Websecurity - Веб безпека

З моїм тестуванням знань з веб безпеки ви вже знайомі. Сьогодні представляю вам новий тест - Тестування: уразливості та атаки.

Якщо в тестуванні №1 перевірялися знання з захисту веб сайтів та веб додатків, то в тестуванні №2 перевіряються атакуючі знання - ті, що стосуються знаходження та експлуатації уразливостей на веб сайтах та веб додатках. Тобто це хакерський тест.

Даний тест я планував розробити та розмістити на сайті ще в 2010 році, але знайшов час лише зараз. Тому в ньому одразу присутні 20 запитань: 10 за минулий рік і 10 за цей рік.

Успішного вам тестування .

10.11.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18 та 19.

Ось нова добірка уразливих секюріті сайтів:

• www.scb-ua.com
• hackzona.com.ua
• www.bezpeka-service.com.ua

Всім security проектам та секюріті компаніям слід приділяти більше уваги безпеці власних веб сайтів.

10.01.2011

Ще одна добірка уразливих секюріті сайтів:

• asafesite.com
• www.hackerscenter.com
• ufsb.kiev.ua

Секюріті та хакерським веб проектам варто більше слідкувати за безпекою власних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://refsmarket.com.ua (хакером jake0151) - 06.01.2011 сайт спочатку був похаканий jake0151, а потім AGENT BG4
• http://e-zarina.com.ua (хакером tehlike80) - 02.01.2011, зараз сайт вже виправлений адмінами
• http://ecodah.com.ua (хакерами з RKH aka Republic of Kosovo Hackers) - причому спочатку сайт був взломаний 10.12.2010 RKH, а зараз взломаний AHS-Hackerz. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ibrain.com.ua (хакером GHoST61) - 11.12.2010, зараз сайт вже виправлений адмінами
• http://fastrackids.com.ua (хакером GHoST61) - 15.12.2010, зараз сайт вже виправлений адмінами

Зазначу, що в 2008 році fastrackids.com.ua вже взламували.

Поздоровляю вас з Різдвом Христовим!

У зв’язку з Новим Роком та Різдвом пропоную вам подивитися мою святкову листівку на флеші. Це нова листівка на англійській мові, на українській мові можете подивитися попередню листівку.

Бажаю вам всього найкращого .

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ogo.ua - інфекція була виявлена 24.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://c-interior.net - інфекція була виявлена 16.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://gurman-prom.kiev.ua - інфекція була виявлена 01.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://gurman-prom.kharkov.ua - інфекція була виявлена 12.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://gazeta.rv.ua - інфекція була виявлена 24.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти c-interior.net, gurman-prom.kiev.ua і gurman-prom.kharkov.ua також хостить в себе Укртелеком.

Настав Новий Рік. І до своїх новорічних побажань, я також додам пропозицію подивитися мою святкову листівку на флеші .

В новому 2011 році я планую чимало оновлень і нововведень на сайті. Про які ви довідаєтеся з новин.

Вас очікують як нова цікава інформація, так і нововведення, про які я зроблю відповідні анонси. Зокрема вже в наступному записі я опублікую статтю на тему безпеки електронних платіжних систем та онлайн магазинів, що зараз є дуже актуальним - в сезон новорічних покупок.

В зв’язку з Новим Роком, що наближається, я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам. Й при цьому вони не опиняться серед числа похаканих чи інфікованих сайтів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WPTouch та Viva thumbs. Для котрих з’явилися експлоіти. WPTouch - це плагін для створення мобільної версії сайта, Viva thumbs - це плагін для створення зменшених копій зображень.

• XSS in WPTouch wordpress plugin (деталі)
• Directory traversal limited to file validation within Viva thumbs WordPress add-on (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В цьому місяці вже вишла версія WP 3.0.3. І от нещодавно, 29.12.2010, вийшла нова версія WordPress 3.0.4.

WordPress 3.0.4 це секюріті випуск 3.0 серії. В якому розробники виправили уразливість, що стосується бібліотеки обробки HTML, яка зветься KSES. Дана уразливість дозволяла обходити фільтрацію та проводити XSS атаки.

Як і в попередній версії, розробники так і не виправили виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу стосовно різних цікавих секюріті тем.

В своєму записі XMLHTTPReqest “Ping” Sweeping in Firefox 3.5+, RSnake розповідає про використання CORS в Firefox (починаючи з версії 3.5) для проведення крос-доменних XMLHTTPReqest запитів для пінгування.

В своїй статті Міжсайтові XHR атаки я вже розровідав про використання даного функціоналу для проведення атак.

В своєму записі Cloud Cracking, RSnake розповідає про “хмарний” хакінг. Про використання cloud технологій в хакерських цілях. Використовуючи “хмарні” технології, або ботнети, що є хакерським аналогом “хмари”, можна отримати захмарні результати .

В своєму записі Mozilla Plans Fix for CSS History Hack, RSnake розповідає про те, що Мозіла в цьому році запланувала виправити CSS History Hack. Уразливість, що відома вже 8 років (з 2002 року), нарешті отримала увагу Мозіли.

Але спочатку Мозіла повинна виправити дану уразливість. До того ж, це буде стосуватися тільки браузерів Мозіли (причому лише нових версій), а браузери всіх інших виробників все ще будуть вразливі до CSS History Hack.