Websecurity - Веб безпека

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4. В новій версії:

• Додана підтримка циклів repeat until.
• В операторі repeat until підтримуються арифметичні вирази.
• Обмеження ($loop) дійсне для циклів repeat until так само як для міток.
• Покращена робота оператора if зі змінними та масивами.
• Покращена робота функцій delete, insert та copy зі змінними та масивами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Як я писав раніше, були виявлені численні уразливості в Adobe Flash Player. І як написав з цього приводу RSnake у своєму записі Flash XSS And Remediation Steps, він отримав листа від Adobe, з рекомендаціями для протидії новим уразливостям у флеш плеєрі.

Компанія Adobe випустила оновлену версію флеш плеєра, а також випустила бюлетень, в якому описується вирішення частини зі знайдених в другій половині 2007 року уразливостей. На початку 2008 вони планують випустити оновлення для вирішення іншої частини дір в флеш плеєрі.

Також Adobe радить флеш розробникам дотримуватися рекомендацій, що подані у розробленому компанією посібнику Creating more secure SWF web applications.

Два дні тому, 05.02.2008, вийшла нова версія WordPress 2.3.3 - оновлення для гілки WP 2.3.x.

WordPress 2.3.3 це секюріті випуск для 2.3 серії. В даній версії була виправлена уразливість в реалізації XML-RPC. Дана уразливість дозволяє будь-якому зареєстрованому користувачу редагувати пости будь-яких інших користувачів на сайті.

На доданок до виправлення цієї дірки в версії 2.3.3 також виправлено декілька невеликих багів.

Як стало відомо на початку лютого, компанія Microsoft планує купити компанію Yahoo, причому за рекордну суму в $44,6 млрд. Стосовно можливої купівлі зазначу в контексті безпеки сайтів та додатків обох компаній.

Майкрософту варто звернути увагу на безпеку сайтів Yahoo, тому що разом з купівльою самої компанії (за дуже велику суму), вони ще отримають масу уразливостей на додачу. Котрі доведеться виправляти. При тому що у Microsoft і своїх дір на сайтах вистачає, а також в Internet Explorer та ISS. Я вже не кажу про дірки в Windows та інших додатках Майкрософт.

Тому варто виправити спочатку свої поточні дірки, а вже потім братися за купівлю інших компаній (що додасть нових дірок). Зокрема варто виправити Cross-Site Scripting уразливість в IE, що я виявив в серпні минулого року, про яку одразу ж повідомив Microsoft, і яка й досі не виправлена.

Так що MS варто спочатку зайнятися своїми дірками, перед тим, як купувати Yahoo. Причому бажано перед купівлею оцінити дірявість веб сайтів компанії, яку планується придбати, і виставити їм умови, щоб вони ще до купівлі виправили дірки на своїх сайтах. Тобто компанії, яких планують купити інші компанії, мають серйозно починати ставитися до безпеки (чим вони повинні були займатися й раніше), щоб краще виглядати в очах покупця. Це повинно стати звичайною практикою для всіх компаній, особливо онлайн-компаній.

В Уанеті в 2006 та 2007 роках також відбулося ряд придбань та надходжень інвестицій. І при цьому купувалися компанії та веб проекти з уразливостями на своїх сайтах - з числа тих, що вже засвітился в моїх новинах (або ще засвітяться). Тобто на складову безпеки сайтів при купівлі онлайн-проектів зовсім не зверталася увага. Що є невірним підходом і його потрібно змінювати. Бо навіщо купувати дірявий сайт, переважно, за чималі кошти, щоб потім мати справу з його дірками, тобто доведеться ще додатково вкладати в його безпеку (що не зробили попередні власники). І по тим придбанням, що відбулися в Уанеті, добре видно, що безпека даних веб проектів не змінилася (дірявість залишилася на тому ж рівні). Тому в майбутньому компаніям, що планують придбати веб проект, варто оцінювати стан його безпеки, а самому кандидату на придбання, варто піднімати стан безпеки на високий рівень.

