Websecurity - Веб безпека

За повідомленням www.xakep.ru, новий закон Євросоюзу змусить повідомляти про взлом протягом 24 годин.

Можливо, новин про взломи і витоки інформації в майбутньому стане набагато більше. Європейський Союз готує новий законопроект про захист приватних даних, відповідно до якого кожна компанія буде зобов’язана протягом 24 годин після взлому повідомити інформацію про витік даних постраждалим громадянам і компетентним органам Євросоюзу. У випадку приховання інформації компанія буде піддана адміністративному покаранню і штрафам, після розгляду справи у відповідному комітеті ЄС.

Цікава ідея ЄС, такий собі full disclosure, щоб стимулювати компанії не приховувати випадки взломів . Бажано, щоб вони зробили новий закон всеохоплючим, для того щоб він охоплював як взломи локальних мереж, так і веб сайтів, що належать як юридичним особам, так і фізичним особам. І після того як вони його приймуть, з часом ця практика дійде до України.

За повідомленням www.xakep.ru, статистика по фроду в 2011 році: кардери зняли $3,4 млрд. у магазинах США.

Процесінгова компанія CyberSource (підрозділ корпорації Visa) опублікувала звіт 2012 Online Fraud Report зі статистикою по кардерским операціях в Інтернеті. На перший погляд, кардерство йде на спад: частка фродових транзакцій в Інтернеті впала з 0,9% у 2010 році до 0,6% у 2011 році, тобто до мінімального рівня за останні 13 років, протягом яких проводилися виміри.

Однак, фродові транзакції по розміру виявилися більше звичайних, і тому частка шахрайства в загальному обороті інтернет-торгівлі в порівнянні з минулим роком виросла до 1,0%, хоча в цілому вона поступово знижується вже багато років.

За повідомленням www.xakep.ru, DreamHost взломаний, всіх просять поміняти паролі.

Черговою жертвою хакерів став великий американський хостінг-провайдер DreamHost. У корпоративному блозі опубліковане повідомлення про виявлення несанкціонованого доступу до бази даних хешей паролів FTP/Shell. При цьому компанія підкреслює, що в неї немає прямих доказів крадіжки користувацьких паролів, але компанія все-таки зробила примусове скидання паролів для всіх аккаунтів FTP/Shell.

Процедура скидання паролів почалася в суботу, 20 січня. На хостінгу DreamHost розміщується близько 1,22 млн. доменів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Hacking
• Penetration test
• Physical security
• Ring (computer security)
• Security engineering

05.06.2009

У вересні, 21.09.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://intv-inter.net. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на intv-inter.net.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.01.2012

Insufficient Anti-automation:

Вразлива капча на сторінках сайта (http://intv-inter.net/tv/channel/intv/).

XSS (IE):

http://intv-inter.net/login/?redirect='style=xss:expression(alert(document.cookie))%20

Дані уразливості вже виправлені шляхом заміни движка сайта. Змінили один дірявий движок на інший дірявий (про уразливості в DLE я вже писав неодноразово).

Торік я писав про декілька фішинг атак на клієнтів ПриватБанку - на користувачів Приват24. Одна атака вібдулася у березні (09.03.2011), а друга - у квітні (на протязі 14-16.04.2011). І вже на початку січня, 09.01.2012, про що я згадав у коментарях, розпочалася нова фішинг атака на Приват 24. Явно приурочена до новорічних свят .

При цьому зазначу, що сам я не є клієнтом ПриватБанка і не користуюся Приват24, але фішинг листи все ж таки отримав (що в минулому, що в цьому році). Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я працював з цією системою. При цьому лист вислали з кривим кодуванням - в більшості випадків фішинга на ПБ я зустрічав неякісне створення листів для фішинг-розсилки.

Підроблений сайт (фішерський) знаходиться в папці на одному сайті, з дуже схожим доменом (http://www.privat24-ua.com/logins/). При цьому домен був зареєстрований як раз 09.01.2012, тому атаку фішери розпочали одразу після реєстрації домена. Домен зареєстрований на рік - вони явно планують на протязі року проводити атаки. Зараз хостер прикрив цей сайт, але можна очікувати його розміщення на іншому хостингу.

