Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі XSS Evades IP Filtering, RSnake розповідає про використання XSS для обходу обмежень по IP. З однієї сторони для простих речей вистачить і CSRF, але для більш складних речей потрібно використовувати CSRF через XSS атаку (і про такі речі я вже розповідав). До того ж, через XSS уразливості можна обходити і захисти проти CSRF-атак, на що я наголошую вже на протязі багатьох років.

В своєму записі Schmoilito’s Way Is Hacking Via Local Apps, RSnake розповідає про використання MSXML для локальних атак, про які повідомив йому Schmoilito. Причому MSXML XHR може використовуватися не тільки для атаки на інтранет (на локальну мережу), але й для доступу до локальних файлів. Тому що Майкрософтський функціонал MSXML, що працює в браузері IE, дозволяє читати локальні файли.

В своєму записі MalaRIA Malicious RIA Proxy, RSnake розповідає про MalaRIA - Malicious RIA Proxy. Цей додаток розроблений Erlend Oftedal і являє собою проксі, що може використовуватися для атаки на сайти через Flash та Silverlight. Він може використовуватися для доступу з одного сайту до захищенного контенту на іншому сайті через флеш чи сільверлайт на машині клієнта.

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки.

В даній версії додав 10 нових запитань по восьомому розділу мого Посібника з безпеки. Тепер у тесті 65 запитань на web security тематику, які базуються на восьми розділах мого посібника.

Також сьогодні оновив друге тестування з веб безпеки, в якому ви можете перевірити рівень своїх хакерських знань. В даній версії додав 5 нових запитань.

Так що вдалого вам тестування .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.tk-kiev.com.ua (хакером Down Twon HaCkEr) - 14.01.2011, зараз сайт вже виправлений адмінами
• http://www.lie-detector.biz (хакерами з Albanian Hackers Group) - 20.01.2011, зараз сайт вже виправлений адмінами
• http://shop.zdravnik.com.ua (хакером blood black)
• http://15workdaily.com (хакером Dr.TaiGaR)
• http://blog.arm-eko.rv.ua (хакерами з AHC)

Зазначу, що взломаний сайт 15workdaily.com - це e-commerce сайт з логотипами Verified by VISA, MasterCard SecureCode та VeriSign Secured. Про діряві сайти, що ховаються за секюріті логотипами я вже писав в статті Справжня безпека сайтів із секюріті логотипами, а це наочний приклад хакнутого подібного сайта.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://itgalaxy.com.ua - інфекція була виявлена 07.01.2011. Зараз сайт входить до переліку підозрілих.
• http://rapnews.pp.ua - інфекція була виявлена 17.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://uniupper.com - інфекція була виявлена 24.01.2011. Зараз сайт входить до переліку підозрілих.
• http://dictators.ucoz.ua - інфекція була виявлена 31.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://gurman-prom.dp.ua - інфекція була виявлена 16.01.2011. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти itgalaxy.com.ua, uniupper.com і gurman-prom.dp.ua також хостить в себе Укртелеком.

На цей рік я запланував ряд оновлень на своєму веб проекті. Частину з яких я реалізував вже в січні (й продовжу активно займатися цим в подальшому).

Це новий тест на знання веб безпеки Тестування: уразливості та атаки, що був презентований нещодавно, та новий розділ Посібника з безпеки. Також найближчим часом будуть оновленні обидва тести.

Окрім цього зверну вашу увагу на наступну зміну в моїй дільяності. З 2005 року (і особливо з моменту відкриття сайту в 2006 році) я активно займався соціальним секюріті аудитом - повідомляв адмінів сайтів про уразливості на їхніх проектах. Про особливості соціального секюріті аудита я писав в статті Просунуте відповідальне оприлюднення уразливостей. Розробникам веб додатків, браузерів та інших додатків я також часто повідомляв про дірки, але найбільше займався саме сайтами.

На цю діяльність я витратив чимало часу за останні шість років, але ефективність її невелика. І з кожном роком все більше часу витрачалося в пусту (на повідомлення невдячним адмінам сайтів, які ігнорують мої повідомлення і продовжують забивати на безпеку, як вони це робили і раніше). Тому з цього року я більше не займаюся цією діяльністю і буду знаходити та повідомляти лише про дірки у веб додатках. Виключенням можуть бути лише секюріті та e-commerce сайти, а також найбільш відомі веб проекти.

В січні я продовжив публікувати інформацію про сайти, на яких я знайшов уразливості раніше. Після того як я завершу публікацію цих дірок, а також тих, що були пропущені, я зосереджуся на дірках у веб додатках, веб серверах та інших додатках. Тому в цьому році буде багато інформації саме стосовно даної категорії уразливостей.

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19 та 20.

Ось нова добірка уразливих секюріті сайтів:

• varta.net.ua
• scb-ua.com
• www.bezpeka-service.com.ua

Всім секюріті компаніям слід приділяти більше уваги безпеці власних веб сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vhodv.com (хакером Stupid) - 16.01.2011, зараз сайт вже виправлений адмінами
• http://www.btg.com.ua (хакером Stupid) - 16.01.2011, зараз сайт вже виправлений адмінами
• http://www.karpatypremium.com (хакером Fl0riX) - 09.01.2011, зараз сайт вже виправлений адмінами
• http://romanko.kiev.ua (хакером Jimmi) - 11.01.2011, зараз сайт вже виправлений адмінами
• http://www.wazzzup.tv (хакерами з Opoja Hackers Group) - 11.01.2011 - зараз сайт не працює

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://megatona.net - інфекція була виявлена 07.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://worber.at.ua - інфекція була виявлена 29.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://volans.com.ua - інфекція була виявлена 09.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://j1c.pp.ua - інфекція була виявлена 05.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://5backs.at.ua - інфекція була виявлена 08.12.2010. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.babolat.ua (хакером C37HUN)
• http://dom-ivanov.at.ua (хакером BACKDOOR)
• http://videofoto.sumy.ua (хакером sr1_0d0nk)
• http://tube.ua (хакерами з UAH-CREW)
• http://www.games4xbox.comua.net (хакером Reyoscuro) - 17.12.2010, зараз сайт не працює (на сайті є лише реклама самого хостера і немає контенту), сторінка з дефейсом все ще окремо зберігається на сайті, а на головній сторінці встановлений редирект на Ютюб

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://royalpalace.com.ua - інфекція була виявлена 09.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://mygames.ws - інфекція була виявлена 22.11.2010. Зараз сайт входить до переліку підозрілих.
• http://ogo.rv.ua - інфекція була виявлена 24.10.2010. Зараз сайт не входить до переліку підозрілих.
• http://biznesplan.rv.ua - інфекція була виявлена 23.10.2010. Зараз сайт не входить до переліку підозрілих.
• http://gems.com.ua - інфекція була виявлена 26.11.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти royalpalace.com.ua і mygames.ws також хостить в себе Укртелеком.