- Вторая молодость Zen 3: процессоры Ryzen 7... (718)
- AMOLED со скрытой камерой, SoC Snapdragon 8... (684)
- Amazon задумала запустить маркетплейс... (1082)
- Microsoft закрыла 58 уязвимостей в Windows... (1048)
- Aurus не выдержал конкуренции с Rolls-Royce... (720)
- 5 лет гарантии, усиленная адаптация для... (1153)
- Microsoft обновит сертификаты Secure Boot... (742)
- Каждый четвёртый активный смартфон в мире в... (731)
- Замедленный Telegram оштрафовали на 10,8 млн... (1226)
- Видео: GeForce RTX 5090 устроила огненное... (1057)
- Власти США «по-хорошему» призывают... (749)
- Samsung Galaxy S26 Ultra в черном показали... (713)
- HP предлагает в США игровые ноутбуки по... (785)
- Hyundai Creta метит в бизнес-класс:... (1070)
- ИИ обвалил курс акций финансовых компаний... (1153)
- Sony прекратит поставки проигрывателей... (753)
Рекурсивный акроним словосочетания «PHP: Hypertext Preprocessor»
Добро пожаловать на форум PHP программистов!
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Дата: 2015-02-06 10:44
На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.
Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».
Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.
Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:
Header always append X-Frame-Options SAMEORIGIN
Для nginx:
add_header X-Frame-Options SAMEORIGIN;
Для IIS:
... ...
При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).
КомментироватьПодробнее на iXBT
Предыдущие новости
iXBT, 2015-02-06 10:51
Команда проекта «Активный гражданин» отчиталась о результатах работы
Команда проекта «Активный гражданин» отчиталась о результатах работы
«Активный гражданин» - это проект для тех, кому важно, что происходит в Москве. Команда «Активного гражданина» опубликовала очередной отчет о работе проекта. В январе по итогам голосования в рамках акции «Миллион деревьев» было выбрано почти 600 дворов, которые озеленят уже этой весной. Список адресов-победителей размещен по этой ссылке. Жители этих домов также...
iXBT, 2015-02-06 10:52
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России появилось новое бесплатное мобильное приложение Appy Geek, которое предназначено для тех, кто интересуется новинками из мира науки и высоких технологий. Мобильное приложение Appy Geek изучает интересы своего владельца, создавая для него персональную подборку ежедневных новостей о высоких технологиях. Причем чем больше вы читаете, тем более точные...
iXBT, 2015-02-06 08:00
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Недавно компания Intel начала поставки процессоров Core пятого поколения, которые изготавливаются по нормам 14 нм. Процессоры под условным наименованием Broadwell являются «уменьшенными» до новых технологических норм процессорами Haswell. Процессоры Haswell, напомним, рассчитаны на выпуск по нормам 22 нм и известны на рынке как модели Core четвертого поколения. «Мы...
iXBT, 2015-02-06 10:30
Представлен объектив Canon EF 11-24mm f/4L USM
Представлен объектив Canon EF 11-24mm f/4L USM
Как и ожидалось, компания Canon представила объектив EF 11-24mm f/4L USM, предварительные сведения о котором появились некоторое время назад. Новинка относится к категории сверхширокоугольных полнокадровых объективов с переменным фокусным расстоянием. Она рассчитана на использование совместно с камерами системы EOS, имеет пыле- и влагозащищенное исполнение. Объектив...