Websecurity - Веб безпека

В статті Writing Secure WP Plugins David Kierznowski розповідає про правильні підходи до написання плагінів для WordPress. Про те, як написати безпечний плагін для WP.

В статті наводяться рекомендації по використанню наступних секюріті механізмів:

• attribute_escape - для захисту від XSS уразливостей.
• wp_nonce - для захисту від CSRF уразливостей.

Обидва механізми є вбудованими в движок. Окрім них, звісно можна використовувати й інши функції мови PHP та розробляти власні функції для захисту від різних атак та уразливостей. Але зокрема для протидії XSS та CSRF можна використовувати дані механізми.

Додам, що слідкувати за безпекою власних веб додатків потрібно не тільки розробникам плагінів для WP, але й розробникам шаблонів для WP. Тому що уразливості трапляються як в плагінах, так і темах для WordPress.

В своїй презентації Managing and Securing Web 2.0, Jason Edelstein розповідає про безпеку Веб 2.0. Про те, які уразливості може принести Web 2.0 та як убезпечитися від них.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Source code virus
• Virus hoax
• Vulnerability (computing)
• Vulnerability database
• Webattacker

Продовжуючи розпочату традицію, після попереднього відео про діряві сайти McAfee, пропоную нове відео на веб секюріті тематику. Цього разу відео про Google як загрозу вашій приватності. Рекомендую подивитися всім хто цікавиться цією темою.

Google’s Part In Growing Threats To Your Privacy

Подібно до відео про ризики використання Gmail та Chrome від Google, де розповідалося про ризики приватності, що виникають при використанні Gmail та Chrome від Google, в даному відео розповідається про ризики використання пошуковця Гугла та браузера Chrome, як і взагалі всіх веб сервісів даної компанії. Це запис сюжету, що був показаний в новинах на телебаченні в США.

Про ризики для приватності для Інтернет користувачів, що йдуть від компанії Google, говориться вже багато років. І регулярно виникають різні заяви, як незалежних громадськіх організацій, так і деяких компаній, що займаються вивчення приватності, а також подібні заяви були від представників ЄС, що звинувачують Гугл у створенні ризиків приватності й занадто активному збиранні інформації про користувачів їхніх сервісів та програмних продуктів. А також в сервісі Safe Browsing, з яким працює не тільки Chrome, але й інші браузери, зокрема Firefox.

Це чергова заява Consumerwatchdog стосовно підходів Гугла . Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.

Розщеплення HTTP-запиту (HTTP Response Splitting) - це уразливості, що відносяться до категорії атак на клієнта і вони поширені в сучасних веб додатках. Та можуть використовуватися для різних атак на користувачів і відвідувачів веб сайтів, в тому числі для проведення XSS атак.

В класифікації WASC TC v2.0 HTTP Response Splitting мають ідентифікатор WASC-25.

Різновиди HTTP Response Splitting.

HTTP Response Splitting (HTTPRS) уразливості бувають наступних типів:

1. Reflected HTTP Response Splitting.
2. Persistent HTTP Response Splitting.

Reflected HTTP Response Splitting.

Reflected HTTP Response Splitting - це найбільш поширений різновид уразливостей розщеплення HTTP-запиту. При відправці спеціального запиту до уразливого веб додатку, він відповідає на цей запит і при цьому в його відповідь додається інший серверний заголовок (або заголовки).

Це дозволяє задати користувачу сайта довільний кукіс, провести XSS атаку, редиректнути на інший сайт або провести іншу атаку. Що відбувається через додавання відповідних серверних заголовків.

HTTPRS:

http://site/page?p=%0AHeader:value

HTTPRS + XSS:

http://site/page?p=%0AContent-Type:html%0A%0A%3Cscript%3Ealert(document.cookie)%3C/script%3E

Persistent HTTP Response Splitting.

Persistent HTTP Response Splitting - це інший різновид уразливостей розщеплення HTTP-запиту, що я виявив в 2008 році в FeedBurner FeedSmith плагіні для WordPress. Дані уразливості більш рідкісні ніж Reflected HTTPRS, але при цьому більш небезпечні.

