Websecurity - Веб безпека

Вчора вийшла нова версія програми Perl Pas Interpreter v.1.3.3. В новій версії:

• Додане персонофіковане збереження текста програми (в онлайн інтерпретаторі).
• Зроблені кнопки “Прочитати” та “Зберегти”. Збереження відбувається в кукіс.
• Додана підтримка оператора mod в write та writeln.
• Покращена робота функцій round та trunc з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

05.09.2007

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, Безпека сайтів про безпеку 2, Безпека сайтів про безпеку 3 та Безпека сайтів про безпеку 4.

Ось нова добірка уразливих сайтів про інформаційну безпеку та секюріті компаній:

• altersys-ua.com
• www.security.nnov.ru, www.securitylab.ru, ivdb.org
• infoteh.com.ua

Всім security проектам та компаніям слід приділяти більше уваги власній безпеці.

25.09.2007

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• www.uinc.ru
• www.siteedit.ru (надають послуги з аудиту безпеки)
• dsec.ru
• www.opennet.ru

Секюріті проектам варто більше слідкувати за безпекою власних сайтів.

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіти в розширенні php_win32sti для PHP версії до 5.2.3 включно та в розширенні FFI Extension.

• PHP <= 5.2.3 (php_win32sti) Local Buffer Overflow Exploit (деталі)
• PHP <= 5.2.3 (php_win32sti) Local Buffer Overflow Exploit (2) (деталі)
• PHP FFI Extension 5.0.5 Local Safe_mode Bypass Exploit (деталі)

Існує такий термін - сплог (splog), що означає спам блог, тобто блог спамера. Наповнення змісту такого блогу відбувається шляхом копіювання інформації з інших сайтів (блогів) - джерел оригінальної інформації (здебільшого без посилань на першоджерело). При цьому дана інформація видається за свою.

Подібне явище набирає все більшого поширення останнім часом. Серед загальної кількості блогів (котрих у Вебі дуже багато) чималий відсоток займають сплоги. Ви могли зустрічати подібні блоги (я нерідко з ними стикаюся).

В своєму записі Anti-Splog Evasion, RSnake нагадав про дану проблему і запропонував методику боротьби зі сплогами. Йому не байдужа дана проблема, тому що спамери тирять інформацію з його сайта для своїх сплогів (я також часто стикаюся з подібною проблемою). До того ж сплоги засмічують блогосферу та Інтернет в цілому. Тому з цією проблемою потрібно боротися.

Позавчора, 18.09.2007, я знайшов Cross-Site Scripting уразливості в пошуковому движку Google Search Appliance. Як раз коли виявив уразливості на www.mi5.gov.uk. Про що найближчим часом сповіщу компанію Google.

XSS:

Уразливості в скрипті search в параметрах ie, site, client та oe:

http://site/search?ie=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&site=x&output=xml_no_dtd'&client=x&proxystylesheet=x'

Гуглу потрібно більше слідкувати за безпекою своїх пошукових движків (про що я вже писав в MOSEB).

Раніше я вже писав про листопадове опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати грудневого Web Application Security Professionals Survey (в якому я участі не приймав).

Цього разу в опитуванні прийняли участь 63 респонденти, професіонали в галузі веб вебзпеки. Більшість спеціалістів радять проводити перевірки безпеки після кожної (значної) зміни коду на сайті чи у веб додатку. Комерційні сканери безпеки використовує невелика частина опитаних, що узгоджується з результатами попередніх опитувань.

Стосовно оприлюднення знайдених уразливостей то значна частина голосів опитаних розділилася між відповідальним оприлюдненням (що я практикую), та не оприлюдненням. Детальна інформація про дане опитування на сайті Джеремії.

Найближчим часом підготую інформацію про січневе опитування.

В WordPress виявлений міжсайтовий скриптінг і SQL-ін’єкція.

Уразливі версії: WordPress версії до 2.2.3, WordPress MU версії до 1.2.5a.

Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад і виконати довільні SQL команди в базі даних додатку.

