20:23 18.04.2012
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
- http://vinsta.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://zarrada.org (хакером SouTHRaNDA) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://tpark.rv.ua (хакером SouTHRaNDA) - 11.02.2012, зараз сайт вже виправлений адмінами
- http://www.kostopil.rv.ua (хакером SouTHRaNDA) - 11.02.2012, зараз сайт вже виправлений адмінами
- http://sumka.te.ua (хакером iskorpitx) - 18.05.2011, зараз сайт вже виправлений адмінами
Опубліковано в Новини сайту, Дослідження | Без Коментарів »
17:01 18.04.2012
В даній добірці уразливості в веб додатках:
- Apache CXF does not validate UsernameToken policies correctly (деталі)
- SQL Injection Vulnerability in Batavi 1.1.2 (деталі)
- eFronts Community++ v3.6.10 - Cross Site Vulnerability (деталі)
- Cyberoam Central Console v2.00.2 - File Include Vulnerability (деталі)
- Multiple vulnerabilities in ZENphoto (деталі)
- Multiple Vulnerabilities in Cisco Unity Connection (деталі)
- sqlinjection bug in nova cms (деталі)
- eFront Community++ v3.6.10 - SQL Injection Vulnerability (деталі)
- ME Monitoring Manager v9.x; v10.x - Multiple Vulnerabilities (деталі)
- Multiple vulnerabilities in 11in1 (деталі)
Опубліковано в Уразливості | Без Коментарів »
23:59 17.04.2012
В документі Verifed by Visa and MasterCard SecureCode: or, How Not to Design Authentication розповідається про протокол 3-D Secure (3DS) і такі реалізації даного протоколу як Verifed by Visa та MasterCard SecureCode. Та про ризики безпеки, що існують при їх використанні власниками пластикових карток.
В своїй статті Справжня безпека сайтів із секюріті логотипами я вже писав при діряві сайти з логотипами VbV та MCSC, про підміну даними логотипами необхідності відповідати стандарту PCI DSS (та проводити відповідні аудити) та ігнорування проблем безпеки на цих сайтах. В даному ж документі, автори Steven J. Murdoch і Ross Anderson зосередилися на недоліках протоколу 3DS та шляхах його покращення.
В статті розглянуті наступні проблеми 3DS, зокрема таких систем як Verifed by Visa та MasterCard SecureCode:
1. Статистика шахрайства з платіжними картами.
2. Слабкості безпеки.
3. Шляхи покращення безпеки.
Системи, що базуються на протоколі 3DS мають багато недоліків (автори наводять сім основних проблем), що впливають на безпеку транзакцій, зокрема card-not-present (таких як транзакції через Інтернет). Тому для кращої продидії шахрайству з платіжними картами потрібно покращувати дані системи.
Опубліковано в Статті | Без Коментарів »
22:42 17.04.2012
Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2011 рік.
На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.
- Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
- Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
- Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 2,1 рази.
- Розробники браузерів почали більш активно впроваджувати секюріті механізми в свої продукти.
- Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2010 я виявив 264 інфікованих сайтів, а в 2011 вже 233 сайти (зменшення динаміки у 1,1 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
- Збільшилися атаки на соціальні мережі, в тому числі на Facebook та WordPress.com.
- Зросла хакерська активність (але в Уанеті вона дещо впала порівняно з 2010 роком, зокрема в Уанеті спад на 8%, але ще не всі дані мною оброблені).
Як видно всі мої попередні прогнози переважно збулися 
.
А тепер мій прогноз розвитку галузі веб безпеки в 2012 році.
- Уразливості XSS будуть поширюватися й надалі.
- Збільшиться кількість атак на державні сайти України.
- Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
- Збільшиться кількість DDoS-атак в Уанеті, в тому числі на державні сайти.
- Зростання кількості заражених вірусами веб сторінок буде більш активним.
- Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
- Продовжиться подальше зростання хакерської активності.
Опубліковано в Новини сайту, Дослідження | Без Коментарів »
20:18 17.04.2012
Виявлена помилка форматного рядка в Perl модулі DBD::Pg.
Уразливі версії: DBD::Pg 2.19.
Помилка форматного рядка при розборі відповіді сервера.
- libdbd-pg-perl security update (деталі)
Опубліковано в Новини, Помилки | Без Коментарів »
17:09 17.04.2012
В даній добірці уразливості в веб додатках:
- Denial of Service in libxslt, as used in Google Chrome before 17.0.963.46 (деталі)
- Multiple vulnerabilities in OSclass (деталі)
- Mibew messenger multiple XSS (деталі)
- Multiple vulnerabilities in postfixadmin (деталі)
- Multiple vulnerabilities in OSClass (деталі)
- Out-of-bounds read in libxslt (деталі)
- Security advisory for Bugzilla 4.2rc2, 4.0.4, 3.6.8 and 3.4.14 (деталі)
- Multiple vulnerabilities in OpenEMR (деталі)
- XSS phpLDAPadmin: 1.2.0.5 (Debian package) and 1.2.2 (sourceforge) (деталі)
- SimpleGroupware 0.742 Cross-Site-Scripting vulnerability (деталі)
Опубліковано в Уразливості | Без Коментарів »
22:43 16.04.2012
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
- http://chasy.com.ua - інфекція була виявлена 16.04.2012. Зараз сайт не входить до переліку підозрілих.
- http://turizm-ua.in - інфекція була виявлена 01.04.2012. Зараз сайт входить до переліку підозрілих.
- http://shops-in.net - інфекція була виявлена 12.04.2012. Зараз сайт не входить до переліку підозрілих.
- http://chatel.kharkov.com - інфекція була виявлена 16.04.2012. Зараз сайт входить до переліку підозрілих.
- http://kvakva.org.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.
Опубліковано в Новини сайту, Дослідження | Без Коментарів »
20:24 16.04.2012
Виявлена помилка форматного рядка в Perl модулі YAML::LibYAML.
Уразливі версії: YAML::LibYAML 0.33.
Декілька уразливостей форматного рядка (Format String Attack).
- libyaml-libyaml-perl security update (деталі)
Опубліковано в Новини, Помилки | Без Коментарів »
17:10 16.04.2012
В даній добірці уразливості в веб додатках:
- RSA SecurID Software Token Converter buffer overflow vulnerability (деталі)
- Kloxo LxCenter Server CP v6.1.10 - Multiple Web Vulnerabilities (деталі)
- CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
- File Inclusion vulnerability in GLPI (деталі)
- Multiple Vulnerabilities in ELBA5 (деталі)
- Vulnerability in libxml2 (деталі)
- SolarWinds Storage Manager Server SQL Injection Authentication Bypass (деталі)
- Bart’s CMS - SQL Injection Vulnerability (деталі)
- SQL injection in Bigware shop software (деталі)
- CSRF (Cross-Site Request Forgery) in DClassifieds (деталі)
Опубліковано в Уразливості | Без Коментарів »
22:41 14.04.2012
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):
Опубліковано в Статті | Без Коментарів »
