Websecurity - Веб безпека

Ось і настав час для анонсу мого нового проекту - Місяця багів в Пошукових Системах (Month of Search Engines Bugs). Даний проект відбудеться в наступному місяці. Тому червень - це місяць багів в пошукових системах .

Метою даного Місяця багів є демонстрація реального стану справ з безпекою в пошукових системах, котрі є найбільш популярними сайтами в Інтернеті. Щоб користувачі пошукових систем та в цілому веб спільнота розуміли всі ризики, що несуть їм пошукові системи. А також щоб привернути увагу власників пошукових систем до питань безпеки своїх сайтів.

На протязі місяця будуть щоденно публікуватися уразливості в найбільш популярних пошукових системах світу. Зокрема Cross-Site Scripting уразливості. Кожного дня будуть публікуватися уразливості в різних системах (мінімум по одній публікації, але іноді будуть і бонусні публікації).

Адреса проекту: http://websecurity.com.ua/category/moseb/

Додаткова інформація про проект і його правила буде опублікована в кінці поточного місяця. Червень буде спекотним місяцем.

Стосовно уразливостей в локальному пошуковці Яндекса, про що я писав в записі Уразливості в пошуці Яndex.Server, з котрими мені доводилося багато разів стикатися, то зазначу. Що уразливими є обидві версії: Free Edition та Enterprise.

Пошуковець Яndex.Server постачається в двох версіях: Яndex.Server Free Edition та Яndex.Server Enterprise. З недавніх пір Яндекс почав розповсюджувати свого локального пошуковця у версії Free Edition (раніше була Lite версія), котра є повістю безкоштовною. Ну і залишилась друга версія - Enterprise (за ціною від $100000).

Мені траплялися диряві сайті з обома версіями Яndex.Server. У випадку Free Edition існує вимога, що треба на сторінках пошуку мати обов’язково лінку на сайт Яндекса (причому явно не всі сайти, що мали згадку в своєму пошуці “про Яндекс”, були на Free, деякі явно мали Enterprise версію). Також мені траплялися сайти, що використовують даний локальний пошуковець (по інформації від самого Яндекса), але без згадки про це, тобто використовували Enterprise версію. І уразливості також мали місце.

Тому Яндексу треба зайнятися підвищенням безпеки свого продукту (особливо враховуючи ціну Enterprise версії). А користувачам обох версій системи треба приділяти увагу аудиту безпеки своїх сайтів.

В травні розпочався новий проект з серії “місяць багів”. Цього разу розпочався Month of ActiveX Bugs (або скорочено MoAxB) - Місяць ActiveX багів.

Як повідомляє автор проекту MoAxB - Month of ActiveX Bugs shinnai в своєму блозі, відкритому саме для цього проекту, в новому місяці багів будуть опубліковані дірки в ActiveX компонентах.

Дані компоненти можуть використовуватися різними додатками, але головним додатком для ActiveX є Microsoft Internet Explorer. Нагадаю, що ActiveX - це технологія Microsoft для оснащення веб-сторінок інтерактивними елементами.

По інформації від автора MoAxB, в основному будуть опубліковані баги, що являють собою помилки, які можна використовувати для атак відмови в обслуговуванні (DoS атак). А також будуть деякі баги, що дозволяють виконання коду. До речі, shinnai вже розпочав публікувати уразливості в ActiveX компонентах. Про перебіг даної акції я ще розповім додатково.

Завершився Місяць багів в MySpace. І його засновники в останні дні проекту продовжили інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позапозавчора та позавчора, на двадцять дев’ятий та тридцятий дні були опубліковані деталі про масу уразливостей. За раз вони опублікували дані аж про 31 дірку!

• MOMBY-00010100: Myspace Bug Potpourri (деталі)

Якщо 29 числа засновники MOMB відпочивали, то на 30 число вони видали на гора цілу купу багів. Вони влаштували Попурі Багів в Майспейсі - опублікували дані аж про 31 дірку. Вірішили на завершення задати жару . І хоча більша частина (якщо не всі) з цих багів вже виправлені в результаті Місяця багів (після попередніх виправлень на Майспейсі), але тим не менш добірка вийшла чимала. До того ж вони ще й не всі баги “що залишилися” опублікували. Зокрема не були опубліковані декілька моїх багів (які я з часом оприлюдню), мабуть собі про запас хлопці залишили.

