Websecurity - Веб безпека

Завершився Місяць багів в MySpace. І його засновники в останні дні проекту продовжили інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позапозавчора та позавчора, на двадцять дев’ятий та тридцятий дні були опубліковані деталі про масу уразливостей. За раз вони опублікували дані аж про 31 дірку!

• MOMBY-00010100: Myspace Bug Potpourri (деталі)

Якщо 29 числа засновники MOMB відпочивали, то на 30 число вони видали на гора цілу купу багів. Вони влаштували Попурі Багів в Майспейсі - опублікували дані аж про 31 дірку. Вірішили на завершення задати жару . І хоча більша частина (якщо не всі) з цих багів вже виправлені в результаті Місяця багів (після попередніх виправлень на Майспейсі), але тим не менш добірка вийшла чимала. До того ж вони ще й не всі баги “що залишилися” опублікували. Зокрема не були опубліковані декілька моїх багів (які я з часом оприлюдню), мабуть собі про запас хлопці залишили.

Двадцять дев’ятий та тридцятий дні Місяця багів в MySpace видалися цікавими та спекотними. Як і увесь Місяць. Проект MOMB видався цікавим, веселим, і головне корисним (піднявши рівень безпеки Майспейса). За весь час роботи проекту було оприлюднено 19 багів (+ 31 баг в останньому попурі), більша частина з яких була пофіксена. Тому результативність проекту доволі висока.

Поздоровляю вас з травневими святами!

Бажаю вам успіху, гарного весняного настрою та безпеки всім вашим веб проектам . Травень повинен стати місяцем безпеки усіх веб сайтів в Інтернеті (і я обов’язково прикладу власних зусиль для цього).

З початку цього року команда з п’яти фахівців з веб безпеки почала працювати над книгою про XSS. Як повідомив RSnake в своєму записі XSS Book, а також pdp в записі Author of the XSS Book - вони зараз посилено працюють над власною книгою про Cross Site Scripting уразливості.

Над книгою працюють відомі діячі в сфері безпеки веб додатків: Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager та Petko Petkov. Одразу як з’явився анонс цієї книги від її авторів, я написав їм (трьом авторам з якими я знайомий) свої поради та побажання стосовно майбутньої книги. І вони обіцяли прикласти всі зусилля, щоб книга вийшла цікавою та корисною.

Cross Site Scripting Attacks: Xss Exploits and Defense - це перша книга про XSS уразливості. За цією адресою ви можете отримати додаткову інформацію про книгу та зробити замову.

Триває Місяць багів в MySpace. І його засновники у власній манері продовжують інформувати про діри в безпеці MySpace.

Як повідомляється (а точніше не повідомляється) на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять сьомий та двадцять восьмий дні не було упобліковано жотних деталей про уразливісті.

В останні два дні засновники MOMB посилено відпочивали, ледарі такі вони . Їм було ліньки постити інформацію про нові баги. Хоча подібна інформація у них є, і я то знаю напевно, бо сам надсилав їм дані про дірки в Майспейсі. Подібна ситуація вже була на двадцять перший та двадцять другий день Місяця багів.

Двадцять сьомий та двадцять восьмий дні Місяця багів в MySpace видалися зовсім не цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять п’ятий та двадцять шостий дні були упобліковані деталі про дві уразливості.

• MOMBY-00010010: Video Upload “title” Image Alt Text Error (деталі)
• MOMBY-00010011: Pimp-My-Profile “Hide Friends” Information Disclosure (деталі)

Перший баг - це навіть не уразливість, а звичайний баг (хоча на початку місяця, там могла бути реальна дірка, до того як Майспейс пофіксив свої фільтри). Другий баг - це уразливість, що може привести до витоку інформації.

Двадцять п’ятий та двадцять шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять третій та двадцять четвертий дні були упобліковані деталі про дві уразливості.

