Websecurity - Веб безпека

Новий тест для вашого браузера. Даний експлоіт виконує DoS атаку на Internet Explorer 6 (та можливо сьому версію IE).

Уразливість пов’язана з переповненням буферу в стандартному ActiveX об’єкті в Microsoft Internet Explorer.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, на моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт працює.

Протестувати Internet Explorer 6

Останній тест для IE був DoS в Internet Explorer 6 і Firefox, з яким ви також можете ознайомитися.

Ще наприкінці 2006 року в WordPress були знадені численні уразливості. Власникам сайтів на старих версіях движка (котрих чимало в Інтернеті) слід оновити їх, враховуючи, що окрім цих дірок, ще було знайдено, в тому числі і мною, чимало дірок в старих версіях WP.

Були виявлені Denial of Service, Information Leakage та Directory Traversal уразливості (про останню я писав раніше). Вразлива версія WordPress 2.0.5 та попередні версії.

• WordPress: Multiple vulnerabilities (деталі)

Пропоную вам подивитися цікавий відеоролик “Нове обличчя кіберзлочинності”. Що був розроблений компанією Fortify Software. До речі, в цьому ролику знався RSnake, який продемонстрував XSS уразливість на сайті aol.com. В минулому році я вже писав про уразливості на сайтах AOL.

Trailer: The New Face of Cybercrime

Даний ролик - це трейлер до документального фільму “Нове обличчя кіберзлочинності”, в якому розповідається про сучасне обличчя кіберзлочинності. Та про хакерів і нові й актуальні загрози онлайн безпеки.

05.02.2008

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6 та 7.

Ось нова добірка уразливих секюріті сайтів:

• blogsecurity.net
• www.ncjrs.gov
• websense.com

Всім security сайтам та компаніям слід приділяти більше уваги власній безпеці.

05.04.2008

Ще одна добірка уразливих секюріті сайтів:

• www.siteedit.ru
• www.drweb.com.ua
• ko.itc.ua
• safe.cnews.ru, www.securityspace.com, www.eweek.com

ІБ проектам та секюріті компаніям варто більше слідкувати за безпекою власних сайтів.

Чотири дні тому, 29.03.2008, вийшла нова версія WordPress 2.5.

Дана версія WordPress 2.5 (що вийшла після версії 2.3.3) - це значне оновлення движка. В цій версії WP додана велика кількість нововведень та покращень.

Нові функції для користувачів:

1. Cleaner, faster, less cluttered dashboard.
2. Dashboard Widgets.
3. Multi-file upload with progress bar.
4. Bonus: EXIF extraction.
5. Search posts and pages.
6. Tag management.
7. Password strength meter.
8. Concurrent editing protection.
9. Few-click plugin upgrades.
10. Friendlier visual post editor.
11. Built-in galleries.

Нові функції для розробників:

1. Salted passwords.
2. Secure cookies.
3. Easy taxonomy and URL creation.
4. Inline documentation.
5. Database optimization.
6. $wpdb->prepare().
7. Media buttons.
8. Shortcode API.

Стосовно покращень безпеки слід відмітити Salted passwords, Secure cookies та $wpdb->prepare(). Що повинно покращити рівень безпеки движка. Але зазначу, що розробникам WP є над чим працювати - учора я вже писав про уразливість в WordPress, що також має місце в 2.5 . Тому це перша офіційна дірка в WP 2.5.

В минулому році була виявлена Abuse of Functionality уразливість в WordPress. Вона була виявлена в перших версіях 2.0.x, але вона наявна і в наступних версіях Вордпреса. Тому вразливі усі версії WordPress: гілки 2.0.x, 2.1.x, 2.2.x та 2.3.x (і вірогідно 1.x). І навіть, як я щойно перевірив, нова версія 2.5.

Уразливісь полягає в тому, що при введені вірного і невірного логіну (при невірному паролі) движок виводить різні повідомлення про помилку. Тому за допомогою даної уразливості можна отримати інформацію про наявні логіни - отримати перелік користувачів системи на базі WP. Що може бути в подальшому використано для брутфорс атак.

У зв’язку з сьогоднішнім днем пропоную подивитися веселий секюріті комікс для підняття свого настрою . Як повідомив RSnake, ще наприкинці минулого року, він зробив невеличкий веселий комікс на тему безпеки.

