В своєму записі Detecting Malice eBook, RSnake розповів про свою нову книгу. В минулому році він випустив книгу “Визначення злого наміру”, яка була випущена як e-book (тобто вона доступна у вигляді електронної книги).
В книзі розповідається про те, як визначити злі наміри і дії відвідувачів на сайті (та як убезпечити свій сайт). В ній Роберт Хенсен aka RSnake ділиться своїм досвідом в забезпеченні безпеки веб сайтів.
Продовжуючи розпочату традицію, після попереднього відео про сліпу SQL ін’єкцію, пропоную новий відео секюріті мануал. Цього разу відео про використання BeEF і PHProxy для MITM атак. Рекомендую подивитися всім хто цікавиться цією темою.
BeEF and PHProxy for web MITM with content modification
В даному відео ролику розповідається про інструменти BeEF і PHProxy. Та домонструється процес їх використання для проведення MITM-атак для підробки сайтів (що може бути використано, наприклад, для фішинга).
Рекомендую подивитися дане відео для розуміння векторів атак з використанням BeEF і PHProxy.
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):
Продовжуючи розпочату традицію, після попереднього відео про десктопний фішинг, пропоную новий відео секюріті мануал. Цього разу відео про сліпу SQL ін’єкцію. Рекомендую подивитися всім хто цікавиться цією темою.
A textbook example of Blind SQL Injection
В даному відео ролику на прикладі одного сайта розповідається про сліпі SQL Injection уразливості та методи їх використання. Рекомендую подивитися дане відео для розуміння векторів атак з використанням сліпих SQL Injection.
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):
В своїй презентації Web browser privacy and security, Ben Rothke розповідає про безпеку веб браузерів. Про стан приватності та безпеки в сучасних браузерах.
Як можна визначити IP автора е-майл листа? При цьому без використання будь-яких спеціальних методів, таких як зовнішні ресурси (зображення та інші) в html-листі, що можна використати лише для визначення IP отримувача листа. Особливо коли використання даних методів неможливе або недоцільне (зокрема коли потрібно визначити саме IP відправника листа). Для цього можна використати спеціальні серверні заголовки.
Визначити IP автора е-майл листа можна через заголовок X-Originating-IP або X-Sender-IP. Вперше я отримав лист з заголовком X-Originating-IP ще в 2004 році. Так що практика використання даних заголовків існує вже давно.
Формат заголовка X-Originating-IP може бути наступним:
1. Зовнішній IP (коли комп’ютер безпосередньо підключений до Інтернет):
X-Originating-IP: [xxx.xxx.xxx.xxx]
2. Внутрішній та зовнішній IP (коли комп’ютер підключений до Інтернет через інший комп’ютер (по LAN), що виступає в якості проксі):
X-Originating-IP: xxx.xxx.xxx.xxx, xxx.xxx.xxx.xxx via proxy [xxx.xxx.xxx.xxx]
Даний заголовок призводить до витоку як зовнішнього, так і внутрішного IP (тобто IP інтернет-шлюза та IP персонального комп’ютера автора листа).
Формат заголовка X-Sender-IP може бути наступним:
X-Sender-IP: [xxx.xxx.xxx.xxx]
Як показало моє дослідження, один з даних заголовків встановлюється при відправці пошти через наступні сервери: mail.ru (inbox.ru, bk.ru і list.ru), hotmail.com, gmail.com (в тому числі підключений до домена), ukr.net, inet.ua, bigmir.net та i.ua. А також поштові сервери IceWarp Web Mail та Visual Online SMTP gateway і деякі поштові скрипти, що використовуються на деяких сайтах.
Деякі поштові сервери (такі як hotmail.com) вставляють даний заголовок в кожний лист, а деякі (такі як gmail.com) лише в деяких випадках. В моїх дослідженнях Gmail жодного разу не вставляв цей заголовок, хоча я багато разів отримував листи з ящиків на Gmail з даним заголовком.