• MOMBY-00010000: Myspace Cross-Site Request Forgery (CSRF) Signout (деталі)
• MOMBY-00010001: Clickable “numberPagesBack” XSS (деталі)

Перший баг - це проста CSRF (XSRF) уразливість, яка тим не менш може бути використана для недобрих справ (в даному випадку логаут користувача). Другий баг - це XSS дірка, причому не автоматична, а з необхідністю виконання кліка користувачем.

Двадцять третій та двадцять четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники у власній манері продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на двадцять перший та двадцять другий дні не було упобліковано жотних деталей про уразливісті.

В ці дні засновники MOMB відпочивали, іншими словами били байдики . Вони продовжили свій відпочинок з 20 числа, тому за три останні дні вони не опублікували жодних нових багів. І все із-за лінощів. Пора вже почати повідомляти про нові баги.

Двадцять перший та двадцять другий дні Місяця багів в MySpace видалися зовсім не цікавими. Чекаємо на наступний день багів.

В першій половині квітня напрапив я на ще один проект з серії “Місяць багів”, про який вам і розповім.

Зараз як ви знаєте з моїх новин, стало популярним проводити різноманітні місяці багів . В січні був Month of Apple Bugs, в березні Month of PHP Bugs, зараз от проходить Month of MySpace Bugs. Та і я сам планую провести свій місяць багів (про що зроблю з часом офіційний анонс). І от я натрапив на сайт чергового місяця багів, який мене звісно зацікавив (актуальна тема зараз).

Month of Meat-Space Bugs - це проект зі слоганом “hacking the meatspace”, присвячений багам з реального світу (офлайну). Тобто це буде Місяць Офлайнових (звичайних) Багів.

На сайті ви можете ознайомитися з правилами проекту та класифікацією багів. Сам Місяць Офлайнових Багів задумувався як пародія на Місяць багів в MySpace. Але засновники підішли до ідеї з іншої сторони - щоб публікувати баги не з комп’ютерного світу, а зі світу реального.

Проведення цього проекту було заплановано на квітень і розпочалося ще 5 числа. Але засновники так й досі не розпочали публікувати інформацію про баги (поки немає жодного опублікуваного багу), хоча й писали, що в них вже накопичено чимало цікавий офлайнових багів. Будемо сподіватися, що це тимчасова затримка і проект все ж таки розпочне свою роботу (чи в цьому, чи вже в наступному місяці).

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на дев’ятнадцятий та двадцятий дні були упобліковані деталі про одну уразливість.

• MOMBY-00001111: Myspace FriendsView.aspx “__VIEWSTATE” POST XSS (деталі)

Дана FriendsView.aspx XSS уразливість доволі цікава. В ній використовується Base64 кодування для обходу фільтрів (для закодування тіла XSS експлоіту).

Це баг лише за позавчорашній день, а ось учора засновники MOMB відпочивали, тому й не опублікували інформації про наступний баг.

Дев’ятнадцятий та двадцятий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на сімнадцятий та вісімнадцятий дні були упобліковані деталі про дві уразливості (+ один бонусний баг).

• MOMBY-00001101: Cleartext Password Recovery via E-Mail (деталі)
• MOMBY-00001110: Careless Myspace Credential Theft (And comedianJoin XSS) (деталі)

Перший баг - це особливість роботи системи відновлення паролів на Майспейсі (це не стільки баг, скільки помилка констурукції - design flaw), котра може бути використана проти користувача порталу.

Другий баг - це добірка з двох багів. Credential Theft - це продовження попереднього багу з системою Password Recovery. Цього разу чергова помилка констурукції знаходиться в системі зміни емайла. І якщо використовуючи перший баг можна отримати доступ до акаунта користувача порталу, то з другим багом можна повністю захопити акаунт (і ускладнити можливість його поверення законному власнику). Бонусний баг comedianJoin XSS - це знайдені мною уразливості на myspace.com.

Сімнадцятий та вісімнадцятий дні Місяця багів в MySpace видалися цікавими і спекотними. Чекаємо на наступний день багів.