Материалы по тегу: javascript

13.07.2019 [00:26], Владимир Мироненко

Хакеры Magecart скомпрометировали более 17 000 сайтов благодаря неправильно настроенным хранилищам AWS S3

Группа авторов Magecart сменила тактику, перейдя от целенаправленных атак против тщательно отобранных целей к подходу «spray-and-pray» (на кого Бог пошлёт), взламывая всё, что попадёт под руку в надежде на то, что их вредоносный код осядет в каком-нибудь интернет-магазине. Magecart, напомним, ворует данные банковских карт, которые пользователи вводят на страницах оплаты в различных онлайн-сервисах. 

Согласно докладу, опубликованному компанией по кибербезопасности RiskIQ, новая тактика приносит свои плоды: за последние несколько месяцев, начиная с апреля, хакерам Magecart удалось внедрить вредоносный код на более чем 17 000 доменов, часть из которых входит в список Alexa Top 2000.

Для этого хакеры находили неправильно настроенные хранилища AWS S3 с открытым доступом на чтение и запись. Затем они запускали сканирование для выявления любых файлов JavaScript и при нахождении таковых внедряли в них код Magecart.

Хакеры Magecart «забрасывали» широкую сеть, меняя код множества сайтов, у многих из которых вообще нет функции электронной коммерции, в надежде найти достаточно ресурсов с поддержкой обработки платежей с использованием кредитных карт.

Среди жертв оказались компании Picreel, Alpaca Forms, AppLixir, RYVIU, OmniKick, eGain и AdMaxim, которые предоставляют услуги другим веб-сайтам. Поэтому после взлома нескольких файлов JavaScript злоумышленникам удалось распространить вредоносный код на тысячи других сайтов. Этот вредоносный код эффективен в поиске данных платёжных карт, включая имя владельца, номер карты, срок действия и код CVV.

Исследователи предупреждают, что группа злоумышленников Magecart продолжает постоянно сканировать Интернет на предмет неверно настроенных хранилищ Amazon S3, не имеющих надлежащей защиты с помощью пароля и аутентификации.

Постоянный URL: http://servernews.ru/990679
16.03.2011 [16:01], Георгий Орлов

Intel соединила облако и аппаратное обеспечение клиента

Intel разработала технологию, предназначенную для того, чтобы позволить облачным веб-приложениям определять аппаратные возможности клиентских компьютеров, что в итоге облегчит жизнь конечным пользователям. Все сильнее видоизменяющийся набор устройств — от планшетов и смартфонов до high-end ПК — больше и больше усложняет работу создателям веб-приложений и сайтов — крупным порталам типа Facebook и сервисов электронной почты. Проще говоря, сейчас существует настолько много устройств с различными платформами и широко варьирующимися возможностями, что веб-приложения используют  свой потенциал от силы лишь наполовину. Intel создала набор программных интерфейсов, позволяющий веб-разработчикам добавить в их сайты и приложения простой JavaScript, позволяющий осуществлять доступ к информации о процессоре, разрешении экрана, пропускной способности сети и прочей информации о технических возможностях клиентской стороны.

 

Intel Inside

 

К примеру, если эту технологию внедрить на YouTube, то она позволит сайту определять низкую пропускную способность клиента или факт использования им нетбука, что приведет к автоматическому переключению к режиму показа видео с низким разрешением. Причём процесс протекает незаметно для пользователя. Более мощным устройствам веб-приложение или веб-сайт могут показывать наилучший контент, основанный на аппаратных возможностях пользовательского устройства. В то же время устройствам с небольшими возможностями может быть доступен упрощенный интерфейс. Intel работает над отраслевой стандартизацией, чтобы позволить другим производителям процессоров пользоваться этой технологией. Эта технология пока не имеет официального названия и является лишь немного большим, чем простой демонстрацией принципиальной возможности. Путь к ее успеху лежит через всеобщее признание, а также через сотрудничество Intel с другими производителями чипов, такими, как AMD и ARM.

Источник:

Постоянный URL: http://servernews.ru/594351
Система Orphus