Websecurity - Веб безпека

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на дев’ятий та десятий дні були упобліковані деталі про дві уразливості (Cross-Site Scripting та HTML Injection).

• MOMBY-00001000: Myspace “Fuseaction” Event Handler XSS (деталі)
• MOMBY-00001001: Myspace Events searchForm “zip” HTML insertion (деталі)

Дев’ятий та десятий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Нещодавно з’явився експлоіт для однієї уразливості в Mozilla Firefox (відомої ще з минулого року). Баг пов’язаний з обробкою браузером тега marquee. Зазначений експлоіт направлений на версії Firefox 2.0.0.3 (браузер підвисає) та 3.0a3 (браузер вибиває).

Протестувати ваш браузер: firefox_dos.html.

На milw0rm.com був опублікований експлоіт для даної уразливості.

• Mozilla Firefox 2.0.0.3 / Gran Paradiso 3.0a3 DoS Hang / Crash Exploit (деталі)

Даний експлоіт на Пітоні. Тому я вирішив написати власний експлоіт на Перлі. Який пропоную вашій увазі.

• Mozilla Firefox 2.0.0.3 - 3.0a3 DoS Hang - Crash Exploit (деталі)

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на сьомий та восьмий дні були упобліковані деталі про одну уразливість.

• MOMBY-00000111: Myspace Cleartext Authentication (деталі)

Це дірка за сьоме число (стосовно передачі логінів та паролів відкритим текстом). Восьмого числа жодної інформації про діри не публікувалось, тому що була Пасха і Mondo Armando з Mustaschio вирішили не публікувати нових дір.

Сьомий та восьмий дні Місяця багів в MySpace видалися відносно цікавими та спокійними. Чекаємо на наступний день багів.

Як вже я писав Місяць багів в PHP завершився - разом з завершенням минулого місяця, березня, коли дана акція й проводлилася. Але Стефан вирішив ще раз привернути вашу увагу, трошки продовживши свій проект. Він нещодавно провів етакий afterparty - черговий день Місяця багів в PHP, але цього разу вже післяпрограмний (після основної вечірки), на додаток до MOPB.

Як повідомляється на офіційному сайті Month of PHP Bugs, нещодавно, були опубліковані деталі про одну уразливість в PHP.

• PHP ext/filter Email Validation Vulnerability (деталі)

Вийшло так, що Стефан притримав нам на десерт черговий баг. Щоб люди не розсляблялися, особливо розробники мови PHP .

Цей afterparty день Місяця багів в PHP також видався цікавим. Як і увесь проект MOPB.

Як попівдомив деякий час тому RSnake в записі Yahoo XSS Vuln - на сайті Yahoo була знайдена Cross-Site Scripting уразливість. Діра на сайті однієї з найбільших інтернет-компаній.

XSS:

• alert(document.cookie)

Дану дірку, котру знайшов digi7al64, вже виправлено (цю новину я публікую з запізненням, бо тільки зараз дістався до неї). Головне, на що я хочу звернути увагу, що великим інтернет компаніям та популярним порталам треба приділяти уваги безпеці своїх веб ресурсів ще більшу, ніж у випадку менш популярних проектів.

Тому що веб сервісами таких гігантів як Яху користується величезна кількість людей, про безпеку яких варто потурбуватися (так само як про власний імідж). На великих веб компаніях лежить більша відповідальність, тому й безпека в них повинна бути на найвищому рівні. А не так як це зараз є у MySpace . Я ще сам планую ближче придивится до сайтів Яху - відносно рівня їх безпеки.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на п’ятий та шостий дні були упобліковані деталі про дві уразливості (Authentication Bypass та Cross-Site Scripting).

• Advisory MOMBY-00000101: Myspace Pics Authentication Bypass (деталі)
• MOMBY-00000110: Myspace Jobs Search XSS (деталі)

Перша уразливість являє собою обхід авторизації для огляду зображень розміщенних на порталі. Друга уразливість - це XSS. Причому зазначу, що обидві дірки були дуже швидко виправлені (адміни Майспейса швидко відреагували і тому не дали людям можливості протестувати дані дірки).

П’ятий та шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на третій та четвертий дні були упобліковані деталі про дві уразливості (HTML Injection та Cross-Site Scripting).

• MOMBY-00000011: MySpace HTML/Link Insertion (XSS Filtered) (деталі)
• MOMBY-00000100: MySpace XSS (filter evasion) (деталі)

Це уразливості в одному скрипті. Спочатку знайшли HTML Injection, котра і була опублікована на третій день. А потім все ж таки виявили можливість ін’єкції XSS (що працює лише в IE), котру опублікували на наступний день.

Третій та четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, учора, на другий день були упобліковані деталі про одну уразливість (Cross-Site Scripting).

• MOMBY-00000010: MySpace Link Poisoning (Clickable XSS) (деталі)

Окрім XSS, також можливий редиректор.

Другий день Місяця багів в MySpace видався цікавим і спекотним. Чекаємо на наступний день багів.

Учора розпочався Місяць багів в MySpace - нова акція, котра буде тривати на протязі квітня. MOMB (або як називають його автори, MOMBY) - це новий проект, мета якого публікація інформації про діри в безпеці MySpace.

Як повідомляється на офіційному сайті проекту, учора, в перший день були упобліковані деталі про одну уразливість в MySpace.

• Advisory MOMBY-00000001: MySpace Official URL Spoofing (деталі)

Підробка URL на сайті відомого портала Майспейс - це немаленька уразливість.

Перший день Місяця багів в MySpace видався цікавим і веселим (враховуючи, що вчора було перше квітня). Чекаємо на наступний день багів.

Як вам відомого, сьогодні перше квітня - відомий і популярний день, в чомусь навіть свято, котре візначається у всьому світі (усіма бажаючими). І представники web app security в цьому плані не є виключенням , про що я вам розповім.

Спочатку сьогодні відзначились організатори Місяця багів в MySpace, котрі опублікували деталі першої уразливості в MySpace. Про що я напишу детальніше в окремій новині. Це етакий “жарт” для MySpace, причому цілком серйозний, бо уразливість там реальна і варта уваги.

Ну а найбільше приколів видав сьогодні сайт ha.ckers.org . RSnake, веселий хлопець, не міг обминути перше квітня.

Першим приколом став запис Google Hires RSnake - про те, що Гугл няйняв на роботу RSnakа, відомого фахівця з веб безпеки. Ага, і звільнив його на наступний день , бо не витримав його дуже гуморного настрою. Ну і RSnake звичайно заявив, що це його останній пост на сайті, та взагалі він хоче його продати. Ось і думаю, може купити собі цей сайт з доменом ха.керс.орг.

Наступним приколом став запис Lol! i rUn da site!!#@!!! - кумедний пост 13-річної дівчинки, котра нарешті дісталася до сайта (щоб написати свій довгоочікуваний пост). Фото маленького песика довершує картину . Перше квітня видалося зайнятним.

Так що веселого вам всім настрою.