Websecurity - Веб безпека

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку “Warning” повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію (про дані сайти). За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів (dorks):

Warning: public_html

Warning: Division by zero

Warning: failed to open stream

Warning: filemtime

Warning: implode

Warning: mysql_fetch_object

Warning: mysql_free_result

Warning: mysql_fetch_assoc

Warning: MySQL result

Warning: fsockopen

Warning: file_exists

Warning: function

Warning: DOMDocument::loadXML

Warning: DOMDocument::load

Warning: DOMDocument

Цікава стаття на тему флеш-безпеки була опублікована Стефаном Ессером (в минулому році) - Пошук нових дір з міждоменними файлами політик Флеша.

В статті розповідається про те, як зашити crossdomain.xml у gif-файл. З метою його використання для подальших атак (CSRF) через флешки, за допомогою уразливостей в політиці безпеки Flash Player, таких як альтернативні файли безпеки.

• Poking new holes with Flash Crossdomain Policy Files (деталі)

Для того щоб перевірити, чи не був ваш емайл акаунт (в даному випадку вебмайл) похаканий, можна скористатися одним цікавим методом. В своєму записі How to check if your WebMail account has been hacked Джеремія розповів про один метод перевірки емайл акаунта на предмет прихованої активності.

Для перевірки використовується приховане зображення. Котре буде працювати як прихований сигнал, що спрацює у випадку, коли зловмисник зайде у ваш почтовий акаунт. Алгоритм цієї системи оповіщення наступний.

1. Завантажити зображення (це може бути і скрипт) на сервер. Адресу зображення ніхто не повинен знати, ця адреса буде використовуватися лише для даної задачі. Щоб не було зайвих записів в логах, тільки активність в емайл ящику.

2. Відіслати собі на цей емайл ящик листа з прихованим зображенням. Причому тему листа потрібно зробити дуже інтригуючою (наприклад “Your new online Bank password” ). Даного листа потрібно залиши в ящику непрочитаним.

3. Чекати доки не настане той час, коли спрацює сигнал тривоги - приховане зображення (сподіваючись, що цього ніколи не станеться). Коли зловмисник отримає доступ до вашого акаунту, і зайде в нього почитати пошту і не втримається і відкриє листа з інтригуючою темою. При цьому спрацює зображення, і в логах запишеться IP зловмисника, а також дата і час взлому (а якщо використовувати скрипт, то можна надіслати собі на інший емайл або sms на мобільний телефон з інформацією про нападника).

Продовжуючи розпочату традицію, після попереднього відео про CRLF Injection, пропоную нове відео на тему безпеки. Цього разу відео про пошук уразливостей в веб додатках (зокрема в PHP додатках). Пошук проводиться за допомогою секюріті сканера.

Find security bugs in your PHP applications in an instant

В даному відео ролику розповідається про сканер Chorizo!, за допомогою якого проводиться пошук різноманітних уразливостей в веб додатках (що наочно демонструється в даному ролику). Всі кому цікава тема секюріті сканерів та пошуку уразливостей в веб додатках можуть подивитися дане відео.

До речі, розробники Chorizo! (Next Generation Web Application Security Scanner, як вони його називають) в себе на сайті чесно заявляють, що автоматичного сканування може не вистачити. Тобто це недостатьно ефектиний засіб, якщо ви турбуєтеся про безпеку свого ресурсу (а я регулярно навожу приклади дірок на сайтах секюріті компаній, в тому числі тих, що випускають сканери). І вони радять замовляти секюріті аудит для кращих результатів . Що і я всім раджу робити, аудит безпеки - це найбільш ефективний засіб підвищення безпеки вашого веб проекту.

Існує такий термін “Гугл хакінг” (Google hacking) - це використання пошукових систем (в першу чергу Гугла, але можна й інших систем) для пошуку уразливостей на сайтах. Давно планую розповісти вам про дану методику пошуку дірок, і раніше я вже торкався цієї теми (зокрема в записі MOSEB-20 Bonus: Google dorks strikes back), і планую ще додатково розповісти про неї.

В цій статті я розповім про методику пошуку уразливостей типу Full path disclosure та Information disclosure.

Дану методику я назвав “Warning” Гугл хакінг (”Warning” Google hacking), тому що використовується слово “Warning” для пошуку повідомлень про помилки на сайті. Які Гугл заніс у свою базу. І за допомогою спеціальних пошукових запитів можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

До “варнінг” пошукових запитів відносяться наступні дорки (dorks):

Warning: home

Warning: fetch_config

Warning: mysql_num_rows

Warning: mysql_query

Warning: mysql_select_db

Warning: mysql_fetch_row

Warning: mysql_connect

Warning: mysql_close

Warning: mysql_fetch_array

Warning: mysql_result

Warning: mysql

Warning: fopen

Warning: mkdir

Warning: Permission denied

Warning: include_once

Warning: include

Warning: main

Це об’ємний, але не вичерпний перелік “warning” запитів до пошукових систем (можливі й інші запити), котрі дозволяють шукати Full path disclosure та Information disclosure дірки на веб сайтах.

