Websecurity - Веб безпека

В своїй презентації Rails Security, Bart ten Brinke розповідає про безпеку Ruby on Rails. Він наводить приклади поширених уразливостей у Ruby on Rails веб додатках.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: Cannot change

Warning: array-unshift

Warning: array-values

Warning: array-walk

Warning: array-walk-recursive

Warning: arsort

Warning: asort

Warning: assert

Warning: basename

Warning: bcdiv

В статті Advosys Web Tips: Detecting CGI script abuse розповідається про один цікавий і давній метод визначення спроб сканування уразливостей у веб додатках. Зокрема сканування CGI скриптів. Але окрім Perl та інших CGI додатків, даний метод також може застосовуватися для додатків на PHP та інших серверних мовах програмування.

Метод базується на виявленні спроб так званого CGI сканування, коли відбувається сканування відомих уразливостей в популярних веб додатках. Для цього створюється власний обробник 404 помилок на сайті. І спроби сканування веб додатків сайта виявляються, якщо виявлені запити відносяться до категорії відомих уразливостей в веб додатках.

В своїй презентації How to build the Web, Simon Willison розповідає про створення веб сайтів. Він розповідає про такі аспекти як сучасну клієнтську розробку, серверну розробку і веб фреймворки, та безпеку веб додатків.

Пропоную вам ознайомитися з цікавою книгою Кевіна Мітника “Искусство обмана“. В своїй книзі “Мистецтво обману”, Кевін розповідає про соціальну інженерію, про те як він опанував дану професію (наводить деякі деталі своєї біографії) і про можливості її використання.

Лінку на дану книгу люб’язно надав Роман в своєму книжному огляді. До речі, в своєму пості Роман згадує про цікавий випадок, який з ним стався коли він вирішив придбати собі в онлайні книги. В результаті замовлення книг на сайті магазину аудиокниг, він на додачу до самого зомовлення, ще й виявив серйозну Information Leakage дірку (що приводила до витоку конфеденційних даних покупців магазину).

Як він зазначив, після того як він повідомив власникам сайта, дірку залатали швидко, а ось про спасибі забули. На жаль, це звичайна ситуація (для власників будь-яких сайтів). Про те, що власникі сайтів забувають казати спасибі за повідомлення про уразливості на їх сайтах, я знаю дуже добре: за 2006, 2007 та 2008 роки, що я займаюсь соціальним секюріті аудитом, з подібнім видношенням зіткався і зіткаюся дуже часто (я почав зіткатися з несерйозним відношенням починаючи ще з 2005 року, як почав займатися напрямком веб безпеки, і по сьогодні).

P.S.

Як я щойно глянув, за кілька секунд знайшовши три уразливості на сайті згаданого онлайн магазину (а дірок там може бути ще чимало), безпека даного магазину залишає бажати кращого .

Продовжуючи розпочату традицію, після попереднього відео про Cross-Site Scripting через Flash, пропоную новий відео секюріті мануал. Цього разу відео про SQL Injection в ASP. Рекомендую подивитися всім хто цікавиться цією темою.

Simple ASP Administrator SQL Injection by (ruiner_zer0)

В даному відео ролику розповідається про проведення SQL Injection атаки на ASP веб додаток (на прикладі адмінки сайта). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.

В своїй презентації Intro to Php Security, Dave Ross розповідає про безпеку PHP. Він розглядає дану платформу та веб додатки на PHP в контексті безпеки.

В своїй презентації Web 2.0 Application Kung-Fu, Shreeraj Shah розповідає про Веб 2.0 додатки. Він розповідає про особливості й секюріті ризики Веб 2.0 та датально зупиняється на безпеці Ajax та веб сервісів.

До раніше наведених пам’яток з SQL Injection в різних Базах Даних, пропоную ознайомитися з пам’яткою розробленою RSnake. Котра може стати вам у нагоді при проведенні аудиту безпеки веб сайта (чи атаки на сайт).

SQL Injection Cheat sheet: Esp: for filter evasion

Дана пам’ятка не така об’ємна, як попередня пам’ятка SQL Injection, яле вона також може стати в нагоді. В даній пам’ятці наводяться стандартні SQL запити при проведенні перевірок на наявність SQL ін’єкцій та наводяться приклади атак.

Розповім вам про обхід багатопрохідних фільтрів (multi-pass filters bypass). У випадку коли на веб сайті використовується комплексна (багатопрохідна) система фільтрації, зокрема для фільтрації XSS, можливий обхід багатопрохідних фільтрів. Подібні багатопрохідні системи фільтрації можуть використовуватися на великих порталах та соціальних мережах.

Існує одна техніка обходу багатопрохідних фільтрів, що була розроблена мною в 2007 році. Техніка обходу фільтрів з використанням пробілу. Я назвав її технікою спейс-хакінгу (space-hack technique). Про неї я писав під час Місяця багів в MySpace.

Суть техніки полягає в тому, що у випадку, коли веб сайт використовує багатопрохідний фільтр (зокрема фільтр XSS), котрий спочатку перевіряє на предмет атакуючого коду (XSS), а потім витирає пробіли, щоб привести дані до потрібного стану, то ця особливість фільтрації може бути використана. Використовуючи багатопрохідність фільтра, можна спочатку відправити дані з пробілами, щоб з ними обійти фільтр, а на наступній стадії фільтра всі пробіли будуть витерті, що зробить код знову робочим і він виконається на сторінці користувача.

Розглянемо наступні приклади.

1. Код для обходу багатопрохідних фільтрів:

<p/style="xss:e xpression(alert(document.cookie))">

На першій стадії фільтр перевіряє на наявність XSS кода: перевіряється наявність ключевих слів, в тому числі й “expression”. Враховуючи, що в даному випадку використовується “e xpression”, то ключевих слів не знаходиться і даний рядок проходить фільтр.

На другій стадії фільтр витирає пробіли: в результаті ми отримаємо код, що виконається на сторінці користувача:

<p/style="xss:expression(alert(document.cookie))">

Зазначу, що враховуючи другу стадію, я використовав “<p/style”, а не “<p style”, щоб зробити код робочим після проходження фільтрів (бо пробіли витираються на другій стадії фільтрації).

2. Код для обходу багатопрохідних фільтрів:

<img/width="100"src="http://site/image.jpg"o nLoad="alert(document.cookie)">

На першій стадії фільтр перевіряє на наявність XSS кода: враховуючи, що в даному випадку використовується “o nLoad”, то ключевих слів не знаходиться і даний рядок проходить фільтр.

На другій стадії фільтр витирає пробіли: в результаті ми отримаємо код, що виконається на сторінці користувача:

<img/width="100"src="http://site/image.jpg"onLoad="alert(document.cookie)">

Як я вже зазначав, враховуючи другу стадію, в якості роздільника між ім’ям тега та його властивістю я використав “/”, тобто використав запис “<img/width”. Для того щоб зробити код робочим після проходження фільтрів.

Як видно з наведених прикладів, використовуючи техніку спейс-хакінгу можна обходити багатопрохідні фільтри. Розробникам веб додатків варто врахувати дану техніку при розробці систем фільтрації.