Так що сховати свій IP при використанні даних поштових серверів не вийде (особливо якщо вони вставляють дані заголовки в усіх листах). Лише використання проксі (якщо це можливо для конкретного сервера) може допомогти. З іншої сторони вищезгадані поштові сервери призводять до витоку приватних даних, що не може сподобатися шанувальникам приватності. І вони повинні врахувати цей аспект при використанні даних серверів.
Подібно до використання сайтів для атак на інші сайти через Abuse of Functionality уразливості, через Abuse of Functionality також можна використовувати сайти для розсилки спаму.
Ситуація з розсилкою спаму через сайти подібна до використання сайтів для атак на інші сайти, про що я розповідав в вищезгаданій статті (що зокрема може використовуватися для проведення DoS та DDoS атак). В Інтернеті є чимало подібних уразливостей, про які я писав багато різів, тому чимало сайтів можуть використовуватися для розсилки спаму. Це можна робити через Abuse of Functionality та CRLF Injection уразливості (в даній статті я розповім саме про використанням Abuse of Functionality уразливостей).
Використання Abuse of Functionality для розсилки спаму.
Дослідження даних уразливостей я почав ще в 2007 році, коли виявив подібну уразливість на www.ibm.com. З тих пір я знайшов чимало сайтів з подібними уразливостями, а також уразливих плагінів для популярних веб додатків (що використовуються на багатьох сайтах).
Сайти з відповідними веб додатками, що дозволяють відправляти повідомлення на довільні емайли, або ж мають опцію для відправки копії на власний емайл, і при цьому дозволяють вказати всі необхідні поля, можуть використовуватися для відправки спаму. Це можуть бути як контакті форми, так й інши форми на сайтах.
Створення спам-ботнетів з сайтів.
Подібно до інструментів для проведення DDoS атак через Abuse of Functionality уразливості, як наприклад DAVOSET, так само можуть бути створені інструменти для масової розсилки спаму. Через численні Abuse of Functionality уразливості на багатьох сайтах. Подібні інструменти будуть використовуватися для автоматизованої розсилки спаму через різні уразливі сайти.
Тобто дані уразливості можуть бути використанні для створення спам-ботнетів з серверами-зомбі. Які буть розсилати спам по команді від власника ботнету. При цьому не потрібно буде взламувати сайти, а лише використовувати офіційний функціонал сайтів. І враховуючи, що спам буде розсилатися з серверів відомих компаній, то дуже вірогідно, що дані листи обійдуть спам-фільтри.
Приклади уразливих веб сайтів та веб додатків.
Подібні уразливості наявні на різних сайтах:
Та в різних плагінах для веб додатків:
Враховуючи поширенність Abuse of Functionality уразливостей на сайтах, що дозволяють розсилати спам, та ігнорування адмінами сайтів даної проблеми, вона є актуальною. А враховуючи те, що мережу з таких зомбі-серверів можна створити без зайвого витрачання ресурсів (в тому числі й фінансових), як це має місце в класичних ботнетах, то даний вид ботнетів є дуже вигідним з фінансової сторони. Тому з часом спамери можуть звернути увагу на даний метод розсилки спаму та на даний вид спам-ботнетів.
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):
Продовжуючи розпочату традицію, після попереднього відео про виконання коду через SQL Injection, пропоную новий відео секюріті мануал. Цього разу відео про десктопний фішинг. Рекомендую подивитися всім хто цікавиться цією темою.
Desktop Phishing - The New Art of Phishing
В даному відео ролику розповідається про відмінності між класичним і десктоп фішінгом. Та демонструється проведення фішинг атаки (на прикладі сайта paypal.com).
Суть атаки зводиться до заміни hosts файла в Windows системі жертви (в якому задається IP адреса сервера нападника для відповідних доменів). Про використання даного методу я вже раніше розповідав. Рекомендую подивитися дане відео для розуміння векторів атак з використанням десктопного фішингу.
* 
You are currently browsing the archives for the Статті category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.