Так вже фішери полюбляють проводити атаки на клієнтів ПриватБанку . Це може бути пов’язано як з популярністю онлайн-банкінга Приват24, так і з впевненістю фішерів в успішності атаки (що може базуватися на існуючому досвіді - може вже траплялися їм довірливі користувачі П24).

Виявлені уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Можливе впровадження коду через eval у конструкторі в модулі Digest. Однобайтове переповнення буфера в decode_xs.

• Vulnerabilities in Perl (деталі)

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття. В січневому номері журналу PenTest Extra 01/2012, що вийшов 15.01.2012, опублікована стаття “Business Logic vulnerabilities via CSRF” (на англійській мові).

В ній розповідається про Business Logic уразливості, атака на які проводиться через CSRF. Дані уразливості дозволяють викрадати гроші з рахунків користувачів на сайтах банків, електронних платіжних систем та інших е-комерс сайтів. Такі уразливості я неодноразово знаходив та писав про них в новинах.

Це нова редакція статті Business Logic уразливості через CSRF (перероблена та доповнена), що я опублікував в грудні 2010 року. В даній статті наводиться багато нового матеріалу порівняно з першою редакцією, зокрема новодяться сценарії атак на Business Logic уразливості та експлоти для них. Описуються однокрокові та багатокрокові атаки, зазначається необхідність таймінгу при багатокрокових атаках та наводяться приклади реальних уразливостей на е-комерс сайтах з відповідними експлоітами.

А також в даній статті я вперше анонсував свій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. На якому були зроблені всі приклади експлоітів для статті.

В себе на сайті я виклав тізер журналу, в якому наводиться повний текст моєї статті. Так що можете почитати її .

Настав новий 2012 рік. І до своїх новорічних побажань, я також додам пропозицію подивитися мою святкову листівку на флеші .

Серед сюрпризів, що я приготовував в новому році та вже розмістив на сайті, є наступні. Другого січня я додав на сайт мій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. Він стане в нагоді при проведенні секюріті досліджень та аудитів безпеки. Який став хорошим доповненням до таких моїх онлайн секюріті інструментів як Генератор XSS та SQL Injection ASCII Encoder та інших секюріті програм.

А в розділі Статті та доповіді на минулому тижні я розмістив тізер журналу PenTest Extra 01/2012, в якому опублікована моя нова стаття Business Logic vulnerabilities via CSRF. В якій я вперше анонсував свій новий інструмент Генератор CSRF, на якому були зроблені всі приклади експлоітів для статті.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Siemens Automation License Manager (деталі)
• Avant-Garde Technologies (display-section.php?id) Remote SQL injection Vulnerability (деталі)
• Liberating IT (picture.php?gid) Remote SQL injection Vulnerability (деталі)
• Vulnerabilities in Siemens SIMATIC WinCC flexible 2008 SP2 (деталі)
• Amigot Corp (story.php?id) Remote SQL injection Vulnerability (деталі)
• Vulnerabilities in Serv-U 11.1.0.3 (деталі)
• 6House Design (product_details.php?id) Remote SQL injection Vulnerability (деталі)
• Webdesigns-studio (sysMsg.php?errMsg) Cross Site Scripting Vulnerabilities (деталі)
• Mybb Change Password Vulnerability (деталі)
• Advanced Login <= 0.7 (root) Remote File Inclusion Vulnerability (деталі)

Вже наближається 2012 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати композицію Sense Of Beat (Energy Mix) з мого нового сінгла.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Skysa App Bar, 1 jquery photo gallery slideshow flash та Flash album gallery. Для котрих з’явилися експлоіти. Skysa App Bar - це плагін для розширення сайту за рахунок розміщення веб додатків на панелі, 1 jquery photo gallery slideshow flash - це плагін для створення фотогалереї, Flash album gallery - це також плагін для створення фотогалереї.

• Wordpress skysa-official plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress 1-jquery-photo-gallery-slideshow-flash plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress flash-album-gallery plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.