Статьи
Атаки на веб через управление сессиями.
Атаки на веб через управление сессиями.
Атаки на веб-приложения через систему управления сессиями.
Еще одним уязвимым местом являются веб-приложения. Конечно, разработка корпоративных веб-порталов обычно поручается профессионалам - веб-программистам, но системный администратор и тем более специалист по ИБ должны иметь представление о существующих уязвимостях в веб-при ложениях. Кроме того, в небольших компаниях сисадмин зачастую занимается разработкой и поддержкой корпоративного портала. Так что приведенная далее информация будет полезна многим.
Веб-приложения.
Веб-приложения.
Веб-приложения в последние годы набирают все большую популярность. Множество различных систем управления, документооборота, электронной почты и другие системы используют веб. В связи с этим количество атак, связанных со взломом портальных решений, неизменно увеличивается. Помимо атак, связанных со взломом веб-серверов и их контента, существуют также атаки на базы данных, используемых при работе веб-порталов. Есть также и атаки, позволяющие выполнить произвольный код в браузере пользователя, просматривающего веб-страницу. Все эти атаки я рассмотрю в следующим постах.
Безопасность DNS.
Безопасность DNS.
Для предотвращения атак на отравление кеша DNS необходимо выполнить ряд действий, описанных в этом разделе. Многие атаки на кеш могут быть предотвращены на стороне DNS-серверов с помощью уменьшения степени доверия к информации, приходящей от других DNS-серверов, или даже игнорирования любых DNS-записей, не относящихся прямо к запросам. Так, к примеру, последние версии сервера DNS BIND выполняют такие проверки. Кроме того, использование случайных UDP-портов для выполнения DNS-запросов может существенно снизить вероятность успешной атаки на кеш. Однако не стоит забывать, что различное межсетевое оборудование (маршрутизаторы, файрволлы), через которые проходят запросы к DNS-серверам, выполняющее трансляцию адресов (NAT) или, более конкретно, трансляцию портов (PAT), часто подменяет порт, используемый для выполнения запросов, для отслеживания соединения. При этом устройства, выполняющие PAT, обычно используют свои алгоритмы нумерации исходящих портов, тем самым теряя случайность при выборе порта, созданную DNS-сервером.
DNS для злоумышленника.
DNS для злоумышленника.
Протокол DNS может быть не только целью злоумышленников, но и средством, с помощью которого вредонос, поселившийся в сети жертвы, может связываться с сервером управления. Представим следующую ситуацию. Сотрудник некоторой компании заразил свою рабочую машину, открыв документ, содержащий макросы, запускающие вредоносный код. В результате произошло заражение данного компьютера. Но как вредоносу теперь связаться со своим хозяином, для того чтобы сообщить данные о зараженной машине и получить команды для дальнейших действий? Очевидно, что инициировать соединение может только зараженная машина, так как снаружи сеть отделена межсетевым экраном и инициировать соединение из интернета во внутреннюю сеть не получится. В таком случае вредоносу нужно самому достучаться до сервера управления. И все бы ничего, но если бы у этого сервера было фиксированное доменное имя, то антивирусные компании давно бы его обнаружили и добились бы его блокировки. Поэтому доменное имя данного сервера постоянно меняется. Злоумышленники заранее генерируют и регистрируют большое количество различных бессмысленных доменных имен. Алгоритм генерации этих имен зашивается в код вредоноса, и в процессе своих попыток связаться с сервером он перебирает эти сгенерированные имена. Это называется Domain Generation Algorithm (DGA).
Атаки на DNS.
Атаки на DNS.
Отравление кеша DNS (атака Каминского).
Для реализации атаки злоумышленник может использовать уязвимость в программном обеспечении DNS. Если сервер не проверяет ответы DNS на корректность, чтобы убедиться в их авторитетном источнике (например, при помощи DNSSEC), он будет кешировать некорректные ответы локально и использовать их для ответов на запросы других пользователей, пославших такие же запросы.
Дополнения от 04.11.2025 к практике по отмене приговоров по уголовным делам в Верховном Суде Российской Федерации
Петухов Олег Анатольевич, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Кассационное определение Судебной коллегии по делам военнослужащих Верховного Суда Российской Федерации от 09.10.2025 N 225-Н25-2
Приговор: По ст. 58.1а УК РСФСР (за измену Родине путем перехода на сторону врага и контрреволюционную агитацию).
Дополнения от 04.11.2025 к практике по отмене приговоров по уголовным делам в Московском городском суде и Московском областном суде
Петухов Олег Анатольевич, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 20.10.2025 по делу N 10-18489/2025 (УИД 77RS0007-02-2025-005082-14)
Приговор: По ч. 2 ст. 213 УК РФ (хулиганство).
Определение: Приговор отменен, дело передано на новое рассмотрение.
Дополнения от 04.11.2025 к анализу судебной практики при причинении вреда жизни или здоровью в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 09.10.2025 N 33-46087/2025 (УИД 77RS0012-02-2025-003747-68)
Категория спора: Причинение вреда жизни и здоровью.
Требования потерпевшего: О взыскании компенсации морального вреда.
Дополнения от 04.11.2025 к анализу практики в области защиты персональных данных в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 16.09.2025 N 33-43612/2025 (УИД 77RS0021-02-2022-013743-13)
Категория спора: 1) Причинение морального вреда, защита чести, достоинства и деловой репутации; 2) Защита прав и интересов работника.
Протокол DNS.
Протокол DNS.
