Websecurity - Веб безпека

Можливий обхід захисту безпечного режиму в Ruby (protection bypass).

Уразливі версії: Ruby 1.6, Ruby 1.8.

За допомогою “alias” можна підмінити безпечні методи, можна обійти захист доступу до каталогів. Так само, не обмежуються деякі потенційно небезпечні методи.

• New ruby1.6 packages fix privilege escalation (деталі)
• Ruby Safe Level Security Bypass Vulnerabilities (деталі)

Нещодавно, 29.07.2006, вийшла нова версія движку WordPress 2.0.4 (мій сайт використувує саме цю CMS). Всім хто користується попередніми версіями рекомендується оновити движок своїх сайтів.

WordPress 2.0.4 - це останній стабільний реліз Вордпреса, який доступний для скачування з сайту виробника. Даний реліз виправляє декілька серьйозних секюріті уразливостей, тому він дуже рекомендований для всіх користувачів движку WordPress (в цілому в даній версії було виправлено понад 50 багів).

Планую найближчим часом оновити свій WordPress на версію 2.0.4.

Президент України Віктор Ющенко підписав Закон “Про ратифікацію Додаткового протоколу до Конвенції про кіберзлочинність, що стосується криміналізації дій расистського і ксенофобського характеру, зроблених через комп’ютерні системи”.

Відповідний протокол Верховна Рада ратифікувала 21 липня 2006 року. Протокол передбачає зобов’язання кожної зі сторін ужити законодавчих заходів, які необхідні для визнання злочинними ряд визначених у протоколі діянь.

Відповідно до положень Протоколу, кожна сторона приймає такі законодавчі й інші міри, що необхідні для визнання у своєму внутрішньому законодавстві карними злочинами наступні дії:

• поширення чи іншим способом надання громадськості доступу до расистського і ксенофобного матеріалу через комп’ютерні системи;
• погроза через комп’ютерну систему здійснення серйозного карного правопорушення, визначеного в її національному законодавстві, проти особи через їхню приналежність до групи, що відрізняється по ознаках раси, кольору шкіри, національному чи етнічному походженню, а також віросповіданню, чи групи осіб, що відрізняється по кожній з цих характеристик;
• публічна образа через комп’ютерну систему осіб через їхню приналежність до групи, що відрізняється по ознаках раси, кольору шкіри, національному чи етнічному походженню, а також віросповіданню, чи групи осіб, що відрізняються по кожній з цих характеристик;
• поширення чи іншим способом надання громадськості доступу через комп’ютерні системи до матеріалу, що заперечує, грубо мінімізує, схвалює чи виправдує дії, що є геноцидом чи злочинами проти людства, як визначено в міжнародному праві і як це визнано заключними й обов’язковими рішеннями Міжнародного військового трибуналу, заснованого відповідно до Лондонського договору від 8 серпня 1945 року, чи якого-небудь іншого міжнародного суду, заснованого відповідними міжнародними документами і юрисдикція якого визнана стороною.

По матеріалам http://www.securitylab.ru.

Компанія Exploit Prevention Labs повідомила про випуск безкоштовного сервісу LinkScanner. Новинка, після того як у “рядок дослідження” введена адреса, перевіряє сайт чи визначену сторінку на наявність в ній шкідливих кодів чи інших загроз.

Таким чином, користувач, у якого виникли підозри, може улаштувати підозрілому сайту “перевірку на вошивість”. Зрозуміло, від помилки ніхто не застрахований, однак жертв хакерів, здатних заволодіти особистими даними користувача чи одержати доступ до його комп’ютера, може стати набагато менше.

Про помилки можна судити по дослідженню, проведеному фахівцями видання Tech Web. Сайти, що браузер Firefox 2.0 1 Beta пізнав як “можливо інфіковані”, LinkScanner визнав цілком чистими.

Конкурентів у LinkScanner, небагато - лише один. Це Mc Afee Site Advisor, що поширюється у вигляді плагіна до Internet Explorer і FireFox, а також доступний в онлайновій версії.

По матеріалам http://inattack.ru.

P.S.

Ось лінка на тест websecurity.com.ua

Минулого місяця компанія Netcraft повідомила про наявність XSS уразливості на сайті PayPal, що активно використовувалася проти користувачів платіжної системи. Однак, як виявилося, уразливість на сторінці пожертвування для тимчасово відсторонених користувачів, була виявлена ще 2 роки тому.

Кріс Марлоу намагався попередити PayPal про виявлену уразливість ще в червні 2004 року, але представник PayPal, з яким він спілкувався, не розумів що таке XSS уразливість. В зв’язку з тим, що політика компанії забороняє розкривати адреси електронної пошти співробітників, Кріс не зміг продемонструвати можливість експлуатації уразливості. У результаті Кріс розкрив подробиці уразливості на своєму веб сайті, однак PayPal ніяк не відреагував на цю публікацію.

Уразливість була виправлена лише минулого місяця після того, як компанія Netcraft повідомила про спроби обману користувачів PayPal за допомогою цієї уразливості. Однак, як стало відомо, дотепер існує декілька незакритих уразливостей міжсайтового скриптінга на сайті PayPal.

XSS:

paypal.com/cgi-bin/webscr?cmd=p/gen/–></script><script>alert(’websecurity.com.ua’)</script>

По матеріалам http://www.securitylab.ru.

P.S.

До речі, не тільки PayPal не звертає уваги на уразливості в себе на сайті. Як я писав, і про Cross-Site Scripting на Яндексі (який не пофіксений вже майже два місяці) та Cross-Site Scripting на Рамблері (4 XSS які я два дні тому знайшов і до сих пір їх не виправили).