- Frore показала сверхтонкий жидкостный кулер... (1694)
- AMD не исключает возможность выпуска... (1721)
- Китай теряет столько же «зелёной» энергии,... (1816)
- Репортаж со стенда DeepCool на Computex... (1735)
- I*******m оповестил пользователей, которых... (1673)
- «Яндекс» применит концепцию кампусов ЦОД и... (1913)
- Авторитетный инсайдер считает, что большая... (1918)
- В Сахаре нашли осколок исчезнувшей... (2335)
- «Сбер» анонсировал НЕО — «первый в... (1987)
- Касперский анонсировал «российскую железку»... (1562)
- Pacific Fusion испытала прототип... (1830)
- Apple высмеяла Android-смартфоны за проблемы... (1856)
- Глава Take-Two Interactive Штраус Зельник... (1491)
- M**a вместо закрытия VR-приложения... (1731)
- Baidu выведет на биржу своего разработчика... (1776)
- Акции HPE взлетели более чем на 25 % после... (1663)
Рекурсивный акроним словосочетания «PHP: Hypertext Preprocessor»
Добро пожаловать на форум PHP программистов!
За последние 24 часа нас посетили 80312 программистов и 8801 робот. Сейчас ищут 1678 программистов ...
XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты
Дата: 2015-02-06 10:44
На этой неделе появилась информация о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте.
Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen».
Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по этому адресу. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы.
Чтобы защититься, необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так:
Header always append X-Frame-Options SAMEORIGIN
Для nginx:
add_header X-Frame-Options SAMEORIGIN;
Для IIS:
... ...
При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (настройки PT Application Firewall, указанные в качестве примера).
КомментироватьПодробнее на iXBT
Предыдущие новости
iXBT, 2015-02-06 10:51
Команда проекта «Активный гражданин» отчиталась о результатах работы
Команда проекта «Активный гражданин» отчиталась о результатах работы
«Активный гражданин» - это проект для тех, кому важно, что происходит в Москве. Команда «Активного гражданина» опубликовала очередной отчет о работе проекта. В январе по итогам голосования в рамках акции «Миллион деревьев» было выбрано почти 600 дворов, которые озеленят уже этой весной. Список адресов-победителей размещен по этой ссылке. Жители этих домов также...
iXBT, 2015-02-06 10:52
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России вышло новое мобильное приложение Appy Geek для тех, кто интересуется ИТ-индустрией
В России появилось новое бесплатное мобильное приложение Appy Geek, которое предназначено для тех, кто интересуется новинками из мира науки и высоких технологий. Мобильное приложение Appy Geek изучает интересы своего владельца, создавая для него персональную подборку ежедневных новостей о высоких технологиях. Причем чем больше вы читаете, тем более точные...
iXBT, 2015-02-06 08:00
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Intel рассчитывает в начале 2017 года выпустить 10-нанометровые микропроцессоры
Недавно компания Intel начала поставки процессоров Core пятого поколения, которые изготавливаются по нормам 14 нм. Процессоры под условным наименованием Broadwell являются «уменьшенными» до новых технологических норм процессорами Haswell. Процессоры Haswell, напомним, рассчитаны на выпуск по нормам 22 нм и известны на рынке как модели Core четвертого поколения. «Мы...
iXBT, 2015-02-06 10:30
Представлен объектив Canon EF 11-24mm f/4L USM
Представлен объектив Canon EF 11-24mm f/4L USM
Как и ожидалось, компания Canon представила объектив EF 11-24mm f/4L USM, предварительные сведения о котором появились некоторое время назад. Новинка относится к категории сверхширокоугольных полнокадровых объективов с переменным фокусным расстоянием. Она рассчитана на использование совместно с камерами системы EOS, имеет пыле- и влагозащищенное исполнение. Объектив...