Websecurity - Веб безпека

Серед цікавих векторів XSS атак, на які недостатньо звертають увагу веб розробники, є атаки на форми де використовуються різноманітні rich редактори (або коли веб розробники візуалізують дані в формах подібно до rich редакторів чи використовують AJAX). Cross-Site Scripting уразливості в таких формах можуть мати місце навіть при наявності фільтрації вхідних та віхідних даних.

До rich редакторів відносяться FCKeditor, CKEditor (це назва FCKeditor починаючи з третьої версії), TinyMCE та інші. Які додаються до форм, щоб надати користувачам можливості візульної обробки даних. А також подібні XSS уразливості можуть мати місце в веб додатках, що візуалізують контент.

Суть уразливості зводиться до того, що веб додаток (rich редактор або інший веб додаток) візуалізує отримані дані (вони можуть бути отримані від користувача, або з БД, куди вони були занесі так чи інакше від користувача). І навіть якщо у веб додатку є фільтрація вхідних і/або вихідних даних, коли спеціальні html символи замінюються на їхні сутності, це можна обійти і виконати XSS код. Для цього потрібно використати тег img та відповідний обробник (onerror чи onload).

За допомогою даного коду можна провести XSS атаку на подібні веб додатки. Тег img буде візуалізований в зображення і при цьому виконається код в браузері користувача:

<img src=’1′ onerror="javascript:alert(document.cookie)">

Про подібні уразливості я неодноразово писав за останні 4 роки: стосовно persistent XSS (в Relay та Drupal) та reflected XSS (в Relay, PHP-Nuke та Drupal). А також неодноразово зустрічав подібні дірки на різних сайтах. Враховуючи поширеність вищезгаданих веб додатків, дані уразливості стосуються мільйонів сайтів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• War dialing
• Wardriving
• Warzapping
• Cross-Server Attack (XSA)
• Zero-day attack

Продовжуючи розпочату традицію, після попереднього відео про Google як загроза вашій приватності, пропоную нове відео на веб секюріті тематику. Цього разу відео про приватність в Google Gmail. Рекомендую подивитися всім хто цікавиться цією темою.

Google GMail Privacy

Подібно до двох попередніх відео на тему приватності, де розповідалося про ризики використання Gmail, пошуковця Гугла та браузера Chrome (як і взагалі всіх веб сервісів даної компанії), в даному випадку більш детально розповідається про Gmail - сервіс веб пошти від Google.

Це відео безпосередньо від Consumerwatchdog стосовно підходів Гугла до ігнорування приватності користувачів своїх програмних продуктів і сервісів. А також тих людей, що взаємодіють з користувачами ПЗ і сервісів Гугла.

В відео детально розглянуті ризики безпеки і приватності при користуванні Gmail на прикладі функції автозбереження Гмайла та функції створення ярликів для веб сайтів в Google Chrome (на прикладі Гмайла). Дана функція Chrome, що була в браузері з самої першої версії, доволі цікава, але має обмеження (які описані в даному відео), що можуть призвести до проблем з приватністю. Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.

В статті Writing Secure WP Plugins David Kierznowski розповідає про правильні підходи до написання плагінів для WordPress. Про те, як написати безпечний плагін для WP.

В статті наводяться рекомендації по використанню наступних секюріті механізмів:

• attribute_escape - для захисту від XSS уразливостей.
• wp_nonce - для захисту від CSRF уразливостей.

Обидва механізми є вбудованими в движок. Окрім них, звісно можна використовувати й інши функції мови PHP та розробляти власні функції для захисту від різних атак та уразливостей. Але зокрема для протидії XSS та CSRF можна використовувати дані механізми.

Додам, що слідкувати за безпекою власних веб додатків потрібно не тільки розробникам плагінів для WP, але й розробникам шаблонів для WP. Тому що уразливості трапляються як в плагінах, так і темах для WordPress.

В своїй презентації Managing and Securing Web 2.0, Jason Edelstein розповідає про безпеку Веб 2.0. Про те, які уразливості може принести Web 2.0 та як убезпечитися від них.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Source code virus
• Virus hoax
• Vulnerability (computing)
• Vulnerability database
• Webattacker

Продовжуючи розпочату традицію, після попереднього відео про діряві сайти McAfee, пропоную нове відео на веб секюріті тематику. Цього разу відео про Google як загрозу вашій приватності. Рекомендую подивитися всім хто цікавиться цією темою.

