vbl Опубликовано 26 мая, 2008 Поделиться Опубликовано 26 мая, 2008 Мндя. :smile13: Видно, что программисты не читали руководства OWASP... :smile2: Защититься от этого проще простого всего лишь с помощью нескольких правил mod_security :smile1: Уважаемый Винни, не подскажете ли, существует ли перечень уязвимостей OWASP в переводе на русский. К сожаению :smile2: , не дружу с англицким, а прочитать в нормальном виде, а не в машинном переводе очень уж хочется. Заранее благодарен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 26 мая, 2008 Поделиться Опубликовано 26 мая, 2008 Уважаемый Винни, не подскажете ли, существует ли перечень уязвимостей OWASP в переводе на русский. К сожаению :smile2: , не дружу с англицким, а прочитать в нормальном виде, а не в машинном переводе очень уж хочется. Заранее благодарен. Увы! :smile2: Не слышал об этом... На русском языке есть другой, но тоже хороший документ - классификация угроз для веб-приложений Если есть конкретные вопросы - задавайте :smile3: Ссылка на комментарий Поделиться на другие сайты More sharing options...
vbl Опубликовано 26 мая, 2008 Поделиться Опубликовано 26 мая, 2008 Увы! :smile2: Не слышал об этом... На русском языке есть другой, но тоже хороший документ - классификация угроз для веб-приложений Если есть конкретные вопросы - задавайте :smile3: Спасибо, конкретных вопросов пока нет, просто хотел почитать этот документ, так как появился к нему интерес. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 26 мая, 2008 Автор Поделиться Опубликовано 26 мая, 2008 Ну под ActivePerl работает, брутфорсит пароль к мылу, типа максимум 18 часов надо. Чего еще обьяснить надо? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 26 мая, 2008 Поделиться Опубликовано 26 мая, 2008 Уважаемый Loo, для отстающих расскажите - о чем речь-то? :smile2: Ну я могу рассказать, пока его нет и выдалось пять свободных минут :smile17: Для забывчивых пользователей есть возможность восстановить забытый пароль - для этого надо зайти на специальную страницу, вбить свой контактный e-mail и получить на него письмо, содержащее специальную ссылку, одним из параметров которой является специально сгенерированный для этого запроса шестизначный код. Перейдя по этой ссылке, пользователь попадает на страницу, на которой можно поменять пароль. Проблема в том, что разработчики Одноклассников не позаботились о защите от подбора этого кода для восстановления пароля - и программа отправляет запрос на восстановление для указанного адреса эл. почты, а потом просто перебирает все коды (все числа от 100000 до 999999). Для ускорения перебора на компьютере одновременно выполняется заданное число процессов. Защита от такой атаки простая - обнаружение большого числа запросов с URL для проверки кода восстановления за короткий промежуток времени и блокирование такого IP на некоторое время :smile1: (или блокирование попыток восстановления для данного адреса эл. почты на некоторое время :smile3: ) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.