Уразливість в Переходи для DataLife Engine
19:12 23.04.201011.02.2010
У червні, 29.06.2009, я знайшов Cross-Site Scripting уразливість в модулі Переходи для DataLife Engine (DLE). Уразливість виявив на сайті http://kinozalka.com, що використовує даний модуль для движка DLE. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливість в Tagcloud для DLE.
Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.
23.04.2010
XSS:
Це persistent XSS уразливість. Що дозволяє провести атаку через заголовок Referer, у випадку коли на сайті виводяться лінки на безпосередні запити в пошукових системах.
Referer: http://www.google.com/search?q=xss"><script>alert(document.cookie)</script>
Уразливі Переходы v.6.9 та попередні версії.
П'ятниця, 23:07 23.04.2010
Цікаво скільки часу ти тратиш на це все, щоб дізнатись про всякі там вразливості і тому подібне. Я інколи не встигаю всі свої RSS підписки перечитати, а тут по пару публікацій в день чуть не появляється….
П.С. Тиб ще робив подкасти і там показував на реальних прикладах, тобі тоді ціни не було б….
Неділя, 23:55 25.04.2010
my3uka
Щодня витрачаю багато часу. І за більше п’яти років, що я займаюсь web security, я витратив на це дуже багато часу - і з кожним роком я все більше часу щоденно витрачаю на це. Але переважно все це насмарку, як я вже раніше зазначав в своїх постах і коментах, бо майже ніхто (особливо в Уанеті) не дослухається до моїх порад і звернень. І майже всі продовжують ігнорувати безпеку власних сайтів та веб додатків.
Це є таку задачу перед собою ставлю - норматив на кількість постів на добу - і виконую її (я завжди виконую задачі, які собі ставлю). Ще в 2006 році, як мій сайт розпочав роботу, я йшов від невеликої кількості постів до 4 постів на добу. В 2007 я поставив норматив 5 постів на добу. А в 2008, коли вже не мав достатньо часу на це, поставив норматив 4 пости на добу - і тримаю його по сьогодні.
Ну мені й так ціни немає
. Як і тобі, і всім людям - бо всі люди безцінні. З іншої сторони, в наш час як один з варіантів оцінки “ціни” людини використовується вартість її часу (тобто скільки людина за годину заробляє - $/годину). І відповідно чим більше у людини зарплата, тим дорожчий її час.
Стосовно ж реальних прикладів, то я часто розглядяю і питання захисту, і питання виявлення уразливостей і атак на сайти на реальних прикладах. Це я роблю в Посібнику з безпеки, в своїх статтях та дослідженнях (в тому числі в публікуємих відеороликах). А в грудні 2009 року вийшов один подкаст з моєю участю
.
Понеділок, 21:17 26.04.2010
слухай я вже якось тебе питав раніше на форумі хакюа…але ти відписав, що мало там часу проводиш. Отже у мене назріла ідея (вона назріла давно, ще коли прочитав твою статтю на ай.уа - про хакерство, захист і тому побідне) я так би мовити нуб в веб програмуванні. За весь час роботи з сайтами я вивчив ХТМЛ навіть був в маленькому редакторі, сидячи в себе на старій роботі де не було до недавно інтернету написав свій сайтик повністю на ХТМЛ (це не в цілях реклами просто так, щоб ти глянув http://my3uka.freetzi.com) от до РНР скільки невізьмусь. щось руки нескладаються, чи то лінь перемагає, чи то просто нема кому мене хоть трішки навчити. На даному етапі життя хочу поміняти свою роботу - яка приносить мені в місяць 785 грн (так це правда). Живу в маленькому містечку до 10 тис населення. Про що я веду.
.
Роботу я хочу поміняти на роботу з веб порграмування оскілки бачу як активно розвиваєть інтернет. можливості які він дає і хочу бути в цьому розвитку не втратити свій шанс. Освіта в мене бухгалтера-економіста, що трохи не відповідає веб-програмісту. Так хватить вже про мене
Тепер питання до тебе чи хотів би ти зробити які уроки в себе і чому навчити, мається на увазі дати старт. Зібрати якусь свою команду якаб плідно працювала разом і приносила на початку хоть невелекий але якийсь прибуток. Поки я похвалитись не маю чим сам поставив 2 блоги на друпалі і 1 форум пхпбб. Ніби загальне поняття в РНР маю, але читати якусь електронну літературу шось не дуже мене цікавить оскільки там трохи складно написано - щоб ти порекомендував? Я закачав уроки Попова про створення сайта за допомогою РНР і мускула, але там він розказує як програміст і думає, що люди які будуть його слухати зразу в’їдуть в суть, але це не так. Витись маю бажання бо життя за 785 грн це виживання.
П.С. так багато написав незнаю чи ти шось зрозумієш
. Ну це моя така пропозиція, ти подумай
. Я готовий працювати разом…. тільки от нема кому на правильний шлях поставити
Четвер, 08:08 29.04.2010
який зараз найнадійніший CMS зараз. В основному я користуюсь друпалом, жумлою, ВП, php-fusion?
П'ятниця, 23:48 30.04.2010
my3uka
Не хвилюйся, на всі твої повідомлення я відповім.
На дану тему я вже писав в 2007 році в записі Найбільш безпечний движок для сайта. І як я неодноразово зазначав всім тим, хто мене питає про безпечні движки - найбільш надійний движок той, який безпечний. Тобто у якого проведений аудит безпеки. Так що з любого движка можна зробити безпечний, головне провести його аудит і виправити всі знайдені дірки.
Стосовно вказаних тобою движків, то у всіх них я знаходив дірки, про що писав в новинах, як і про чисельні дірки в даних движках (і плагінах до них), знайдених іншими секюріті дослідниками. Тому з будь-якою з цих CMS (як і з будь-якою іншою CMS) потрібно слідкувати за безпекою - і знаходити і виправляти всі наявні дірки в CMS і плагінах до неї, що викорустовуєш на власному сайті.
Неділя, 23:23 26.12.2010
my3uka
Стосовно безпеки движків я вже написав тобі раніше, а зараз відповім щодо іншого питання.
На i.ua я статей не писав. Вони могли з інших сайтів чи журналів взяти (де я публікував свої статті), але безпосередньо для їхнього сайта я статей не писав.
Що ж, успіхів тобі у цьому. Це напрямок перспективний (головне про безпеку не забувати, як це робить 99% веб розробників). Так що до твоїх знань html додай ще знання з веб програмування (вивчи будь-яку мову призначену для цього, наприклад, PHP - найбільш популярну мову в веб програмуванні) і починай працювати.
Я не займаюся навчанням людей програмуванню. Ні веб, ні класичному (в тому числі я відмовився під пропозицій мого університета і КПІ викладати програмування в цих навчальних закладах). В себе на сайті я навчаю людей веб безпеці, і окрім моїх постів я також розробив Посібник з безпеки та Онлайн тестування.
Цього робити не планую, як я відповідаю всім, хто про це питає (ні для проектів з веб програмування, ні з веб безпеки). Власних комерційних проектів в мене більш ніж вистачає - в яких я працює сам. Тому ти також можеш створити власні комерційні проекти і працювати в них.