При Persistent HTTPRS уразливості атака носить постійний характер. Після відправки спеціального запиту до уразливого веб додатку, дані зберігаються на сервері (у файлі чи БД) та виводяться при зверненні до відповідних скриптів. Це може бути той же скрипт, що прийняв запит, а можуть бути й інші скрипти (як у випадку FeedBurner FeedSmith), після звернення до яких відбувається додавання нових серверних заголовків у відповідь веб додатку.

І при всіх наступних зверненнях до даної сторінки (скрипта) буде відбуватися атака. Що дозволяє, наприклад, проводити Persistent XSS атаки або інші perstistent атаки.

Продовжуючи розпочату традицію, після попереднього відео про Експлоіти для програм від Adobe, пропоную нове відео на веб секюріті тематику. Цього разу відео про діряві сайти McAfee. Рекомендую подивитися всім хто цікавиться цією темою.

XSSing McAfee SECURED

В даному відео від YGN Ethical Hacker Group показаний процес знаходження та демонстраційної експлуатації XSS уразливостей на сайтах McAfee - відомої секюріті компанії. Яка займається випуском антивірусів, а також проводить перевірки безпеки сайтів та роздає логотипи Hacker Safe та McAfee SECURE.

Раніше я вже писав про дірки на сайтах з логотипом McAfee “Hacker Safe” і в 2008 році дана компанія була переможцем Pwnie Awards за свою програму сертифікацї “Hacker Safe” (за ігнорування XSS). Стосовно справжної безпеки сайтів із секюріті логотипами я вже писав у своїй статті.

В відео демонструються дві XSS на двох сайтах McAfee і це при тому, що власні сайти даної компанії мають логотип McAfee SECURE . Рекомендую подивитися дане відео для розуміння справжнього значення секюріті логотипів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему шкідливого программного забезпечення та Інтернет шахрайства.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Spyware
• Computer virus
• Computer worm
• Lottery scam
• Make Money Fast

Продовжуючи розпочату традицію, після попереднього відео про Ризики використання Gmail та Chrome від Google, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлоіти для програм від Adobe. Рекомендую подивитися всім хто цікавиться цією темою.

MetaSploit - Flash Exploit (on Adobe Acrobat Reader)

В відео показаний процес створення експлотіа в Metasploit Framework для продуктів компанії Adobe. Зокрема демонструється процес створення експлоіта для уразливості в Adobe Flash Player пов’язаної з newfunction, про яку я вже писав.

Атака відбувається через pdf-файл з вбудованою флешкою з експлоітом. Атака можлива як через Adobe Reader та Adobe Acrobat, так і через їхні плагіни до браузерів. Дана уразливість стосується Flash Player 9.0 і 10.0, Adobe Reader 9.3.2, Adobe Acrobat 9.3.2 та будь-яких інших продуктів, що включають флеш плеєр. Рекомендую подивитися дане відео для розуміння векторів атак на Flash Player, Acrobat, Reader та інші продукти від Adobe.

В своїй презентації Hackers Paradise SQL Injection Attacks, Doug Seven, розповідає про SQL Injection атаки. Про те, що таке SQL ін’єкції, про просунуті атаки та про те, як їм протидіяти.

В публічних емайл розсилках (mailing lists), також відомих як дискусійні групи (discussion groups), існує ряд уразливостей, про які я вже розповідав на прикладі WASC Web Security Mailing List (які я виявив в даній дискусійній групі в 2008 році). Що можуть використовуватися для проведення різних атак на розсилку та її дописувачів.

Основними уразливостями, що характерні всім емайл розсилкам, є наступні Abuse of Functionality та Insufficient Anti-automation уразливості. І всім користувачам дискусійних груп варто враховувати ризики їх використання.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації воно посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Так що спамерам навіть не потрібно знати емайли учасників розсилки, що надсилають до неї повідомлення, а лише потрібно підписатися на розсилку та встановити автовідповідач.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Тому що емайли доступні в тексті повідомлень (в чистому вигляді), що надсилаються всім дописувачам, коли участники надсилають їх до розсилки. Так що спамерам потрібно лише підписатися на розсилку і чекати повідомлень з емайлами, що прийдуть до них.

Insufficient Anti-automation:

В розсилках можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки. І поєднуючи Insufficient Anti-automation з Abuse of Functionality уразливостями, спамери можуть автоматизовано відправляти спам чи автоматизовано збирати емайли для подальшого використання.