Websecurity - Веб безпека

Джеремія на початку місяця оголосив, що планує зібрати перелік веб хаків минулого року, щоб вибрати з них найкращі. Склавши перелік хаків, він нещодавно виклав остаточний перелік кандидатів і відкрив голосування за 10 найкращих веб хаків - The Polls are Open: Top 10 Web Hacks of 2007.

І ось сьогодні він підвів підсумки голосування і опублікував десятку найкращих веб хаків 2007 року - Top Ten Web Hacks of 2007 (Official).

Десятка найкращих веб хаків:

1. XSS Vulnerabilities in Common Shockwave Flash Files
2. Universal XSS in Adobe’s Acrobat Reader Plugin
3. Firefox’s JAR: Protocol issues
4. Cross-Site Printing (Printer Spamming)
5. Hiding JS in Valid Images
6. Firefoxurl URI Handler Flaw
7. Anti-DNS Pinning ( DNS Rebinding )
8. Google GMail E-mail Hijack Technique
9. PDF XSS Can Compromise Your Machine
10. Port Scan without JavaScript

Також вартий уваги (етакий приз симпатій):

• Microsoft ASP.NET Request Validation Bypass Vulnerability

Доволі цікавий список. В загальному переліку відсутні деякі цікаві розробки (і тому в голосуванні вони не приймали участі), зокрема мої власні розробки в минулому році. Котрі були варті уваги і згадки в даному переліку, але в будь-якому разі цікавий список веб хаків.

Продовжуючи тему Безпеки IPB, розповім вам про нові уразливості та експлоіти до Invision Power Board.

Ось самий останній експлоіт для IPB 2.1.7 та попередніх версій движка:

• Invision Power Board <= 2.1.7 ACTIVE XSS/SQL Injection Exploit (деталі)

В своєму записі Cross-Site Scripting: Attackers’ New Favorite Flaw Robert Auger повідомив, ще в червні минулого року, що XSS стали найбільш популярними уразливостями серед нападників. В минулому році неодноразово в онлайновій пресі з’являлися статті, де Cross-Site Scripting визначався як найбільш поширена уразливість.

В даному випадку Роберт посилається на тодішню заяву Mitre про те, що XSS стали найбільш популярною уразливістю: “For years buffer overflow has been the favorite target of online attackers, but no more: Cross-site scripting is now the biggest culprit”.

Уразливості переповнення буферу стали менш поширеними серед знайдених уразливостей в 2007 році, поступившись місцем Cross-Site Scripting. Наступними по поширенності після них йдуть SQL injection уразливості.

Пропоную вам подивитися цікавий і веселий відеоролик про рекламу першої версії ОС Windows. В цьому рекламному ролику Стів Балмер розповідає про переваги Вінди .

Microsoft - Реклама Windows 1.0

Майже хвилина реклами Microsoft Windows - і ні слова про безпеку. За весь ролик Балмер, описуючи переваги Віндовса, жодного слова не сказав про безпеку. Майкрософт тоді навіть не думала про неї. Ось звідки йдуть всі сьогоднішні проблеми з дірявою Віндою, IE та іншими несекюрними продуктами даної компанії. Що в свою чергу призвело до вірусних епідемій, бот-мереж, спаму, DDoS та інших негативних проявів, з якими ми стикаємося сьогодні. Про безпеку потрібно думати починаючи з першої версії свого додатку.

09.12.2007

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5 та 6.

Ось нова добірка уразливих сайтів про інформаційну безпеку:

• hackzona.ru
• xato.net
• opennet.ru

Всім security сайтам та компаніям слід приділяти більше уваги власній безпеці.

15.01.2008

Ще одна добірка уразливих секюріті сайтів:

• cgisecurity.com
• uaxxi.com
• www.hellboundhackers.org

Секюріті та хакерським проектам варто більше слідкувати за безпекою власних сайтів.

В грудні я дав інтерв’ю журналу InternetUA. І в січневому номері журналу (що вже вийшов) буде розміщений опис моєї персони в розділі profile, зроблений на основі інтерв’ю.

Так що кому буде цікаво прочитати інформацію про мене, то можете дістати собі номер InternetUA за січень 2008 . І цікаву інформацію про Інтернет та Уанет почитаєте, і про мене більше дізнаєтесь.

P.S.

Розмістив мій профайл на сайті: MustLive-InternetUA.pdf.

Нещодавно виявився цікавий факт - один з сайтів Партії регіонів є небезпечним . З недавніх пір Гугл визначив, що Офіційний сайт Донецького областного вітділення Партії регіонів є небезпечним. Про що в останні дні писали різні онлайн ЗМІ.

Щоб побачити це на власні очі потрібно було лише зробити пошук даного сайта, наприклад по його домену: www.pr.dn.ua. Де Гугл видавав “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. Зараз ця обставина вже виправлена і Гугл нормально видає даний сайт в серпі (хоча ще вчора він визначався як небезпечний). Регіонали звернулися до суппорту пошуковця і вони швидко виправили дану ситуацію.

Виникає запитання: чи насправді сайт www.pr.dn.ua був небезпечний, чи це була лише помилка, бо просто так подібні статуси для сайтів на виставляють. Враховуючи те, що перед встановленням статусу небезпечного, сайт повинен був ретельно перевірятися модераторами, то можна допустити, що сайт все ж таки був небезпечний (що пізніше було виправлено).