1. Уразливість існує через недостатню обробку вхідних даних деяких параметрів (наприклад, у параметрі “post_type” при обробці URL, що передається функції “pingback.extensions.getPingbacks()” методу XMLRPC). Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільні SQL команди в базі даних додатку.

2. Віддалений користувач може одержати привілею “unfiltered_html” шляхом додавання поля “no_filter”. Віддалений користувач може за допомогою спеціально сформованого запиту опублікувати довільний HTML код у блозі.

Дані уразливості вже виправлені в WordPress 2.2.3.

• Межсайтовый скриптинг и SQL-инъекция в WordPress (деталі)

В травні цього року, ще до BlackHat, пройшла конференція BlueHat. Котру відвідав RSnake, про що він розповів в себе на сайті. Дана конференція на тему інформаційної безпеки була організована компанією Microsoft.

На конференції він зробив доповідь та зустрівся з експертами в галузі безпеки та представниками секюріті команди Microsoft, а також з командою IE. З командою розробників Internet Explorer він обговорив питання безпеки даного браузера.

З цього приводу в записі BlueHat Errata, він зазначає, що існують деякі неточності з приводу IE, які поширені в Мережі, і котрі треба спростувати. По-перше, в IE 7 так і не був виправлений баг (як дехто вважав), що дозволяв на сторінках де не встановлене кодування (charset), перевизначати його через фрейм. Цей баг може використовуватися для подальших атак. По-друге HTTPOnly кукіси не можуть бути прочитаними через XMLHTTPRequest в IE 7 (як дехто вважав). Але з іншої сторони, в Firefox кукіси можуть бути прочитаними через XMLHTTPRequest, і враховуючи, що в ньому зараз вводиться підтримка HTTPOnly кукісів, то це є проблемою.

Також він виклав фотки з конференції з додатковими коментарями.

Для того щоб перевірити, чи не був ваш емайл акаунт (в даному випадку вебмайл) похаканий, можна скористатися одним цікавим методом. В своєму записі How to check if your WebMail account has been hacked Джеремія розповів про один метод перевірки емайл акаунта на предмет прихованої активності.

Для перевірки використовується приховане зображення. Котре буде працювати як прихований сигнал, що спрацює у випадку, коли зловмисник зайде у ваш почтовий акаунт. Алгоритм цієї системи оповіщення наступний.

1. Завантажити зображення (це може бути і скрипт) на сервер. Адресу зображення ніхто не повинен знати, ця адреса буде використовуватися лише для даної задачі. Щоб не було зайвих записів в логах, тільки активність в емайл ящику.

2. Відіслати собі на цей емайл ящик листа з прихованим зображенням. Причому тему листа потрібно зробити дуже інтригуючою (наприклад “Your new online Bank password” ). Даного листа потрібно залиши в ящику непрочитаним.

3. Чекати доки не настане той час, коли спрацює сигнал тривоги - приховане зображення (сподіваючись, що цього ніколи не станеться). Коли зловмисник отримає доступ до вашого акаунту, і зайде в нього почитати пошту і не втримається і відкриє листа з інтригуючою темою. При цьому спрацює зображення, і в логах запишеться IP зловмисника, а також дата і час взлому (а якщо використовувати скрипт, то можна надіслати собі на інший емайл або sms на мобільний телефон з інформацією про нападника).

Сьогодні на milw0rm.com був опублікований набір для взлому сайтів на WordPress движку - Wordpress Multiple Versions Pwnpress Exploitation Tookit. Даний скрипт являє собою набір експлоітів для різних версій Вордпреса. І призначений для зручної атаки на різноманітні сайти на різних версіях WP, надаючи інтерфейс для роботи з великою кількістю експлоітів для даної платформи.

• Wordpress Multiple Versions Pwnpress Exploitation Tookit (деталі)

Даний набір був перевірений розробниками на WordPress 2.2, 2.2.2, 2.0.5, 2.0.6, 2.1 та інших версіях, на PHP 5.2.4 для Apache 2.0.58 на Gentoo GNU/Linux. З magic_quotes on та off для різних експлоітів. Скрипт написаний на Ruby. Власникам сайтів на WP варто оновити свої движки до останньої версії.