- В Steam начался фестиваль локальных... (863)
- В Россию официально начнут завозить... (854)
- Оказывается, потребляющую 600 Вт GeForce RTX... (879)
- «Человечество может исчезнуть за 10 лет»:... (854)
- Ждать более дешёвых видеокарт GeForce RTX 50... (842)
- Автор самого популярного мода для Elden Ring... (847)
- Шведские учёные нашли способ сделать зимние... (819)
- Частный лунный аппарат Blue Ghost начал... (851)
- Федеральная комиссия по связи США готовится... (853)
- Над Microsoft нависла угроза крупного штрафа... (749)
- Первый хорватский спутник CroCube передал... (782)
- Греческие учёные создали оптическую систему... (846)
- Samsung перейдет на кремний-углеродные... (827)
- 13 миллиардов лет назад: наблюдения далёких... (721)
- Кроссоверы Exeed RX и Exeed TXL, собранные... (642)
- В разгар слухов о февральской State of Play... (643)
Рекурсивный акроним словосочетания «PHP: Hypertext Preprocessor»
Добро пожаловать на форум PHP программистов!
За последние 24 часа нас посетили 21109 программистов и 1713 роботов. Сейчас ищут 1594 программиста ...
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Дата: 2015-02-06 10:44
На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.
Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».
Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.
Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:
Header always append X-Frame-Options SAMEORIGIN
Для nginx:
add_header X-Frame-Options SAMEORIGIN;
Для IIS:
... ...
При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).
КомментироватьПодробнее на iXBT
Предыдущие новости
iXBT, 2015-02-06 10:51
Команда проекта «Активный гражданин» отчиталась о результатах работы
Команда проекта «Активный гражданин» отчиталась о результатах работы
«Активный гражданин» - это проект для тех, кому важно, что происходит в Москве. Команда «Активного гражданина» опубликовала очередной отчет о работе проекта. В январе по итогам голосования в рамках акции «Миллион деревьев» было выбрано почти 600 дворов, которые озеленят уже этой весной. Список адресов-победителей размещен по этой ссылке. Жители этих домов также...
iXBT, 2015-02-06 10:52
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России появилось новое бесплатное мобильное приложение Appy Geek, которое предназначено для тех, кто интересуется новинками из мира науки и высоких технологий. Мобильное приложение Appy Geek изучает интересы своего владельца, создавая для него персональную подборку ежедневных новостей о высоких технологиях. Причем чем больше вы читаете, тем более точные...
iXBT, 2015-02-06 08:00
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Недавно компания Intel начала поставки процессоров Core пятого поколения, которые изготавливаются по нормам 14 нм. Процессоры под условным наименованием Broadwell являются «уменьшенными» до новых технологических норм процессорами Haswell. Процессоры Haswell, напомним, рассчитаны на выпуск по нормам 22 нм и известны на рынке как модели Core четвертого поколения. «Мы...
iXBT, 2015-02-06 10:30
Представлен объектив Canon EF 11-24mm f/4L USM
Представлен объектив Canon EF 11-24mm f/4L USM
Как и ожидалось, компания Canon представила объектив EF 11-24mm f/4L USM, предварительные сведения о котором появились некоторое время назад. Новинка относится к категории сверхширокоугольных полнокадровых объективов с переменным фокусным расстоянием. Она рассчитана на использование совместно с камерами системы EOS, имеет пыле- и влагозащищенное исполнение. Объектив...