Websecurity - Веб безпека

Зараз в Інтернеті існує чимало різних CAPTCHA і багато з них є вразливими. Вони не захищають від спаму, тому що багатьох з них можна обійти. Капчі створюють лише ілюзію захищеності. Тому настав час подивитися на справжній рівень захисту Капч від автоматизованої активності.

Головна мета проекту: демонстрація реального стану справ з безпекою Капч. В Капчах є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, веб розробники зможуть створити надійні Капчі, а кожен власник сайту зможе вибрати найбільш надійну Капчу для свого веб проекту.

Учасники проекту: різноманітні Captcha системи, що використовується на багатьох сайтах в Інтернеті. В тому числі вбудовані капчі та плагіни для різних движків та CMS.

Правила проекту: участь Капч в проекті добровільна. Тобто я добровільно вибрав учасників для проекту . Щодня будуть публікуватися дірки по окремій Капчі. Також заплановані бонусні публікації, в тому числі статті. А першого грудня я підведу підсумки проекту. В проекті будуть демонструватися лише уразливості в Капчах (в їх алгоритмах). Такі методи як OCR та використання найманих людей для їх заповнення розглядатися не будуть - тільки уразливості в самих Капчах.

Результат проекту: покращення захисту від автоматизованих постів, покращення безпеки Капч та Інтернету в цілому.

Деякий час тому в WordPress 2.3 була виявлена Cross-Site Scripting уразливість. Котра була виправлена у версії WordPress 2.3.1, що вийшла нещодавно.

Уразливість в скрипті edit-post-rows.php пов’язана з тим, що масив “posts_columns” є не ініціалізованим, що дозволяє задати йому довільне значення при визові скрипта. Тому можлива XSS атака у випадку включених register_globals.

XSS:

http://site/wp-admin/edit-post-rows.php?posts_columns[]=<script>alert('XSS')<script>

• XSS in WordPress 2.3 (деталі)

Нещодавно, 26.10.2007, вийшла нова версія WordPress 2.3.1 - оновлення для гілки WP 2.3.x.

WordPress 2.3.1 це багфікс та секюріті випуск для 2.3 серії. В даній версії було виправлено більше 20 багів та декілька уразливостей.

Серед виправлень додана відтримка тегів Windows Live Writer, виправлений баг з логіном, пришвидшена робота таксономії, пофіксений імпортер лінків. Серед секюріті проблем була виправлена XSS уразливість.

Позавчора вийшла нова версія програми Perl Pas Interpreter v.1.3.4. В новій версії:

• Додана функція arctan.
• Додана підтримка оператора div в write та writeln.
• Покращена робота оператора присвоєння з масивами.
• Покращена робота функцій exp та ln з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

10.10.2007

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4 та 5.

Ось нова добірка уразливих сайтів про інформаційну безпеку та секюріті компаній:

• security.compulenta.ru, www.secnews.ru, www.secblog.info
• www.infosecuritymoscow.com
• www.sis.gov.uk

Всім security компаніям та спецслужбам слід приділяти більше уваги власній безпеці.

25.10.2007

Ще одна добірка уразливих секюріті сайтів:

• www.mi5.gov.uk
• www.sbu.gov.ua
• www.szru.gov.ua

Секюріті проектам та спецслужбам варто більше слідкувати за безпекою власних сайтів.

Настав час для анонсу мого нового проекту - Місяця багів в Капчах (Month of Bugs in Captchas). Даний проект відбудеться в наступному місяці. Тому листопад - це місяць багів в Капчах .

В Інтернеті існує чимало різних Captcha систем і багато з них є вразливими. Капчі створюють лише ілюзію захищеності. Метою даного Місяця багів є демонстрація реального стану справ з безпекою Капч, що використовуються на багатьох веб сайтах.

В листопаді 2007 року відбудеться Апокаліпсис для Капч. Чимало Капч будуть захакані до смерті. Вони помруть для того, щоб переродитися в нові більш захищені Капчі. Час прийшов.

Адреса проекту: http://websecurity.com.ua/category/mobic/

Додаткова інформація про проект буде опублікована в кінці поточного місяця. Листопад буде дуже спекотним місяцем.

Як повідовив RSnake в своєму записі IE Sends Local Addresses in Referer Header, існує можливість дізнатися важливу інформацію через реферер. В Internet Explorer 7 (в якому він тестував) при відкритті сторінки (зі спеціальним кодом) передається реферер.

<xml id="xml" src="http://site.com"><xml>

В даному випадку, якщо ця сторінка була збережена на локальний диск і відкрита локально, то на віддалений сервер передасться реферер локальної папки. Що буде витоком інформації, зокрема імені диску та локального шляху, а також (в більшості випадків) імені користувача - його логіна в системі. Раніше для цього потрібно було використовувати JavaScript або інші активні елементи, а тепер реферер можна отримати за допомогою цього простого методу.

Даний метод працює в Internet Explorer і не працює в Mozilla та Firefox. Окрім IE 7, як я перевірив, в IE 6 він також працює.

На цих вихідних в Києві пройшла конференція BlogCamp 2007. В якій я прийняв участь та виступив з доповіддю.

Вчора, 13.10.2007, я відвідав BlogCamp - першу подібну конференцію в Україні (та першу на теренах СНГ і Балтії). Сама конференція вийшла цікавою - мені вона сподобалась. На ній я послухав декілька інтересних доповідей, а також виступив зі своєю доповіддю на тему “Безпека Блогосфери”.

Якщо вам цікава дана тема, то можете ознайомитися з текстом моєї доповіді: Безопасность Блогосферы (Security of Blogosphere).

Про редиректори на пошуковцях та секюріті сайтах я вже раніше розповідав. Редиректори - це окремий різновид уразливостей в веб додатках (котрий можна віднести до класу Abuse of Functionality). Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

Зараз приведу приклади редиректорів в різних CMS. Дані уразливості можна виявити майже на всіх сайтах, що використовують зазначені системи.

Редиректори в CMS движках:

DataLife Engine:

• http://www.secblog.info/…_url=http://websecurity.com.ua

pMachine:

• http://www.volkoff.ru/…go=http://websecurity.com.ua

ExpressionEngine:

• http://danimult.ru/?URL=http://websecurity.com.ua

Хочете знати як знайти мільйон XSS уразливостей? Я вам розповім.

В своєму записі 1,000,000 XSS vulnerabilities and counting, Джеремія написав з приводу нашої з ним розмови. Нещодавно ми з ним спілкувалися з приводу деяких знайдених мною уразливостей (зокрема на сайтах спецслужб), і він з жалем заявив, що хотів би знати спосіб як знайти мільон нових XSS дірок швидше.

На що я йому запропонував наступну методику.

Взявши знайдені мною уразливості в Google Search Appliance ми маємо 4 XSS, котрі наявні на 207000 сайтах. Якщо всі вони уразливі (не всі, але чимало з них), то виходить 207000 сайтів х 4 дірки = 828000 XSS (майже мільйон).

Інший приклад - UXSS уразливості. Як можна дізнатися з Гугла, в Інтернеті до 302 мільйонів pdf файлів на сайтах (на більшості сайтів) і майже всі вони уразливі до UXSS. Так що існують способи, щоб швидко знайти велику кількість XSS. І за допомогою Гугл дорків можна знаходити інші уразливості у великій кількості (про що я писав у статтях про “Warning” Google хакінг).