Websecurity - Веб безпека

На початку місяця я знявся для телепередачі для журналістів телеканалу 1+1. Яка була показана на ТБ минулого тижня (в ранковому ефірі).

В даному матеріалі я розповів про основні загрози в Інтернеті: фішинг, хакерські атаки та спам. Та розповів про різновиди даних атак та надав поради Інтернет користувачам, як вберегти себе від шахрайства в Мережі. І деяка інформація увійшла до телепередачі.

Детально про дану передачу ви можете прочитати в статті Хіт-парад шахрайства в Інтернеті. До речі, в відео була продемонстрована одна свіже знайдена мною і робоча уразливість на одному веб сайті .

Можете також переглянути дане відео в своєму плеєрі:

http://websecurity.com.ua/uploads/articles/tv_video1.flv

В своїй презентації “Безпека PHP”, Mugdha і Anish розповідають про безпеку веб додатків на даній платформі.

PHP Security

В презентації розповідається про важливість безпеки в PHP та про різні секюріті аспекти та поширені уразливості в PHP додатках. Та надаються поради для покращення їх безпеки.

В своєму записі Book Review: The Pragmatic CSO, RSnake зробив огляд однієї книги. “Прагматичний CSO”, так називається дана книга, що написана Майком Ротманом, нещодавно вийшла (і доступна як в бумажному, так і електронному вигляді).

В книзі розповідається про те, як стати кращим Chief Security Officer (CSO). Майк ділиться своїм досвідом CSO і розповідає як стати майстром в галузі безпеки.

В своїй презентації “Безпека Ruby on Rails”, Jonathan Weiss розповідає про безпеку веб додатків на даній платформі.

Ruby on Rails Security

В презентації розповідається про різні секюріті аспекти та можливі уразливості в Ruby додатках. Та надаються поради для покращення їх безпеки.

В минулому році RSnake взяв інтерв’ю у фішера. Котре представив в своєму записі Phishing Social Networking Sites. В даному інтерв’ю мова йшла про фішинг атаки на сайти соціальних мереж (і про нього писали різні онлайн ЗМІ).

Сам фішер спілкувався з RSnake-ом інкогніто, тому намагався про себе особливо не розповідати. Але на інтерв’ю погодився, і відповідав на всі поставлені запитання, тому розкрив деякі нюанси фішинга зі сторони “нападника”. Про що буде цікаво дізнатися як тим хто “захищається” та секюріті спеціалістам, так і всім бажаючим дізнатися більше про тему фішинга.

В своїй презентації Web App Security, Joe Walker розповідає про безпеку веб додатків. Про різні напрямки веб атак та методи протидії їм. Зокрема він розповідає про CSRF, XSS, інтранет хакінг та комбо атаки.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень про помилки на сайтах, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів (dorks):

Warning: addcslashes

Warning: addslashes

Warning: array_change_key_case

Warning: array_chunk

Warning: array_combine

Warning: array_count_values

Warning: array_diff

Warning: array-fill

Warning: array-filter

Warning: array-flip

Warning: array-intersect

Warning: array-key-exists

Warning: array-keys

Warning: array-merge

Warning: array-merge-recursive

У своєму пості Автоматизация тестирования Flash, Олександр Комлев навів презентацію стосовно автоматизації тестування flash додатків.

Автоматизация тестирования сложных Flash-интерфейсов

В своїй презентації “Автоматизація тестування складних Flash-інтерфейсів”, Олександр розповідає про особливості тестування flash додатків, зокрема автоматизованого тестування з використанням плагіна до Selenium.

У своєму пості Аспекты безопасности flash-приложений, Олександр Комлев навів презентацію Стефано Ді Паола стосовно безпеки flash додатків.

Stefano Di.Paola - Finding Vulnerabilities in Flash Applications

В своїй презентації “Знаходження уразливостей у флеш додатках”, Стефано розповідає про особливості безпеки технології Flash і додатків на її основі та пошук уразливостей у флешках.

Гугл хакінг (Google hacking) - це пошук уразливостей на сайтах за домогою Гугла (дану техніку можна використовувати і з іншими пошуковими системами). Про Гугл хакінг я вже розповідав раніше в проекті MOSEB, в статті Полювання на Капчі та в серії статей про “Warning” Google хакінг (про пошук Full path disclosure та Information disclosure уразливостей).

В даній статті я розповім про використання Гугл хакінга для пошуку Cross-Site Scripting уразливостей. Пошук вразливих сайтів буде проводитися на реальному прикладі - на XSS уразливості в RiSearch, що я оприлюднив учора.

Локальний пошуковий движок RiSearch поширений в Інтернеті і є чимало сайтів, що використовують старі вразливі версії движка. Декілька прикладів таких вразливих сайтів зі старими версіями RiSearch будуть наведені в статті.

Пошук сайтів з RiSearch.

Головний скрипт в даному пошуковці - search.pl. Тому необхідно знайти сайти, що містять даний скрипт.

inurl:search.pl - до 2700000 результатів.

Це дуже велика кількість результатів і серед них багато сайтів зі скриптом search.pl, що не відноситься до цього движка, тому знадобиться багато часу, щоб знайти необхідні сайти.

inurl:search.pl (по Україні) - до 18100 результатів.

Географічний фільтр дає можливість звузити результати пошуку. Це значно менша кількість результатів, тому можна більш швидше знайти необхідні сайти.

inurl:search.pl inurl:query - до 2830000 результатів.

Більш точний запит, але кількість результатів дуже велика, тому знадобиться багато часу, щоб знайти необхідні сайти.

inurl:search.pl inurl:query inurl:stpos - до 30800 результатів.

Доволі точний запит. Кількість результатів значно менша, тому можна більш швидше знайти необхідні сайти.

inurl:search.pl inurl:query inurl:stpos (по Україні) - до 704 результатів.

Точний запит разом з географічним фільтром дозволяють значно звузити результати пошуку. Кількість результатів невелика, тому можна швидко знайти необхідні сайти.

Також можливий пошук за іменем програми. В цьому випадку необхідно знайти сайти, що містять назву даного движка.

“Search powered by RiSearch” - до 8870 результатів.

“Powered by RiSearch” - до 56500 результатів.

“Powered by RiSearch PHP” - до 16500 результатів (це пошук іншої версії движка RiSearch PHP, старі версії якої також вразливі до XSS, як я вияснив сьогодні).

Це доволі точні запити. З невеликою кількістю результатів, що дозволяють швидко знайти необхідні сайти. А при використанні географічного фільтру, можна ще більш звузити діапазон і пришвидшити процес пошуку.

Результати пошуку вразливих сайтів.

За короткий час було знайдено 7 уразливостей в локальних пошуковцях на движку RiSearch на 6 сайтах.

XSS:

http://www.fishing.kiev.ua

• alert(document.cookie)
• цікавий
• html включення

http://www.agrobank.com.ua - сайт банку і це дуже несерйозно для банку мати уразливості на своєму сайті (з дірками на банківських сайтах я стикаюся часто).

• alert(document.cookie)
• цікавий
• html включення

http://shema.ru

• alert(’XSS’) (IE)

http://parus.ua

• alert(document.cookie)
• цікавий
• html включення

http://www.radio.ru

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

http://www.tahlil.uz

• alert(document.cookie)
• цікавий
• html включення