Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• IT risk management
• Security risk
• Quality assurance
• Data integrity
• Information security management

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: Unable to load dynamic library

Warning: dbmreplace

Warning: dbx_close

Warning: dbx_connect

Warning: dbx_query

“Warning: end has”

Warning: ereg

Warning: ereg_replace

Продовжуючи розпочату традицію, після попереднього відео про захоплення мережі через руткіти для роутерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаки через JavaScript ботнети. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owning Bad Guys {And Mafia} With Javascript Botnets

Торік на конференції DEFCON 20 відбувся виступ Chema Alonso. В своєму виступі він розповів про MITM атаки та про проведення атак на поганих хлопців через JavaScript ботнети. Коли з використанням JavaScript коду і XSS уразливостей створюються JS ботнети, які використовуються для атак.

Чема розповів про різні аспекти MITM атак та про використання для них JavaScript ботнетів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

В статті За двойной броней розповідається про двохфакторну аутентифікацію. Про переваги таких систем, про сервіс Duo Security, що надає послуги двохфакторної аутентифікації, та про захист різних сервісів за допомогою такої системи (веб сайти, RDP, SSH та будь-які веб сервіси).

В даній статті розглянуті наступні аспекти систем двохфакторної аутентифікації:

• Що пропонує Duo Security
• Що може бути другим фактором
• Проста реєстрація
• Захищаємо RDP
• Захищаємо SSH
• Додаткові налаштування
• Сервіси-аналоги

В наш час деякі компанії та популярні веб сайти додали підтримку двохфакторної аутентифікації на свої ресурси, зокрема відправлення OTP на мобільний телефон. Про що я писав у новинах.

Не кажучи вже, що такі е-комерс сайти як Приват24, LiqPAY та інші системи електронних платежів давно мають підтримку OTP (а деякі системи працюють виключно з використанням OTP). З використанням послуг Duo Security та подібних сервісів, усі бажаючи зможуть додати на свій веб сайт чи в інший сервіс підтримку двохфакторної аутентифікації.

В презентації Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques, Dave Asprey розповідає про шифрування в публічних хмарах. Про безпеку інформації при використанні публічних хмарних сервісів, зокрема про шифрування даних. Щоб у випадку взлому такого сервісу (а я неодноразово писав про такі інциденти), ваші дані були в безпеці.

В статті Включення бекдорів у веб додатки я розповів про основні шляхи потрапляння бекдору у веб додатки та навів приклади випадків впровадження бекдору у веб додатки та в відкриті операційні системи. Дана стаття є продовженням попередньої.

До раніше наведених веб додатків, в яких були виявленні бекдори, додам нові веб додатки, а також різні мережеві пристрої та серверні програми. В деяких випадках чорні ходи були додані розробниками, а в інших випадках бекдори були додані зловмисниками в код популярних веб додатків.

Випадки впровадження бекдору у веб додатках, мережевих пристроях та серверних програмах:

• В Telecom Italia Alice Pirelli routers
• В Alice Pirelli routers
• В Asante FM2008 10/100 Ethernet switch
• В Qnap storage devices
• В Hewlett-Packard Operations Manager Server
• В IBM Cognos Server
• В Xerox WorkCentre Printers
• В AlienTechnology ALR-9900
• В HP OpenView Performance Insight Server
• В принтерах Samsung і Dell
• В Social Media Widget для WordPress

В попередній статті я писав про розміщення бекдору в WordPress (що мав місце в 2007 році), а також писав про забекдорені плагіни для Joomla. І з останнього прикладу з плагіном Social Media Widget для WP видно, що зловмисники шукають різні способи поширення шкідливого коду. Якщо забекдорити сам движок не вдається, то бекдорять плагіни для нього. З моєї статті випливало, що в будь-який веб додаток можуть потрапити бекдори, і цей випадок з плагіном наявне цьому підтвердження.

Розглянемо інструменти для пошуку чорних ходів. Окрім пошуку бекдорів вручну (як найбільш надійний метод), також можна використовувати спеціальні програми. Про багато з таких програм я писав раніше.

