Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про SQL Injection в ASP, пропоную новий відео секюріті мануал. Цього разу відео про SQL Injection в JPortal CMS. Рекомендую подивитися всім хто цікавиться цією темою.

JPortal CMS SQL Injection Exploit in Action by (ruiner_zer0)

В даному відео ролику наочно демонструється проведення SQL Injection атаки на движок JPortal CMS (з отриманням доступу до панелі адміністратора). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.

Під час проведення Cross-Site Scripting атак з викраденням кукісів, з метою їх подальшого використання для отримання доступу до акаунту (зокрема адмінського), важливою складовою є тривалість сесії. У тому випадку, якщо використовується сесія в кукісі для ідентифікації (а не пароль чи хеш - бо в такому разі проблеми з тривалістю сесії будуть відсутні, і якщо немає обмежень на час життя кукіса, атака апріорі буде успішною). Від тривалості сесії безпосередньо залежить успішність атаки. Бо якщо час життя сесії завершиться, даний кукіс (дана сесія) буде марним.

Тому при проведені XSS атаки потрібно звертати увагу на тривалість сесії. У випадку коли сайт вразливий до Insufficient Session Expiration, то жодних ускладнень з атакою не виникне, і сесія буде працюваи тривалий час (від декількох годин до необмеженої кількості часу). Достатній час, щоб успішно провести операцію по захопленню акаунта.

Якщо ж на сайті немає Insufficient Session Expiration уразливостей (адміністратори сайта подбали про цей аспект), то потрібно буде або дуже швидко проводити процедуру захоплення акаунта (поки активна сесія), або іншим чином вирішити це питання. Зокрема цю задачу можна вирішити шляхом продовження сесії і для цього я розробив власний метод - MustLive Session Extending Method.

Мій метод, що я розробив в 2006 році, призначений для продовження зохопленної сесії і може використовуватися при проведенні XSS атак. Даний метод був неодноразово успішно апробований на практиці .

Суть метода полягає в тому, щоб посилати запити на сайт, що атакується. Запити посилаються періодично, причому період можна задати довільний, головне щоб він був менший за час життя сесії (котрий визначається експерементально). Сам запит до сайту посилається разом з захопленим кукісом, тим самим продовжуючи його сесію. І за допомогою даного методу можна на будь-який час (доки це буде необхідно) продовжити захоплену сесію (або декілька сесій).

Тому веб розробникам та адміністраторам сайтів варто пам’ятати про можливість обходу обмеження на тривалість сесії. І навіть відсутність Insufficient Session Expiration уразливостей не врятує від атаки професіонала. Виходячи з цього, єдиним засобом протидії від Cross-Site Scripting атак є виправлення усіх XSS дір на сайті.

В своїй презентації Rails Security, Bart ten Brinke розповідає про безпеку Ruby on Rails. Він наводить приклади поширених уразливостей у Ruby on Rails веб додатках.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: Cannot change

Warning: array-unshift

Warning: array-values

Warning: array-walk

Warning: array-walk-recursive

Warning: arsort

Warning: asort

Warning: assert

Warning: basename

Warning: bcdiv

В статті Advosys Web Tips: Detecting CGI script abuse розповідається про один цікавий і давній метод визначення спроб сканування уразливостей у веб додатках. Зокрема сканування CGI скриптів. Але окрім Perl та інших CGI додатків, даний метод також може застосовуватися для додатків на PHP та інших серверних мовах програмування.

Метод базується на виявленні спроб так званого CGI сканування, коли відбувається сканування відомих уразливостей в популярних веб додатках. Для цього створюється власний обробник 404 помилок на сайті. І спроби сканування веб додатків сайта виявляються, якщо виявлені запити відносяться до категорії відомих уразливостей в веб додатках.

В своїй презентації How to build the Web, Simon Willison розповідає про створення веб сайтів. Він розповідає про такі аспекти як сучасну клієнтську розробку, серверну розробку і веб фреймворки, та безпеку веб додатків.

Пропоную вам ознайомитися з цікавою книгою Кевіна Мітника “Искусство обмана“. В своїй книзі “Мистецтво обману”, Кевін розповідає про соціальну інженерію, про те як він опанував дану професію (наводить деякі деталі своєї біографії) і про можливості її використання.

Лінку на дану книгу люб’язно надав Роман в своєму книжному огляді. До речі, в своєму пості Роман згадує про цікавий випадок, який з ним стався коли він вирішив придбати собі в онлайні книги. В результаті замовлення книг на сайті магазину аудиокниг, він на додачу до самого зомовлення, ще й виявив серйозну Information Leakage дірку (що приводила до витоку конфеденційних даних покупців магазину).

Як він зазначив, після того як він повідомив власникам сайта, дірку залатали швидко, а ось про спасибі забули. На жаль, це звичайна ситуація (для власників будь-яких сайтів). Про те, що власникі сайтів забувають казати спасибі за повідомлення про уразливості на їх сайтах, я знаю дуже добре: за 2006, 2007 та 2008 роки, що я займаюсь соціальним секюріті аудитом, з подібнім видношенням зіткався і зіткаюся дуже часто (я почав зіткатися з несерйозним відношенням починаючи ще з 2005 року, як почав займатися напрямком веб безпеки, і по сьогодні).

P.S.

Як я щойно глянув, за кілька секунд знайшовши три уразливості на сайті згаданого онлайн магазину (а дірок там може бути ще чимало), безпека даного магазину залишає бажати кращого .

Продовжуючи розпочату традицію, після попереднього відео про Cross-Site Scripting через Flash, пропоную новий відео секюріті мануал. Цього разу відео про SQL Injection в ASP. Рекомендую подивитися всім хто цікавиться цією темою.

Simple ASP Administrator SQL Injection by (ruiner_zer0)

В даному відео ролику розповідається про проведення SQL Injection атаки на ASP веб додаток (на прикладі адмінки сайта). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.

В своїй презентації Intro to Php Security, Dave Ross розповідає про безпеку PHP. Він розглядає дану платформу та веб додатки на PHP в контексті безпеки.

В своїй презентації Web 2.0 Application Kung-Fu, Shreeraj Shah розповідає про Веб 2.0 додатки. Він розповідає про особливості й секюріті ризики Веб 2.0 та датально зупиняється на безпеці Ajax та веб сервісів.