Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bo.net.ua (українським хакером Arizon) - 01.04.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://e-market.biz.ua (хакером Fantastik) - 06.04.2009, зараз сайт вже виправлений адмінами
• http://ms.if.ua (хакером Dietime)
• http://www.sources.org.ua (хакером Mr.MLL)
• http://www.kupr.org.ua (хакером St. !)

В своїх статтях про хакерські війни я розповів про концепцію хакерських війн та започаткував проект по відвойовуванню похаканих українських сайтів. З кінця серпня і по сьогодні я був доволі зайнятий (зокрема з початку вересня я активно почав досліджувати безпеку браузерів), тому цим напрямком я не займався. Вистачало роботи і з дослідженнями похаканих сайтів в Уанеті.

При цьому в минулому році і в цьому році я виділяв чимало часу для взлому сайтів (в Уанеті та інших сегментах Мережі), щоб привернути увагу їх власників до питань безпеки . І ось нарешті знайшов час і для свого вищезгаданого проекту.

Сьогодні я писав про похакані сайти в Уанеті, зокрема про сайт http://laguna.net.ua, який був взломаний хакером NaSaH. На сайті чимало уразливостей, що і призвело до подібного результату.

Враховуючи, що сайт був взломаний 08.01.2009 і до сих пір повністю не виправлений, я вирішив взяти справу в свої руки. І відхакав сайт laguna.net.ua.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ecoleague.net (хакером Zonic!) - 01.04.2009, зараз сайт вже виправлений адмінами
• http://www.compsi.net (хакерами Fantastik і SpyCrew team) - 30.03.2009, зараз сайт вже виправлений адмінами
• http://www.vl-sta.gov.ua (хакером darkdewil з 1923turk) - 25.03.2009, зараз сайт вже виправлений адмінами. Це перший похаканий державний сайт в цьому році
• http://laguna.net.ua (хакером NaSaH)
• http://www.master-sv.kh.ua (хакерами з Iran Black Hats Team)

Сьогодні перше квітня і секюріті діячи вирішили пожартувати, як це вже траплялося раніше.

3APA3A опублікував новину про уразливість в PayPal - Исчерпание ресурсов в PayPal. Весела першеквітнева уразливість. Доволі оригінальним є запропоноване рішення для її виправлення: вендору необхідно офіційно ввести невичерпні акаунти. До речі, WebMoney також може зробити подібні акаунти .

RSnake та Jeremiah розповіли про нову програму сертифікації - Certified Application Security Specialist. Що з’явилася якраз на перше квітня. Власник сертифіката буде гордо зватися Certified ASS .

Так що всі бажаючі стати сертифікованими ASS можуть отримати даний сертифікат .

10.03.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10 та 11.

Ось нова добірка уразливих секюріті сайтів:

• eweek.com
• fbi.gov та cisco.com
• it.ridne.net

Всім security проектам та компаніям слід приділяти більше уваги безпеці власних сайтів.

01.04.2009

Ще одна добірка уразливих секюріті сайтів:

• www.ibm.com
• www.sophos.com
• www.shram.kiev.ua (хакерський сайт)

Секюріті компаніям та хакерським проектам варто більше слідкувати за безпекою власних сайтів.

На минулому тижні, 28 та 29 березня, пройшла конференція CodeCamp 2009, на якій я виступив з доповідями. В першій доповіді я розповів про сучасний стан безпеки Уанету та тенденції безпеки в Інтернеті, а в другій - про сучасні атаки на веб додатки та проблеми безпеки нових веб технологій.

Доповіді доступні в мене на сайті:

Сучасний стан безпеки Уанету та тенденції безпеки в Інтернеті.

Современные атаки на вэб приложения и проблемы безопасности новых вэб технологий.

В першій доповіді я розглянув наступні теми: Сучасний стан безпеки Уанету, Тенденції безпеки в Інтернеті, Покращення рівня безпеки веб сайтів.

В другій доповіді я розглянув наступні теми: Сучасні атаки на веб додатки - Recursive File Include, Нове використання аплоадера, Використання back slash для Directory Traversal атак, Проблеми безпеки нових веб технологій - Використання Flash для проведення XSS атак, Використання Flash для спама і фішинга, Використання JavaScript для сканування портів.

Як я вже розповідав, 28 та 29 березня, в Києві відбудеться конференція CodeCamp 2009. Вона пройде в сьомому корпусі КПІ.

На конференції я виступлю з двома доповідями:

1. Сучасний стан безпеки Уанету та тенденції безпеки в Інтернеті.
2. Сучасні атаки на веб додатки та проблеми безпеки нових веб технологій.

Моя перша доповідь відбудеться в суботу в 15:15. Друга - в неділю о 13:30. Всі бажаючі можуть відвідати мої доповіді на конференції.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://metalltorg.biz (хакером wlhaan) - 18.03.2009 - зараз сайт не працює
• http://www.jam.com.ua (хакером ARezZ0)
• http://profy.nplu.org (хакером Meshif)
• http://black.net.ua (хакером 3RqU)
• http://balaklava-vip.com (хакерами з dns team) - похакана директорія сайта

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.8. В новій версії:

• Покращені анти-DoS фільтри.
• Додана можливість визначення некоректного ітератора в циклі for.
• Додана можливість визначення нескінченних циклів в циклах while і repeat until.
• Введене обмеження на розмір строкових даних (255 символів).
• Обмеження розміру строкових даних додане в функції concat та insert.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.7. В новій версії:

• Додана підтримка операторів div та mod в циклах for.
• Додана підтримка операторів div та mod в циклах while.
• Додана підтримка операторів div та mod в циклах repeat until.
• Виправлена робота write і writeln з функціями.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.