- Sony вынудила моддера удалить патч с... (1826)
- Radeon RX 7900 XTX неожиданно легко обходит... (1549)
- «Я знал много клиентов Intel на Тайване, и... (1648)
- Это будет самая дорогая Lada Niva 2025.... (1610)
- The Sims и The Sims 2 вернулись из небытия с... (1318)
- ИИ-модели OpenAI и суперкомпьютер Venado... (1407)
- У Intel получается всё хуже. Компания... (1310)
- Стартап Hestus привлёк $1,5 млн на... (1528)
- Значительная часть европейских видеокарт... (1197)
- Стартап AscendArc привлёк $4 млн для... (1454)
- Смартфон Minimal Phone с физической... (1199)
- Спутники напрямую свяжутся со смартфонами в... (1130)
- iPhone — это почти половина всего мирового... (1325)
- Китайцы добыли кислород и ракетное топливо в... (1226)
- Вот и всё, ребята: мультяшный файтинг... (1094)
- Российский суд запретил Google пытаться... (994)
Рекурсивный акроним словосочетания «PHP: Hypertext Preprocessor»
Добро пожаловать на форум PHP программистов!
За последние 24 часа нас посетили 18163 программиста и 1591 робот. Сейчас ищут 1769 программистов ...
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Дата: 2015-02-06 10:44
На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.
Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».
Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.
Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:
Header always append X-Frame-Options SAMEORIGIN
Для nginx:
add_header X-Frame-Options SAMEORIGIN;
Для IIS:
... ...
При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).
КомментироватьПодробнее на iXBT
Предыдущие новости
iXBT, 2015-02-06 10:51
Команда проекта «Активный гражданин» отчиталась о результатах работы
Команда проекта «Активный гражданин» отчиталась о результатах работы
«Активный гражданин» - это проект для тех, кому важно, что происходит в Москве. Команда «Активного гражданина» опубликовала очередной отчет о работе проекта. В январе по итогам голосования в рамках акции «Миллион деревьев» было выбрано почти 600 дворов, которые озеленят уже этой весной. Список адресов-победителей размещен по этой ссылке. Жители этих домов также...
iXBT, 2015-02-06 10:52
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России появилось новое бесплатное мобильное приложение Appy Geek, которое предназначено для тех, кто интересуется новинками из мира науки и высоких технологий. Мобильное приложение Appy Geek изучает интересы своего владельца, создавая для него персональную подборку ежедневных новостей о высоких технологиях. Причем чем больше вы читаете, тем более точные...
iXBT, 2015-02-06 08:00
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Недавно компания Intel начала поставки процессоров Core пятого поколения, которые изготавливаются по нормам 14 нм. Процессоры под условным наименованием Broadwell являются «уменьшенными» до новых технологических норм процессорами Haswell. Процессоры Haswell, напомним, рассчитаны на выпуск по нормам 22 нм и известны на рынке как модели Core четвертого поколения. «Мы...
iXBT, 2015-02-06 10:30
Представлен объектив Canon EF 11-24mm f/4L USM
Представлен объектив Canon EF 11-24mm f/4L USM
Как и ожидалось, компания Canon представила объектив EF 11-24mm f/4L USM, предварительные сведения о котором появились некоторое время назад. Новинка относится к категории сверхширокоугольных полнокадровых объективов с переменным фокусным расстоянием. Она рассчитана на использование совместно с камерами системы EOS, имеет пыле- и влагозащищенное исполнение. Объектив...