security

Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Headers". За решение задачки дают 15 баллов, чуть посложнее начального уровня.

Linda McCarthy, Denise Weldon-Siviy

Бесплатная версию книги «Владей своим пространством — держи себя и свои вещи в безопасности в Интернете» от Microsoft в соавторстве с экспертом по безопасности Линдой Маккарти.

Специалисты из компании Eclypsium обнаружили уязвимость переполнения буфера в конфигурационном файле загрузчика GRUB2, который используется при загрузке Windows, Linux, MacOS. Кроме того под удар попали серверные системы, ядра и гипервизоры. Информация была опубликована 29 июля 2020 года, по согласованию с поставщиками операционных систем и производителями компьютеров. Уязвимость позволяет выполнить при загрузке произвольный код.

Немного информации для общего развития про два распространённых способа атаки на удалённые компьютеры.

С недавних пор браузер Google Chrome поставляется со встроенной утилитой безопасности Chrome Cleanup Tool на базе антивирусных технологий ESET, которая предназначена для удаления вредоносных программ с компьютеров Windows 10, 8.1 и 7. Chrome Cleanup работает в автоматическом режиме, он выполняет периодические проверки и удаляет потенциально нежелательные и вредоносные программы. При этом у меня на компе начинаются дикие тормоза.

В DNS сервере Windows обнаружена критическая уязвимость семнадцатилетней давности. Уязвимость получила 10 баллов из 10 возможных по шкале CVSSv3, это плохо, так как эксплуатация уязвимости не требует особого ума. Патчи уже есть, так что не откладываем обновление.

Компания Microsoft года разработала механизм на основе технологии контейнеризации под названием Песочница, или Windows Sandbox. Данный механизм позволяет запустить в изолированной среде легковесную виртуальную машину. Легковесность обеспечивается тем, что виртуальная машина создастся на лету из файлов вашей текущей ОС Windows.

В операционной системе Windows имеется встроенное средство для удаления вредоносных программ — Microsoft Windows Malicious Software Removal Tool (MSRT). MSRT выполняет регулярное сканирование компьютеров с Windows на наличие наиболее распространенных угроз, при этом не имеет значения, установлен у вас сторонний антивирус или нет.

Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Directory indexing". За решение задачки дают 15 баллов, чуть посложнее начального уровня.

Ранее я настраивал сертификат Let's Encrypt на IIS для нескольких своих доменов. Один из доменов мне больше не понадобится, удаляем Let's Encrypt SSL сертификат из IIS.