Sla.ckers Comics

Даний комікс нагадує про те, що яку б потужну комп’ютерну систему захисту ви не мали, також не забувайте про фізичний захист . І завжди пам’ятайте про людський фактор - завжди враховуйте його при розробці захисних систем.

В минулому році була виявлена Full path disclosure уразливість в WordPress. Вразливі різні версії WordPress: гілки 2.0.x, 2.1.x, 2.2.x та 2.3.x. Бо, як я вже писав, розробники Вордпреса не бажають виправляти дані уразливості.

Full path disclosure:

http://site/wp-includes/vars.php

В минулому році було виявлено чимало подібних уразливостей в WP. Я раніше писав про інші знайдені подібні дірки, а також писав про велику кількість знайденних мною Full path disclosure уразливостей.

• Path Disclosure - Wordpress 2.1.2 (деталі)

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.1. В новій версії:

• Додана підтримка функцій в циклах repeat until.
• Додана підтримка вкладених циклів в циклах repeat until. До будь-якого рівня вкладеності.
• Покращена підтримка складних арифметичних виразів.
• Покращена робота функцій pred та succ з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Відповідь на питання поставлене у заголовку доволі банальна: ні, Уанет не є безпечним. Це добре видно по моїм новинам і знайденим мною уразливостям, про які я пишу в себе на сайті. Більш цікаве інше питання - чи зміниться ситуація з безпекою найближчим часом? В цьому в мене є деякі сумніви і для цього наведу вам наочний приклад.

Сьогодні розпочалася (і буде проводитися 27 та 28 березня) конференція UA WEB 2008 - перша українська конференція для веб розробників. І я бажаю конференції, її організаторам та всім доповідачам успіху. В даному випадку розглянемо зазначену конференцію в контексті безпеки.

Чи піднімаються на конференції питання веб безпеки? Майже зовсім не піднімаються. І це звична ситуація, я вже давно звертаю увагу, що всі Інтернет-орієнтовані конференції в Україні зовсім не приділяють увагу безпеці. В даному випадку ситуація подібна - тема безпеки не винесена як окремий напрямок і слова “безпека” ви в назвах доповідей не побачите .

Серед шести категорій доповідей дві доповіді, які стосуються безпеки, були віднесені до категорій “Серверная часть, базы данных, системы управления контентом” та “Тестирование”. Але тестування сайта та аудит безпеки сайта - це принципово різні речі, а категорія “Серверна частина” також лише опосередковано пов’язана з безпекою. І тому безпека потребує окремої категорії і детального розгляду. Всього пов’язаними з безпекою будуть дві доповіді: “Тестирование Уязвимости Вебсайтов и Web-Приложений” та “Теория и практика CAPTCHA-защиты интерфейсов”. Але дані доповіді лише частково (лише по деяким напрямкам) описують сучасні проблеми з безпекою в Інтернеті, що видно по їх тезисам. Тому в цілому сучасний стан веб безпеки не буде розглянутий.

Зі своєї сторони я ще в минулому році написав організаторам конференції і запронував свою тему для виступу - щоб розповісти про сучасний стан безпеки в Уанеті та Інтернеті. Але відповіді не отримав. Зовсім їм не цікава дана тема (що добре видно по фінальному розкладу конференції). Більш того сам сайт конференції уразливий (що є звичним явищем для сайтів конференцій, як можна побачити з моїх новин). На сайті має місце Persistent XSS уразливість. І я ще в минулому році повідомив про це адмінам. Але жодної відповіді не отримав і дірка по сьогодні так і не була виправлена. Так що тема безпеки та безпека власного сайта організаторів конференції зовсім не цікавить.

Виходячи з вищесказаного, ще раз повторю риторичне запитання: чи зміниться ситуація з безпекою в Уанеті найближчим часом? З подібним підходом, як у випадку конференції UA WEB, наврядчи щось зміниться на краще. Але незвачаючи на апатію в Уанеті до питань безпеки, зі своєї сторони я щодня працюю для покращення безпеки в Мережі. Тому зміни на краще будуть обов’язково, лише строки цього процесу напряму залежать від громадськості.