Google’s Part In Growing Threats To Your Privacy

Подібно до відео про ризики використання Gmail та Chrome від Google, де розповідалося про ризики приватності, що виникають при використанні Gmail та Chrome від Google, в даному відео розповідається про ризики використання пошуковця Гугла та браузера Chrome, як і взагалі всіх веб сервісів даної компанії. Це запис сюжету, що був показаний в новинах на телебаченні в США.

Про ризики для приватності для Інтернет користувачів, що йдуть від компанії Google, говориться вже багато років. І регулярно виникають різні заяви, як незалежних громадськіх організацій, так і деяких компаній, що займаються вивчення приватності, а також подібні заяви були від представників ЄС, що звинувачують Гугл у створенні ризиків приватності й занадто активному збиранні інформації про користувачів їхніх сервісів та програмних продуктів. А також в сервісі Safe Browsing, з яким працює не тільки Chrome, але й інші браузери, зокрема Firefox.

Це чергова заява Consumerwatchdog стосовно підходів Гугла . Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.

Розщеплення HTTP-запиту (HTTP Response Splitting) - це уразливості, що відносяться до категорії атак на клієнта і вони поширені в сучасних веб додатках. Та можуть використовуватися для різних атак на користувачів і відвідувачів веб сайтів, в тому числі для проведення XSS атак.

В класифікації WASC TC v2.0 HTTP Response Splitting мають ідентифікатор WASC-25.

Різновиди HTTP Response Splitting.

HTTP Response Splitting (HTTPRS) уразливості бувають наступних типів:

1. Reflected HTTP Response Splitting.
2. Persistent HTTP Response Splitting.

Reflected HTTP Response Splitting.

Reflected HTTP Response Splitting - це найбільш поширений різновид уразливостей розщеплення HTTP-запиту. При відправці спеціального запиту до уразливого веб додатку, він відповідає на цей запит і при цьому в його відповідь додається інший серверний заголовок (або заголовки).

Це дозволяє задати користувачу сайта довільний кукіс, провести XSS атаку, редиректнути на інший сайт або провести іншу атаку. Що відбувається через додавання відповідних серверних заголовків.

HTTPRS:

http://site/page?p=%0AHeader:value

HTTPRS + XSS:

http://site/page?p=%0AContent-Type:html%0A%0A%3Cscript%3Ealert(document.cookie)%3C/script%3E

Persistent HTTP Response Splitting.

Persistent HTTP Response Splitting - це інший різновид уразливостей розщеплення HTTP-запиту, що я виявив в 2008 році в FeedBurner FeedSmith плагіні для WordPress. Дані уразливості більш рідкісні ніж Reflected HTTPRS, але при цьому більш небезпечні.

При Persistent HTTPRS уразливості атака носить постійний характер. Після відправки спеціального запиту до уразливого веб додатку, дані зберігаються на сервері (у файлі чи БД) та виводяться при зверненні до відповідних скриптів. Це може бути той же скрипт, що прийняв запит, а можуть бути й інші скрипти (як у випадку FeedBurner FeedSmith), після звернення до яких відбувається додавання нових серверних заголовків у відповідь веб додатку.

І при всіх наступних зверненнях до даної сторінки (скрипта) буде відбуватися атака. Що дозволяє, наприклад, проводити Persistent XSS атаки або інші perstistent атаки.

Продовжуючи розпочату традицію, після попереднього відео про Експлоіти для програм від Adobe, пропоную нове відео на веб секюріті тематику. Цього разу відео про діряві сайти McAfee. Рекомендую подивитися всім хто цікавиться цією темою.

XSSing McAfee SECURED

В даному відео від YGN Ethical Hacker Group показаний процес знаходження та демонстраційної експлуатації XSS уразливостей на сайтах McAfee - відомої секюріті компанії. Яка займається випуском антивірусів, а також проводить перевірки безпеки сайтів та роздає логотипи Hacker Safe та McAfee SECURE.

Раніше я вже писав про дірки на сайтах з логотипом McAfee “Hacker Safe” і в 2008 році дана компанія була переможцем Pwnie Awards за свою програму сертифікацї “Hacker Safe” (за ігнорування XSS). Стосовно справжної безпеки сайтів із секюріті логотипами я вже писав у своїй статті.

В відео демонструються дві XSS на двох сайтах McAfee і це при тому, що власні сайти даної компанії мають логотип McAfee SECURE . Рекомендую подивитися дане відео для розуміння справжнього значення секюріті логотипів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему шкідливого программного забезпечення та Інтернет шахрайства.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Spyware
• Computer virus
• Computer worm
• Lottery scam
• Make Money Fast