информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2011
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Whale Rider 2011; Яндекс сделал вид, что устранил утечку мегафонных SMS; Утечка мегафонных SMS; Трансляция в Google+.

#303, 19.07.2011

Whale Rider 2011
dl // 18.07.11 23:04
19-20 сентября в Москве пройдет третья ежегодная профессиональная конференция по управлению проектами в сфере Интернет Whale Rider. Цель конференции - профессиональный рост каждого из ее участников, приобретение практических знаний в различных сферах управленческой деятельности, установление новых полезных связей и контактов.

В этом году предполагается разговор об Управлении с большой буквы, включающий анализ того, как сегодня эффективнее всего управлять проектом, какие методы и технические решения применяют гуру в своей работе, как они работают с командой и заказчиками. Будут разобраны особенности управления в организациях: стандарты, качество, мотивация, а также вопросы, касающиеся самих руководителей - управление своим временем и стиль жизни лидера, выходящий за границы рабочего времени.

Ожидается довольно насыщенный график работы. Конференция разбита на четыре секции: "Управление проектом", "Управление продуктом", "Управление организацией", "Управление самим собой".

Участие в конференции платное, первые тридцать билетов уйдут за 13 тысяч рублей, всего ожидается до 500 участников.
Источник: Whale Rider


Яндекс сделал вид, что устранил утечку мегафонных SMS
dl // 18.07.11 16:32
Яндекс частично блокировал поисковый запрос, позволявший просматривать тексты SMS, отправленных с мегафоновского сайта. Однако достаточно добавить в текст запроса любое слово, которое заведомо может встретиться в сообщении - например, код (927) или даже просто цифру 7 - и вся простыня выведется как ни в чем не бывало.

Update: молодцы, починили еще быстрее. Впрочем, если что-то утекло, то это уже безвозвратно - по сети уже ходит куча ссылок на архивы с вытянутыми сообщениями. Плюс нашлись и другие пациенты. А ведь уже восемь лет назад эта тема казалась такой старой и всем известной.

Update 2: любопытно, но добавление простой буквы "а" еще дает просмотреть несколько страниц сообщений, плюс срабатывают и другие модификации запросов. Заглушка на заглушке. Видимо, до полного обновления базы все таким дырявым и останется (ну хоть ссылки на кэш уже 404 отдают).


Утечка мегафонных SMS
dl // 18.07.11 14:10
Простой поисковый запрос позволяет вытащить содержимое SMS, отправленных через сайт Мегафона за прошедшие полтора месяца. Тексты SMS начинаются с конца второй страницы результатов поиска, возможно, поэтому дырка и не была сразу обнаружена. В кэше яндекса лежит полный текст сообщения и телефон адресата. Первые сообщения датированы началом июня (легко определяется заданием диапазона дат в расширенной форме поиска).

Схема утечки вполне тривиальна и не требует конспиративных теорий для объяснения: после отправки СМС пользователю показывалась страница с подтверждением, доступ к которой был не защищен. Предположительно, на мегафоновском сайте была включена Яндекс.Метрика, с помощью которой помимо пользователя о странице немедленно узнавал Яндекс и засасывал в свой кэш (другой вариант - то же самое происходило с помощью Яндекс.Бара).

Естественно, в Яндексе можно задать и поиск всех SMS, отправленных на произвольный номер, так что счастливым пользователям Мегафона стоит проверить свой номер - just in case.
Источник: golubchikav LJ, dirty.ru


Трансляция в Google+
dl // 16.07.11 16:10
В качестве пробного шара добавил трансляцию новостей на Google+. Адрес простой - http://gplus.to/bugtraq. Ну и до кучи полный список доступных трансляций:

Facebook, Twitter, LiveJournal, исходный RSS.
Источник: Google+




обсудить  |  все отзывы (0)
[32750]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach