике на которую картинка постится на стену кликнувшему. Вот она: Работает через CSRF - при клике открывается ссылка с ифреймом, который заставляет картинку засабмититься на стену от имени и по поручению кликнувшего юзверя. Видно фейсбуковцы не читают мой блог, защититься от подобной [...]

• 3 Comments

Нашёл очередной полезный плагин для проверки безопасности Wordpress – сканер эксплоитов. После инсталляции плагина, в админке появляется новое меню – Exploit Scanner. Там можно проверить, есть ли в блоге что-то подозрительное, типа ифреймов, модифицированных пхп файлов, скрытых дивов и т.п. Проблема только в том, что у меня и в нормальной теме такого очень много, приходится внимательно [...]

• 7 Comments

Отравление логов (logs poisoning) это такой хитрый способ пробраться на чужой сервер, используемый хакерами. Апач как правило имеет лог файл, лежащий по стандартному пути (зависит от версии ОС). Читать и писать в этот файл могут те же юзеры, под которыми выполняются скрипты, то есть если хакер допустим нашёл какую-то уязвимость, позволяющую включать локальные файлы, но [...]

• 4 Comments

В последние несколько дней на сервер с блогом повадились лазать какие-то хакеры, пытающиеся подобрать пароли для различных стандартных юниксовых юзверей и заодно определить, есть ли вообще некий юзверь в наличии. Логи с ошибками распухают прямо на глазах, да и сервер бессмысленно грузится. Против них можно использовать вот такой скрипт: iptables -N SSH_CHECK iptables -A INPUT -p tcp [...]

• 13 Comments

В Штатах 18 летний хакер, используя подбор пароля по словарю, угадал слово-пароль happiness для админского аккаунта на Твиттере, после чего дал своим дружбанам на хакерском форуме доступ к аккам Чёрного Властелина и Бритни Джеймсовны Спирс. Дружбаны сразу правильно сориентировались и в блоге Обамы стали постить ссылки на CPA сайты. Твиттер вообще крайне странный сайт, допустим [...]

• 9 Comments