Upload
yuriy-titkov
View
748
Download
1
Embed Size (px)
Citation preview
Онлайн безопасность - фактор #1 в SEO
Юрий Титков
Директор по развитию
«Ольшанский и Партнеры»
Кто кого не любит в мире?
Следите за войной вместе со мной:
http://map.ipviking.com/
Война начинается вот так …
И продолжается …
продолжается ВСЕГДА …
Но сегодня о другом!
5 из 10 онлайн магазинов в RUnet уязвимы!
7 из 10 онлайн магазинов в US уязвимы!
Google это НЕ нравится …
Сначала он решил предупредить …
Всех!
20 апреля будет параллельный update…
забудьте о мобильной выдаче…
займитесь БЕЗОПАСНОСТЬЮ!
а теперь о хорошем
пока они решают вопросы безопасности …
XSS уязвимость
XSS уязвимость
XSS уязвимость
XSS:инструкция
Чтобы стать чуть круче нам понадобится:
1. Simple REST Client для преобразование get/post запросов: http://goo.gl/W2Qt922. Список балбесов. Используйте Google inurl:search.php и различные вариации на
тему. 3. Генерируем sitemap.xml со всеми созданными нами URL4. Добавляем sitemap.xml в webmaster tools к любому ненужному сайту. Либо в
любое другое удобное место для индексации …
Для легкости поиска XSS скрипт автопосика на GitHub: http://goo.gl/chYktL
Насколько все плохо?
Вот на столько хорошо:
и это цветочки …
мой любимый wmmail.ru …
DDOS: проще не бывает
<script>For (var i = 0; i < 300; i++) {
var img = new image();var url = ‘ftp://localhost:80/?’ + i;img.src = url;
}</script>
маленький скрипт, а какие большие проблемы…
DDOS: проще не бывает
Стоимость 1к трафика на wmmail.ru = $0.08
1 000 000 000 запросов = $80!
Как с этим бороться???Да никак оставайтесь в Ж
Трафик есть нужна фантазия
IMG SRC vulnerability:
<img src=“http://torrent/D1C16B1E2330.torrent”><img src=“http://www.google.com/search?q=SEMPRO+conf”>
<img src=“http://domain.URL/vote?id=4”>
Likejacking!
Likejacking: 1mln трафа
Что для этого надо?
1. Скрипт: http://goo.gl/h1t6Ql2. Какое-то крутое видео с котиками или сиськами.3. И крутая картинка для Facebook share с веселым текстом типа “Не ожидал
видеть себя в ЭТОМ видео! )))))”
Likejacking: на выходе!
вот только что с ним делать?
SSL?? Никогда!!
Но …
Спасибо Google !!!
Be aware of Poodle!!
SSL 3.0 стал роковым шагом в глобальном масштабе!
Solution: http://goo.gl/qYvmRX
Спроси Google…он знает все
Спроси Google
Google любит индексировать все что попадается под руки.
Примеры о чем спрашивать:1. site:slivmail.com filetype:xls2. Поиск по “index of /”
Спроси Googlesite:slivmail.com filetype:xls
Спроси GoogleПоиск по “index of /”
1
Безопасность начинается с вас!
1. Социальные сети дают возможность найти сотрудников компании.2. Познакомиться. 3. Нажать кнопку Restore Password (лучше это делать ночью )4. Узнать ответ на Secret Questions (помните фильм Иллюзия Обмана? )5. Посмотреть какие сервисы подвязаны под Facebook account. Зайти туда …6. Продолжить свой путь до личной почты.7. Через личную почту мы попадаем на корпоративную. Потом на
внутренние интерфейсы.8. …9. …
Поверьте не надо быть хакером, чтобы получить доступ в систему. Надо уметь общаться с людьми.
Мы сами хотим рассказать свои секреты…
come to the Dark Side!
Успехов вам,и вашему бизнесу!
Юрий Титков
Директор по развитию
«Ольшанский и Партнеры»
Информация о компании, услугах и технологияхwww.olshansky.ua