تحلیل رفتار کاربر: مورد “اوبر”

طبق گزارش نیویورک تایمز، اوبر سالها برنامه ای اجرا کرده که طی آن، در مناطقی که فعالیت این سرویس دهنده ممنوع یا دارای محدودیت های قانونی بوده، مشتریانی که بالقوه می توانستند دردسرساز شوند را شناسایی کند.  به طور مشخص دولتی ها یا افرادی که مرتبط با نهادهای قانونی هستند جزو این مشتری ها هستند.… Continue reading “تحلیل رفتار کاربر: مورد “اوبر””

اشتراک گذاری

افشای اطلاعات محرمانه از طریق حمله Web Cache Deception

یک روش جدید سوء استفاده از سرویس Web Cache برای دستیابی به اطلاعات محرمانه ای که به طور معمول قرار نیست Cache شوند، توسط Omer Gil معرفی شده و با استقبال زیادی هم مواجه شده. این روش خلاقانه مستلزم این است که نفوذگر و قربانی از یک سرویس Cache یکسان استفاده کنند و قربانی لینک… Continue reading “افشای اطلاعات محرمانه از طریق حمله Web Cache Deception”

اشتراک گذاری

حواشی آسیب پذیری CloudBleed

Troy Hunt در وبلاگش به بررسی میزان ریسک عملی آسیب پذیری CloudBleed که چند روز قبل توسط Tavis Ormandy گزارش شد، پرداخته و نتیجه گرفته که درصد بسیار ناچیزی از مشتری ها تحت تأثیر قرار گرفتن، زمان موثر سوء استفاده از آسیب پذیری (بر فرض اینکه نفوذگری از موضوع اطلاع داشته) کوتاه بوده و بسیاری… Continue reading “حواشی آسیب پذیری CloudBleed”

اشتراک گذاری

CloudBleed: باگی ساده با عواقب پیچیده

Cloudflare به عنوان یکی از مشهورترین شرکت های پیشرو در ارائه دهنده زیرساخت CDN که وظیفه محافظت و بهبود کارآیی بیش از 5.5 میلیون سایت را بر عهده دارد، گرفتار باگی ساده اما بسیار پرهزینه شده که به عنوان Cloudbleed معروف شده است. این باگ که ناشی از اشتباه برنامه نویسی در چک کردن سایز… Continue reading “CloudBleed: باگی ساده با عواقب پیچیده”

اشتراک گذاری

مدیریت لاگ و مرکز عملیات امنیت (4)

در ادامه یادداشت های قبلی، لازمه به اهمیت وجود لاگ مناسب در برنامه های کاربردی اشاره کنیم. یکی از نقاطی که بیشترین چالش رو برای جمع آوری لاگ ارزشمند خواهید داشت، برنامه های کاربردی هستند. برنامه های کاربردی معمولاً ضعیف ترین و نحیف ترین لاگ ها رو از نظر کیفیت و معنا در اختیار شما… Continue reading “مدیریت لاگ و مرکز عملیات امنیت (4)”

اشتراک گذاری

گزارش سمینار امنیت در تراکنش های بین المللی (رویداد ITE 2016)

همانطور که قبلاً در یادداشتهایی اشاره کرده بودم(1و2)، سمینار امنیت به عنوان یکی از سمینارهای رویداد تراکنش (ITE 2016) در آبان 95 برگزار شد. فایل های مربوط به این سمینار که در ماهنامه بانکداری الکترونیک چاپ شده، شامل گفتگو با من و مهندس بخشایش (دبیران سمینار)، گزارش سخنرانی های انجام شده، گزارش میزگرد تخصصی و… Continue reading “گزارش سمینار امنیت در تراکنش های بین المللی (رویداد ITE 2016)”

اشتراک گذاری