- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
вот свежее https://www.securitylab.ru/news/551441.php
Слышали звон, но не знаем, где он?
Какое отношение вот это:
--
Для успешной эксплуатации CVE-2024-39717 злоумышленнику необходимо, чтобы пользователь с соответствующими правами (Provider-Data-Center-Admin или Provider-Data-Center-System-Admin) успешно прошёл аутентификацию и вошёл в систему.
Хотя точные обстоятельства использования CVE-2024-39717 пока остаются неясными, национальная база данных уязвимостей США (NVD) сообщает, что Versa Networks подтвердила один случай, когда клиент подвергся атаке. При этом отмечается, что клиент не реализовал рекомендации по настройке межсетевого экрана, выпущенные в 2015 и 2017 годах, что и позволило злоумышленнику воспользоваться уязвимостью без использования графического интерфейса.
--
имеет к данной теме?
У меня был случай, когда загруженный пользователем логотип формата jpg был с вредоносным кодом. И, кстати, превьюшки этой картинки, которые сделал движок, тоже несли в себе этот код. А сайтег был вскрыт через SQL-инъекцию.
Правда, не знаю, является ли взлом сайта следствием наличия этих картинок.
В данном случае одна из основных угроз - возможность загрузки svg-изображения, которое может нести в себе яваскрипты.
Подробнее есть информация на эту тему (конкретные случаи взлома)?
Но современные браузеры не исполняют js из атрибута src тэга img и на встроенном изображении скрипты будут проигнорированы.
А как они исполнятся, если тег <img> уже конкретно описан и никаких JS прицепом к нему нет?
Но вряд-ли у покупателя такая цель, когда это можно делать легко и бесплатно.
Согласен. Слишком сложные схемы с крайне маловероятным деструктивным воздействием.
Евгений, я бы на вашем месте выдвинул условие - загрузка png картинки локально и саму картинку у себя принудительно переводить webp. Без возможности инициировать у вас php скрипты и проброс редиректов удалённо, навредить вам шансов не будет.
Вообще использовать непроверенные удалённые источники - так себе идея. Думаю, строго обозначить условия локальной загрузки материалов и всё, не сломать себе голову 😉
самый простой специалист отдебажит файл и сразу увидит, если в нем есть вредонос
другое дело, если он подгружается определенному гео
Слышали звон, но не знаем, где он?
зиродей это уязвимость о которой не пишут в новостях
например, у тебя на машине запущен сервер майнкрафта, который прописывает в браузер плагин мониторинга, а кто-то в нем нашел уязвимость, загружаешь png файл и тем самым передаешь управление злоумышленникам
не заниматься ерундой, а заплатить специалисту, раз не хватает навыков понять, какой файл подгружается
Этот специалист подскажет не заниматься ерундой, не слушать про неизвестные уязвимости (они и так останутся неизвестными), открыть файл в граф. редакторе, пересохранить в другом граф. формате и грузить локально. Всё.
Предложили разместить баннер с подгрузкой из внешнего источника (CDN, png картинка).
Доверия к предлагающим полный ноль, но предлагают очень много, выше чем на рынке.
звучит как скам. такое часто предлагают, правда предлагают js код. платить вам будут за количество показов картинки или за что? если не за показы, то разместить картинку лучше на своем хостинге.
Этот специалист подскажет не заниматься ерундой, не слушать про неизвестные уязвимости (они и так останутся неизвестными), открыть файл в граф. редакторе, пересохранить в другом граф. формате и грузить локально. Всё.
нет, специалист вскроет файл и если там действительно изображение, предложит JS скрипт, который будет проверять хэш подгружаемой пользователю картинки, если он изменится, то пользователь ничего не загрузит
нет, специалист вскроет файл и если там действительно изображение, предложит JS скрипт, который будет проверять хэш подгружаемой пользователю картинки, если он изменится, то пользователь ничего не загрузит
Допустим, как вариант такое может быть.
А теперь чисто практически. На поиски такого специалиста сколько времени уйдет? (не считая риски, что найденный специалист посоветует что-то вообще бесполезное). Дальше, сколько будут стоить эти разовые услуги?
500 рублей - нет, 1000 рублей - нет, в районе 3-5K? Возможно.
Далее вопрос, захочет Евгений тратить свои деньги в данном объёме, если элементарно за пол минуты сможет пересохранить файл в другом формате, загрузив локально?
Где тут более целесообразное решение?
Где тут более целесообразное решение?
если ему предложили 3кк рублей за банер, то можно и 30к на специалиста потратить
таких данных нет, о целесообразности говорить бессмысленно