- Роскомнадзор предупредил о полной блокировке... (1791)
- Астрономы обнаружили первую «убегающую»... (1786)
- Gigabyte выпустила GeForce RTX 5070 Ti... (1473)
- Сенсорные экраны в автомобилях значительно... (1731)
- Компания Unlimited Bio начнёт испытания... (1600)
- OpenAI получит 1,4 ГВт мощности для... (1978)
- «Новое дно для Battlefield»: фанаты... (1935)
- Дубай запустил беспилотные такси Uber в... (1728)
- Airbus переносит ключевые IT-системы в... (1985)
- США буквально отстали от мира — блэкаут в... (1839)
- Новый глава NASA сделал ставку на... (2163)
- Смартфоны Huawei nova 15, nova 15 Pro и nova... (1732)
- Предложен способ строить стартовые площадки... (1726)
- Не только для хардкорных игроков: хоррор... (1652)
- Несмотря на сопротивление Пекина, Nvidia... (1949)
- Хакеры украли 300 Тбайт музыки у Spotify —... (1629)
Рекурсивный акроним словосочетания «PHP: Hypertext Preprocessor»
Добро пожаловать на форум PHP программистов!
За последние 24 часа нас посетили 36057 программистов и 2280 роботов. Сейчас ищут 984 программиста ...
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Дата: 2015-02-06 10:44
На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.
Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».
Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.
Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:
Header always append X-Frame-Options SAMEORIGIN
Для nginx:
add_header X-Frame-Options SAMEORIGIN;
Для IIS:
... ...
При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).
КомментироватьПодробнее на iXBT
Предыдущие новости
iXBT, 2015-02-06 10:51
Команда проекта «Активный гражданин» отчиталась о результатах работы
Команда проекта «Активный гражданин» отчиталась о результатах работы
«Активный гражданин» - это проект для тех, кому важно, что происходит в Москве. Команда «Активного гражданина» опубликовала очередной отчет о работе проекта. В январе по итогам голосования в рамках акции «Миллион деревьев» было выбрано почти 600 дворов, которые озеленят уже этой весной. Список адресов-победителей размещен по этой ссылке. Жители этих домов также...
iXBT, 2015-02-06 10:52
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России появилось новое бесплатное мобильное приложение Appy Geek, которое предназначено для тех, кто интересуется новинками из мира науки и высоких технологий. Мобильное приложение Appy Geek изучает интересы своего владельца, создавая для него персональную подборку ежедневных новостей о высоких технологиях. Причем чем больше вы читаете, тем более точные...
iXBT, 2015-02-06 08:00
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Недавно компания Intel начала поставки процессоров Core пятого поколения, которые изготавливаются по нормам 14 нм. Процессоры под условным наименованием Broadwell являются «уменьшенными» до новых технологических норм процессорами Haswell. Процессоры Haswell, напомним, рассчитаны на выпуск по нормам 22 нм и известны на рынке как модели Core четвертого поколения. «Мы...
iXBT, 2015-02-06 10:30
Представлен объектив Canon EF 11-24mm f/4L USM
Представлен объектив Canon EF 11-24mm f/4L USM
Как и ожидалось, компания Canon представила объектив EF 11-24mm f/4L USM, предварительные сведения о котором появились некоторое время назад. Новинка относится к категории сверхширокоугольных полнокадровых объективов с переменным фокусным расстоянием. Она рассчитана на использование совместно с камерами системы EOS, имеет пыле- и влагозащищенное исполнение. Объектив...