Опубликовано 26 мая, 200818 г Мндя. :smile13: Видно, что программисты не читали руководства OWASP... :smile2: Защититься от этого проще простого всего лишь с помощью нескольких правил mod_security :smile1: Уважаемый Винни, не подскажете ли, существует ли перечень уязвимостей OWASP в переводе на русский. К сожаению :smile2: , не дружу с англицким, а прочитать в нормальном виде, а не в машинном переводе очень уж хочется. Заранее благодарен.
Опубликовано 26 мая, 200818 г Уважаемый Винни, не подскажете ли, существует ли перечень уязвимостей OWASP в переводе на русский. К сожаению :smile2: , не дружу с англицким, а прочитать в нормальном виде, а не в машинном переводе очень уж хочется. Заранее благодарен. Увы! :smile2: Не слышал об этом... На русском языке есть другой, но тоже хороший документ - классификация угроз для веб-приложений Если есть конкретные вопросы - задавайте :smile3:
Опубликовано 26 мая, 200818 г Увы! :smile2: Не слышал об этом... На русском языке есть другой, но тоже хороший документ - классификация угроз для веб-приложений Если есть конкретные вопросы - задавайте :smile3: Спасибо, конкретных вопросов пока нет, просто хотел почитать этот документ, так как появился к нему интерес.
Опубликовано 26 мая, 200818 г Автор Ну под ActivePerl работает, брутфорсит пароль к мылу, типа максимум 18 часов надо. Чего еще обьяснить надо?
Опубликовано 26 мая, 200818 г Уважаемый Loo, для отстающих расскажите - о чем речь-то? :smile2: Ну я могу рассказать, пока его нет и выдалось пять свободных минут :smile17: Для забывчивых пользователей есть возможность восстановить забытый пароль - для этого надо зайти на специальную страницу, вбить свой контактный e-mail и получить на него письмо, содержащее специальную ссылку, одним из параметров которой является специально сгенерированный для этого запроса шестизначный код. Перейдя по этой ссылке, пользователь попадает на страницу, на которой можно поменять пароль. Проблема в том, что разработчики Одноклассников не позаботились о защите от подбора этого кода для восстановления пароля - и программа отправляет запрос на восстановление для указанного адреса эл. почты, а потом просто перебирает все коды (все числа от 100000 до 999999). Для ускорения перебора на компьютере одновременно выполняется заданное число процессов. Защита от такой атаки простая - обнаружение большого числа запросов с URL для проверки кода восстановления за короткий промежуток времени и блокирование такого IP на некоторое время :smile1: (или блокирование попыток восстановления для данного адреса эл. почты на некоторое время :smile3: )
Для публикации сообщений создайте учётную запись или авторизуйтесь