На bugtraq була опублікована цікава стаття “Віддалене керування ізольованими системами”. В ній розповідається про вирішення задачі віддаленого керуваннями комп’ютером.

Подібні задачі періодично виникають перед адміністраторами, наприклад, коли потрібно отримати можливість виконати деякі команди на робочому ПК, знаходячись при цьому дома. У випадку коли використання стандартних засобів ОС для віддаленого доступу неможливе, як і використання спеціалізованих програм (PC Anywhere, RAdmin та інших), можна розробити власний додаток.

Причому додаток веб орієнтований, що дозволить обійти різні обмеження (в тому числі фаєрвола). В статті пропонується рішення даної задачі та наводиться вихідний код програми (серверної та клієнтської частини) для віддаленого керування комп’ютером.

• Удаленное управление изолированными системами (деталі)

В записі Підводне каміння в інтернет рекламі або чим небезпечний XSS я вже згадував про те, що опублікував статтю в лютневому номері журнала Хакер Спец. В статті “Шаманские дела / Реклама с подвохом” я розповів про недоліки безпеки рекламних брокерів (зокрема XSS уразливості).

Деякий час тому редакція журналу розмістила текст номера на сайті. Тому ви можете ознайомитися з моєю статтею на сайті журналу.

Шаманские дела / Реклама с подвохом

Також в цьому номері ви можете прочитати інтерв’ю зі мною .

Жестокая правда / Интервью с аудитором по безопасности

Представляю вам інформацію про одну з сучасних проблем в веб безпеці - редиректори. Раніше я вже торкався цієї теми в новинах. Даною темою я почав цікавитися з початку вересня 2006 року (після ознайомлення зі статтями RSnake за кінець серпня початок вересня про redirection). І з того часу я провів чимало досліджень в цьому напрямку.

Редиректори - це скрипти на веб сайтах, що переадресовують на інші сайти (редиректять). А Redirector уразливості - це уразливості в веб додатках, що відносяться до класу Abuse of Functionality. За звичай дані скрипти використовують для ведення статистики, куди ж (і в якій кількості) переходять користувачі сайту. Тому в більшості випадків в якості параметра для редиректорів використувують адресу сайта, на який має перейти користувач.

Але в останній час даний функціонал став використовуватися зловмисниками (зокрема фішерами) для своїх недобрих справ. Зараз редиректори часто використовують зловмисники для переадресації на фішинг сайти. Тому редиректори - це реальна проблема (якщо вони не захищені від подібного використання), і вони можуть нанести шкоду. Ось чому даними уразливостями, котрими є редиректори (незахищені) потрібно займатися.

Наведу декілька прикладів редиректорів в популярних пошукових системах. Всі наведені лінки на редиректори ведуть на websecurity.com.ua.

Редиректори в пошукових системах:

• Редиректор Google (Гугл вже виправив цю уразливість, додавши захисний механізм, але він обходиться і про це я ще розповім)
• Редиректор Google Maps
• Редиректор Yahoo
• Редиректор Meta (на Меті є чимало інших редиректорів, про що я буду розповідати)
• Редиректор Rambler

Це перша стаття з серії статей про редиректори. З часом я продовжу розповідати вам про редиректори на популярних сайтах (пошукових системах, порталах та інших веб сайтах).

Наприкінці минулого місяця RSnake (XSS Book Preview), Джеремія Гроссман (XSS Attacks book) та Pdp (XSS Attacks Book Preview) повідомили про завершення роботи над книгою про Cross-Site Scripting (про котру я вже згадував). Вони з початку року працювали над цією книгою і тепер вона пішла до друку.

Також автори книги виклали в себе на сайтах архів зі змістом та однією главою книги. Котрі всі бажаючи можуть почитати.

До речі, як нещодавно повідомили RSnake та Джеремія, книга вже надрукована і наявна в онлайн магазинах (зокрема в Amazon).

Cross Site Scripting Attacks: Xss Exploits and Defense - це перша книга про XSS уразливості. Всі хто цікавиться даною темою можуть ознайомитися з цією книгою.

Розповім вам про блог Джеремії Гроссмана - відомого експерта з веб безпеки - http://jeremiahgrossman.blogspot.com.

Jeremiah Grossman працює в галузі веб безпеки вже багато років, тому він є досвідченою людиною в цій справі та є визнаним еспертом. Він також є одним із засновників Web Application Security Consortium (WASC). І в своєму блозі Джеремія ділиться власним досвідом та розповідає про останні події в галузі.

Рекомендую почитати даний блог всім, кто цікавиться темою web app security.

Зокрема зверну вашу увагу на опитування спеціалістів з веб безпеки, котрі він регулярно проводить (і в яких я також беру участь). Останній раз я писав про Опитування спеціалістів з Web Application Security (листопад), про інші опитування я ще розповім. До речі, в цьому місяці він проводить новий survey.

Останні п’ять цікавих тем:

• (INSECURE) Magazine Issue 11 (деталі)
• How to check if your WebMail account has been hacked (деталі)
• Rain Forest Puppy breaks his silence (деталі)
• XST sorta Lives! (Bypassing httpOnly) (деталі)
• Top 10 Most Famous Hackers of All Time (деталі)