В минулому місяці я дав інтерв’ю журналу Афіша. І в п’ятому номері журналу, що вийде в лютому (вже на наступному тижні), буде розміщений опис моєї персони в рубриці Персона, зроблений на основі інтерв’ю.

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав мій профайл в січневому номері InternetUA , так і всім іншим, можете дістати собі п’ятий номер Афіши.

В своєму записі Google Text Ad Subversion, RSnake розповідає про можливість підробки реклами Google AdSense.

В даному випадку, він навів лінку на статтю в ZDNet, де розповідається як підміняли текстову рекламу Гугла за допомогою трояна на комп’ютерах користувачів, щоб вони клікали на рекламу зловмисників. Тобто на різних сайтах, що відвідує користувач, де розміщена реклама Google AdSense, реклама замінялася на іншу (що посилається на акаунт шахрая), щоб при кліках на цю рекламу заробив не власник сайта, а розробник трояна.

Цікава методика шахрайства на PPC. Це варіант іншої методики, коли хакаються сайти, на котрих розміщена реклама Google AdSense (або інших систем) і її код замінюється на інший, в цій системі, що посилається на акаунт зловмисника. І власник сайта навіть не здогадується, поки в коді не побачить зміни, що реклама на його сайті приносить дохід зовсім не йому.

Позавчора вийшла нова версія програми Perl Pas Interpreter v.1.3.7. В новій версії:

• Додана підтримка функцій в циклах while.
• Додана підтримка вкладених циклів в циклах while. До будь-якого рівня вкладеності.
• Покращена підтримка функцій в операторі if та циклі for.
• Виправлені дебаг надписи в операторі присвоєння.
• Покращена робота функцій chr та ord з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Джеремія на початку місяця оголосив, що планує зібрати перелік веб хаків минулого року, щоб вибрати з них найкращі. Склавши перелік хаків, він нещодавно виклав остаточний перелік кандидатів і відкрив голосування за 10 найкращих веб хаків - The Polls are Open: Top 10 Web Hacks of 2007.

І ось сьогодні він підвів підсумки голосування і опублікував десятку найкращих веб хаків 2007 року - Top Ten Web Hacks of 2007 (Official).

Десятка найкращих веб хаків:

1. XSS Vulnerabilities in Common Shockwave Flash Files
2. Universal XSS in Adobe’s Acrobat Reader Plugin
3. Firefox’s JAR: Protocol issues
4. Cross-Site Printing (Printer Spamming)
5. Hiding JS in Valid Images
6. Firefoxurl URI Handler Flaw
7. Anti-DNS Pinning ( DNS Rebinding )
8. Google GMail E-mail Hijack Technique
9. PDF XSS Can Compromise Your Machine
10. Port Scan without JavaScript

Також вартий уваги (етакий приз симпатій):

• Microsoft ASP.NET Request Validation Bypass Vulnerability

Доволі цікавий список. В загальному переліку відсутні деякі цікаві розробки (і тому в голосуванні вони не приймали участі), зокрема мої власні розробки в минулому році. Котрі були варті уваги і згадки в даному переліку, але в будь-якому разі цікавий список веб хаків.

Продовжуючи тему Безпеки IPB, розповім вам про нові уразливості та експлоіти до Invision Power Board.

Ось самий останній експлоіт для IPB 2.1.7 та попередніх версій движка:

• Invision Power Board <= 2.1.7 ACTIVE XSS/SQL Injection Exploit (деталі)

В своєму записі Cross-Site Scripting: Attackers’ New Favorite Flaw Robert Auger повідомив, ще в червні минулого року, що XSS стали найбільш популярними уразливостями серед нападників. В минулому році неодноразово в онлайновій пресі з’являлися статті, де Cross-Site Scripting визначався як найбільш поширена уразливість.

В даному випадку Роберт посилається на тодішню заяву Mitre про те, що XSS стали найбільш популярною уразливістю: “For years buffer overflow has been the favorite target of online attackers, but no more: Cross-site scripting is now the biggest culprit”.

Уразливості переповнення буферу стали менш поширеними серед знайдених уразливостей в 2007 році, поступившись місцем Cross-Site Scripting. Наступними по поширенності після них йдуть SQL injection уразливості.