Для того щоб отримати подібний статус, потрібно щоб на сайті був виявлений небезпечний контент. Котрий і був виявлений на сайті регіоналів, після чого він отримав статус небезпечного. В даному випадку слід визначити, яким чином зловмисний контент потрапив на сайт. Серед шляхів потрапляння подібного контенту на сайт можна виділити наступні:

1. Контент розмістили навмисно. Він міг бути “небезпечним”, “не дуже небезпечним” або навіть “майже не небезпечним”, але Гугл оцінив його як небезпечний для відвідувачів.

2. Контент розмістили не навмисно. Випадково нехороший файл чи скрипт потрапив на сайт (надавати його в відкритий доступ ніхто не хотів), потім його прибрали, але Гугл вже його примітив і оцінив сайт відповідним чином.

3. Сайт похакали і розмістили небезпечний контент. Що найбільш вірогідно.

Щоб з вашим сайтом (і взагалі з будь-яким сайтом) не трапилось подібного, щоб на сайті не розмістили шкідливий контент і його не “відмітили” в пошуковці, потрібно слідкувати за його безпекою. І проводити аудит безпеки сайта. Тільки дбаючи про безпеку свого сайта ви можете бути впевнені в його долі.

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіти та уразливості в COM функціях в PHP 5.x, в функції zend_hash_init та функції libxmlrpc в PHP < 4.4.7 і 5.x < 5.2.2.

• PHP 5.x COM functions safe_mode and disable_function bypass (деталі)
• DoS in zend_hash_init function in PHP (деталі)
• PHP libxmlrpc buffer overflow (деталі)

Наприкінці грудня, 29.12.2007, вийшла нова версія WordPress 2.3.2 - оновлення для гілки WP 2.3.x.

WordPress 2.3.2 це багфікс та секюріті випуск для 2.3 серії. В даній версії було виправлено багато багів та уразливостей, в тому числі серйозних уразливостей, про які я писав в грудні.

Зазначу, що в офіційному пості на сайті зазначені не всі виправлення, а лише частина - про деякі виправлення зумисно не було повідомлено в пості. Про них можна дізнатися лише подивившися детальну інформацію про зміни в файлах. На сторінці Trac з переліком виправлень також наведені не всі виправлення (зокрема не всі секюріти фікси).

Офіційно розробники WP повідомили, що в WordPress 2.3.2 виправлений баг з витоком інформації про чорнетки, а також пофіксені Information disclosure уразливості (виявлені мною), та були виправлені витоки інформації в XML-RPC та APP реалізаціях. В якості бонуса, в версії 2.3.2 була додана можливість задавати власну сторінку з повідомленнями про помилки в БД.

Як наводиться в Trac були виправлені наступні баги та уразливості:

• Покращена швидкодія роботи системи (оптимізовані функції sanitize_post та sanitize_post_field)
• По замовчуванню не виводяться повідомлення про помилки в БД (поки не встановлено WP_DEBUG в true). Нарешті вони зробили те, про що я просив їх ще в жовтні 2006, коли знайшов перші SQL DB Structure Extraction в WP
• Власна DB Error Page
• Обмежений витік інформації в XML-RPC
• Виправлена дірка в query.php, що приводила до витоку інформації про чорнетки
• Скрипти setup-config.php та install.php тепер перевіряють на коректний зв’язок з MySQL

Але це не вся інформація про секюріти виправлення в WP 2.3.2. Як повідомив Peter Westwood в своєму пості WordPress 2.3.2 in detail, в даній версії було зроблено набагато більше виправлень (ніж повідомлено в офіційному пості).

Він навів 12 найбільш важливих виправлень. Окрім вище наведених (в Trac) 6 виправлень, також відзначу наступні:

• Введені різні правила для різних типів URI
• Виправлена XSS уразливість в wp-mail.php
• Обмежений витік інформації в xmlrpc методі wp.getAuthors
• Додані додаткові перевірки в методах xmlrpc
• Додані додаткові перевірки в APP сервері
• Виправлена функція validate_file() для протидії Directory traversal (на Windows) - про численні Local file include, Directory traversal та інші уразливості (що були виправлені в даній версії) я писав раніше

Зазначу, що хоча в цій версії виправленні численні Directory traversal та Local file include та Information disclosure уразливості (знайдені мною), а також відключене по дефолту виведення помилок роботи з БД (що я пропонував їм зробити ще в 2006 році), розробники жодного разу не згадали про мою допомогу, що є дуже нечемно. Більш того, вони не відповіли на більшість з моїх останніх листів і не подякували мені, лише тихенько виправили дірки (і навіть не про всі з них згадали в офіційному пості), що дуже несерйозно з їхнього боку.

Також зазначу, що дані уразливості, про котрі я писав в грудні, виправлені лише в версії WP 2.3.2 (тобто в гілці 2.3.x). Всі попередні версії, зокрема гілки 2.0.x, 2.1.x та 2.2.x (в тому числі останні версії в цих гілках) є вразливими.

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки. Тест базуєтья на моїй системі тестування FlashTestSystem.

В оновленій версії додав 10 нових запитань, цього разу по п’ятому розділу мого Посібника з безпеки. Тепер у тесті 30 запитань на web security тематику (котрі базуються на перших п’яти розділах мого посібника).

Вдалого тестування .