Двадцять дев’ятий та тридцятий дні Місяця багів в MySpace видалися цікавими та спекотними. Як і увесь Місяць. Проект MOMB видався цікавим, веселим, і головне корисним (піднявши рівень безпеки Майспейса). За весь час роботи проекту було оприлюднено 19 багів (+ 31 баг в останньому попурі), більша частина з яких була пофіксена. Тому результативність проекту доволі висока.

Поздоровляю вас з травневими святами!

Бажаю вам успіху, гарного весняного настрою та безпеки всім вашим веб проектам . Травень повинен стати місяцем безпеки усіх веб сайтів в Інтернеті (і я обов’язково прикладу власних зусиль для цього).

З початку цього року команда з п’яти фахівців з веб безпеки почала працювати над книгою про XSS. Як повідомив RSnake в своєму записі XSS Book, а також pdp в записі Author of the XSS Book - вони зараз посилено працюють над власною книгою про Cross Site Scripting уразливості.

Над книгою працюють відомі діячі в сфері безпеки веб додатків: Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager та Petko Petkov. Одразу як з’явився анонс цієї книги від її авторів, я написав їм (трьом авторам з якими я знайомий) свої поради та побажання стосовно майбутньої книги. І вони обіцяли прикласти всі зусилля, щоб книга вийшла цікавою та корисною.

Cross Site Scripting Attacks: Xss Exploits and Defense - це перша книга про XSS уразливості. За цією адресою ви можете отримати додаткову інформацію про книгу та зробити замову.

Триває Місяць багів в MySpace. І його засновники у власній манері продовжують інформувати про діри в безпеці MySpace.

Як повідомляється (а точніше не повідомляється) на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять сьомий та двадцять восьмий дні не було упобліковано жотних деталей про уразливісті.

В останні два дні засновники MOMB посилено відпочивали, ледарі такі вони . Їм було ліньки постити інформацію про нові баги. Хоча подібна інформація у них є, і я то знаю напевно, бо сам надсилав їм дані про дірки в Майспейсі. Подібна ситуація вже була на двадцять перший та двадцять другий день Місяця багів.

Двадцять сьомий та двадцять восьмий дні Місяця багів в MySpace видалися зовсім не цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять п’ятий та двадцять шостий дні були упобліковані деталі про дві уразливості.

• MOMBY-00010010: Video Upload “title” Image Alt Text Error (деталі)
• MOMBY-00010011: Pimp-My-Profile “Hide Friends” Information Disclosure (деталі)

Перший баг - це навіть не уразливість, а звичайний баг (хоча на початку місяця, там могла бути реальна дірка, до того як Майспейс пофіксив свої фільтри). Другий баг - це уразливість, що може привести до витоку інформації.

Двадцять п’ятий та двадцять шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять третій та двадцять четвертий дні були упобліковані деталі про дві уразливості.

• MOMBY-00010000: Myspace Cross-Site Request Forgery (CSRF) Signout (деталі)
• MOMBY-00010001: Clickable “numberPagesBack” XSS (деталі)

Перший баг - це проста CSRF (XSRF) уразливість, яка тим не менш може бути використана для недобрих справ (в даному випадку логаут користувача). Другий баг - це XSS дірка, причому не автоматична, а з необхідністю виконання кліка користувачем.

Двадцять третій та двадцять четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники у власній манері продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять перший та двадцять другий дні не було упобліковано жотних деталей про уразливісті.

В ці дні засновники MOMB відпочивали, іншими словами били байдики . Вони продовжили свій відпочинок з 20 числа, тому за три останні дні вони не опублікували жодних нових багів. І все із-за лінощів. Пора вже почати повідомляти про нові баги.

Двадцять перший та двадцять другий дні Місяця багів в MySpace видалися зовсім не цікавими. Чекаємо на наступний день багів.