Websecurity - Веб безпека

Учора, 21.04.2009, виповнилося 10 років моєму сайту http://mlbpg.narod.ru!

Так що у мого першого веб сайта відбувся день народження - ювілей . З чим себе і вас поздоровляю.

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей. Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://md5.turhu.us - сайт використовує reverse lookup md5 hash tables
• http://www.seoexperiments.org/md5/search - цей сайт теж використовує reverse lookup md5 hash підхід (в якості пошуку по сайту використовує Гугл)
• http://www.frikinet.com/md5/ - теж використовує reverse lookup md5 hash підхід (MD5 Reverse Index)
• http://www.md5decrypter.co.uk
• http://hashchecker.com

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.streetpride.kiev.ua (хакерами з SaldiriTeam) - 15.04.2009, зараз сайт вже виправлений адмінами
• http://www.3s.com.ua (хакером Gxb3rx) - 11.04.2009, зараз сайт вже виправлений адмінами
• http://www.dacia.ua (хакерами Cyb3rking і Fantastik) - 06.04.2009, зараз сайт вже виправлений адмінами
• http://chipnews.com.ua (хакером Cyber_945) - 11.04.2009, зараз сайт вже виправлений адмінами
• http://www.resdom.org (хакером THE.BILEN VEZIR.04) - причому спочатку сайт 20.02.2009 був похаканий THE.BILEN VEZIR.04, а нещодавно похаканий ALEX OWNERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

На веб сайтах, зокрема в БД, часто використовують md5 хеші (або інші хеші), особливо для збереження паролів. Це робиться з метою підвищення безпеки сайтів. Але хеш може бути підібраним, або повним перебором чи перебором пословнику, або його можна підібрати при наявності інформації про значення даного хеша в Мережі. Тому не варто сподіватися лише на використання хешей і потрібно слідкувати за безпекою власного сайта.

В Інтернеті існують сайти для пошуку md5 хешей. Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

• http://www.google.com (про використання Google для взлому хешей я вже писав)
• http://md5.rednoize.com (md5 і sha1 хеші)
• http://www.md5oogle.com
• http://milw0rm.org/md5/
• http://opencrack.hashkiller.com

В подальшому я продовжу наводити перелік подібних сайтів.

Продовжуючи тему редиректорів в CMS пропоную вам нову добірку редиректорів.

В даних записах я наводжу приклади редиректорів в різних CMS (та інших веб додатках). Дані уразливості можна виявити майже на всіх сайтах, що використовують зазначені системи.

Редиректори в CMS движках:

Bitrix:

• http://www.securitylab.ru/…goto=http://websecurity.com.ua
• http://www.securitylab.ru/…goto=http://websecurity.com.ua
• http://www.securitylab.ru/…goto=http://websecurity.com.ua

Про редиректори на www.securitylab.ru я вже писав в 2007 році.

Openads / OpenX:

• http://ads.fraza.ua/…ck.php?dest=http://websecurity.com.ua

TYPO3 CMS:

• http://www.viland.ua/…?jumpurl=http://websecurity.com.ua

Розмістив на сайті всі три відео з моїми виступами на ТБ (aka ТВ) в 2008 році. Їх ви зможете переглянути через мій зручний flv плеєр.

22.02.2008 я знявся для телепередачі телеканалу 1+1. Раніше дане відео розміщувалося на ubr.ua та використовувало їхній не дуже зручний flv плеєр. Але зараз, як я вияснив, дане відео більше не доступне на ubr.ua, тому я виклав його в себе на сайті. І його ви зможете подивитися через мій flv плеєр.

05.03.2008 я знявся для телепередачі телеканалу Інтер.

А 14.09.2008 я знову знявся для телепередачі телеканалу 1+1.

Останні два відео не були мені доступні. У вересні минулого року я знайшов можливість дістати їх на одному сайті, але тільки я взявся за це, то власники сайта саме тоді прибрали доступ на сайті до каналів 1+1 та Інтер. Але нарешті в цьому місяці я знайшов дані записи в Інтернеті.

Дістати дані відео ролики виявилося кропотливою справою . Спочатку довелося обійти обмеження на доступ до того сайту. Потім довелося стикнутися з тим, що програма, яку я дістав у вересні 2008, не може дістати відео з даного сайту - що я теж вирішив (за допомогою програми, що записує відео під час перегляду в браузері). Але потім виявилося, що жодна з моїх програм для конвертації в flv не може працювати з відео файлами записаними попередньою програмою. Цю проблему я також вирішив . Після чого я розмістив усі три відео на сайті.

Відео розміщені на відповідних сторінках з новинами про мої виступи на ТБ.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bo.net.ua (українським хакером Arizon) - 01.04.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://e-market.biz.ua (хакером Fantastik) - 06.04.2009, зараз сайт вже виправлений адмінами
• http://ms.if.ua (хакером Dietime)
• http://www.sources.org.ua (хакером Mr.MLL)
• http://www.kupr.org.ua (хакером St. !)

В своїх статтях про хакерські війни я розповів про концепцію хакерських війн та започаткував проект по відвойовуванню похаканих українських сайтів. З кінця серпня і по сьогодні я був доволі зайнятий (зокрема з початку вересня я активно почав досліджувати безпеку браузерів), тому цим напрямком я не займався. Вистачало роботи і з дослідженнями похаканих сайтів в Уанеті.

При цьому в минулому році і в цьому році я виділяв чимало часу для взлому сайтів (в Уанеті та інших сегментах Мережі), щоб привернути увагу їх власників до питань безпеки . І ось нарешті знайшов час і для свого вищезгаданого проекту.

Сьогодні я писав про похакані сайти в Уанеті, зокрема про сайт http://laguna.net.ua, який був взломаний хакером NaSaH. На сайті чимало уразливостей, що і призвело до подібного результату.

Враховуючи, що сайт був взломаний 08.01.2009 і до сих пір повністю не виправлений, я вирішив взяти справу в свої руки. І відхакав сайт laguna.net.ua.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ecoleague.net (хакером Zonic!) - 01.04.2009, зараз сайт вже виправлений адмінами
• http://www.compsi.net (хакерами Fantastik і SpyCrew team) - 30.03.2009, зараз сайт вже виправлений адмінами
• http://www.vl-sta.gov.ua (хакером darkdewil з 1923turk) - 25.03.2009, зараз сайт вже виправлений адмінами. Це перший похаканий державний сайт в цьому році
• http://laguna.net.ua (хакером NaSaH)
• http://www.master-sv.kh.ua (хакерами з Iran Black Hats Team)

Сьогодні перше квітня і секюріті діячи вирішили пожартувати, як це вже траплялося раніше.

3APA3A опублікував новину про уразливість в PayPal - Исчерпание ресурсов в PayPal. Весела першеквітнева уразливість. Доволі оригінальним є запропоноване рішення для її виправлення: вендору необхідно офіційно ввести невичерпні акаунти. До речі, WebMoney також може зробити подібні акаунти .

RSnake та Jeremiah розповіли про нову програму сертифікації - Certified Application Security Specialist. Що з’явилася якраз на перше квітня. Власник сертифіката буде гордо зватися Certified ASS .

Так що всі бажаючі стати сертифікованими ASS можуть отримати даний сертифікат .