Наступні веб додатки мають функціонал пошуку бекдорів:

• Антивірус в IPB (версії 2.1.7 і вище)
• Плагіни для WP: WordPress Exploit Scanner, Belavir, AntiVirus for WordPress, WordPress File Monitor, Wordfence
• Антивірус в DLE (версії 8.5 і вище)
• Антивірус в Bitrix Site Manager (версії 9.0 і вище)
• AI-Bolit

Також у грудні я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів.

Продовжуючи розпочату традицію, після попереднього відео про ботнети: захоплення та керування, пропоную нове відео на веб секюріті тематику. Цього разу відео про захоплення мережі через руткіти для роутерів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owning the Network: Adventures in Router Rootkits

Торік на конференції DEFCON 20 відбувся виступ Michael Coppola. В своєму виступі він розповів про атаки на роутері, про створення руткітів для них та встановлення їх в роутери для контролю над пристроями. Що може використовуватися для створення ботнетів з мережевих пристроїв - про такі випадки я писав неодноразово.

Майкл розповів про різні аспекти теми руткітів для роутерів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

Продовжуючи розпочату традицію, після попереднього відео про сліпі XSS, пропоную нове відео на веб секюріті тематику. Цього разу відео про ботнети: захоплення та керування. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Botnets Die Hard - Owned and Operated

Торік на конференції DEFCON 20 відбувся виступ Aditya K. Sood та Richard J. Enbody. В своєму виступі вони розповіли про ботнети. Про існуючі ботнети і сучасні напрямки розвитку ботнетів, про те як відбувається контроль на ними, як перехопити цей контроль у зловмисників, з метою захоплення та керування ботнетом (щоб повністю відключити його, як це роблять секюріті фахівці, що борються з ботнетами).

Вони розповіли про багато різних аспектів ботнетів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

Продовжу тему “Error” Гугл хакінга (”Error” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “еррор” пошукових запитів:

“execute failed”

“DBD::mysql::st execute failed”

“DBD::Pg::st execute failed”

“Software error: DBI”

“Software error: DBD”

“Unknown column”

“Unknown table”

“error in your SQL syntax”

“Syntax error”

“syntax error” “on line”

Продовжуючи тему технологій захисту від Cross-Site Scripting атак, після статей про HttpOnly та метод захисту з JavaScript, розповім про іншу технологію захисту від XSS атак. Яка передбачає використання заголовка X-XSS-Protection.

Заголовок X-XSS-Protection встановлюється на сервері до всіх веб сторінок, які треба захистити від XSS атак на стороні клієнта (тобто це клієнтська технологія, що вимагає підтримки браузером). Для цього веб додаток повинен у своїй відповіді вказати відповідний серверний заголовок:

X-XSS-Protection: 1; mode=block

Якщо вказати “1″, то браузер з підтримкою цього заголовка, включить захист від XSS на даній сторінці. Режим захисту може бути стандартний (фільтрація потенційного XSS коду), або блокування (що задається параметром mode=block).

Даний заголовок був розроблений Microsoft і вперше його підтримка була додана в Internet Explorer 8 в березні 2009. Пізніше Google додала його підтримку в свій браузер Chrome. В 2010 році була виявлена уразливість в XSS Filter в IE8, що дозволяла виконувати атаки на веб сторінки, що навіть не мали XSS уразливостей.

Особливості даної технології:

1. Використання заголовка захищає лише від reflected XSS.

2. Захист працює лише в браузерах, що підтримують заголовок. В цьому плані технологія схожа на HttpOnly (але HttpOnly підтримують набагато більше браузерів).

X-XSS-Protection підтримують наступні браузери:

Internet Explorer 8+
Google Chrome 8+ (спочатку в версії 4.0 була додана експериментальна функція “XSS Auditor”, але в версії 4.1 вона була відключена через виявлені уразливості й знову включена лише в версії 8.0).

Дана технологія захисту від XSS атак має свої достоїнства та недоліки. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.