Служба DNS является одним из самых критичных компонентов сети Интернет, так как обеспечивает разрешение доменных имен сайтов. В случае отказа DNS доступ к ресурсам интернета станет практически невозможен. Кроме того, в случае подмены сайта посредством изменения записей DNS пользователи попадут на поддельный сайт или же трафик пойдет через маршрутизаторы, контролируемые злоумышленником. В частности, перенаправив запросы
Дополнения от 03.11.2025 к анализу судебной практики в области защиты прав потребителей в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 09.10.2025 N 33а-6934/2025 (УИД 77RS0019-02-2023-003677-69)
Категория: Споры с Роспотребнадзором.
Дополнения от 03.11.2025 к практике по делам о банкротстве в 14-м арбитражном апелляционном суде
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Постановление Четырнадцатого арбитражного апелляционного суда от 24.10.2025 N 14АП-3969/2025 по делу N А13-1625/2024
Требование: Об отмене определения о введении процедуры реструктуризации долгов гражданина, утверждении финансового управляющего, включении требований в реестр требований кредиторов должника.
Дополнения от 03.11.2025 к практике по делам о банкротстве в 13-м арбитражном апелляционном суде
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Постановление Тринадцатого арбитражного апелляционного суда от 24.10.2025 по делу N А21-13764/2022-14
Категория спора: Банкротство гражданина.
Дополнения от 03.11.2025 к практике по делам о банкротстве в 10-м арбитражном апелляционном суде
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Постановление Десятого арбитражного апелляционного суда от 24.10.2025 N 10АП-14930/2025 по делу N А41-71398/2024
Категория спора: Банкротство гражданина.
Дополнения от 03.11.2025 к практике по делам о банкротстве в 9-м арбитражном апелляционном суде
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Постановление Девятого арбитражного апелляционного суда от 23.10.2025 N 09АП-43011/2025 по делу N А40-35234/2024
Категория спора: Банкротство гражданина.
От курортного сбора к туристическому налогу: история вопроса и перспективы (часть 2)
В статье введение туристического налога рассматривается с точки зрения исторической востребованности и экономико-правовой целесообразности и перспективности использования курортного сбора в частности и неналоговых фискальных платежей в целом в целях финансового обеспечения местных бюджетов. Автор разделяет убежденность большинства исследователей в неизбежности отказа от курортного сбора в пользу туристического налога в силу бесперспективности использования в долгосрочной перспективе не предусмотренного законодательством Российской Федерации платежа с неопределенной правовой природой. Автор убежден, что легитимизация курортного сбора в качестве нецелевого косвенного налога имеет множество преимуществ, в том числе и высокую вероятность увеличения доходов местных бюджетов. Но при этом указывает, что проблема использования не предусмотренных законом платежей в фискальных целях не теряет своей актуальности, равно как и то, что в отрыве от комплекса мер и учета перспективных направлений развития сферы туризма введением туристического налога невозможно решить столь масштабную проблему развития курортно-туристической инфраструктуры.
Определение места открытия наследства по месту нахождения имущества (недвижимого и не только)
Правила о месте нахождения наследственного имущества предопределяют развитие широкого круга наследственных правоотношений. Особое значение они имеют при определении места открытия наследства. Однако действующее правовое регулирование не исключает возникновения проблемных ситуаций на практике. В статье предлагаются анализ отдельных таких проблем и возможные пути их решения. В качестве средств устранения проблем, помимо прочего, упоминаются аналогия закона и презумпции.
Регистрация незаконных сделок с недвижимым имуществом (ст. 170 УК Российской Федерации): актуальное толкование и пути совершенствования
Статья посвящена толкованию признаков преступления, предусмотренного ст. 170 УК РФ, с учетом значительного изменения законодательства, регулирующего отношения, связанные с государственной регистрацией недвижимости и определением ее кадастровой стоимости. Доказаны необоснованность толкования нормы в части регистрации заведомо незаконных сделок с недвижимым имуществом как незаконной регистрации перехода прав на него и неприменимость нормы в этой части, необоснованно широкое толкование понятия "искажение", не соответствующее законодательству толкование субъекта занижения кадастровой стоимости объектов недвижимости. Предложено интегрировать ст. 170 УК РФ (в части искажения сведений в ЕГРН) в ст. 285.3 УК РФ.
Участие родителей в сделках с недвижимостью несовершеннолетних
Сделки по отчуждению недвижимого имущества, принадлежащего несовершеннолетнему, подлежат нотариальному удостоверению. В связи с этим возникает вопрос о целесообразности получения согласия на сделку от обоих родителей. Автор приводит сложившуюся судебную практику по данному вопросу и формулирует вывод, что в интересах ребенка достаточным будет получение согласия на сделку одного родителя. Публичными гарантами интересов ребенка будут являться орган опеки и попечительства и нотариус. Второй родитель имеет право оспорить такую сделку в судебном порядке, доказав, что ее заключение противоречит интересам ребенка.
Уменьшение стоимости недвижимости и недостатки строительства
Покупка квартиры в новостройке - это, безусловно, волнительный и радостный момент. Однако, к сожалению, не всегда этот процесс проходит гладко. Нередко новоиспеченные владельцы сталкиваются с неприятным сюрпризом: строительными недостатками, которые портят впечатление от нового жилья и требуют дополнительных затрат на исправление. Ситуации, когда застройщик сдает квартиру с недостатками, происходят довольно часто. Что делать, если вы столкнулись с этой проблемой? Важно понимать, что у вас есть законные права, и их следует защищать. Прежде всего стоит помнить о проведении экспертизы, которая позволит зафиксировать все дефекты в квартире.
