Websecurity - Веб безпека

Як вже я писав Місяць багів в PHP завершився - разом з завершенням минулого місяця, березня, коли дана акція й проводлилася. Але Стефан вирішив ще раз привернути вашу увагу, трошки продовживши свій проект. Він нещодавно провів етакий afterparty - черговий день Місяця багів в PHP, але цього разу вже післяпрограмний (після основної вечірки), на додаток до MOPB.

Як повідомляється на офіційному сайті Month of PHP Bugs, нещодавно, були опубліковані деталі про одну уразливість в PHP.

• PHP ext/filter Email Validation Vulnerability (деталі)

Вийшло так, що Стефан притримав нам на десерт черговий баг. Щоб люди не розсляблялися, особливо розробники мови PHP .

Цей afterparty день Місяця багів в PHP також видався цікавим. Як і увесь проект MOPB.

Як попівдомив деякий час тому RSnake в записі Yahoo XSS Vuln - на сайті Yahoo була знайдена Cross-Site Scripting уразливість. Діра на сайті однієї з найбільших інтернет-компаній.

XSS:

• alert(document.cookie)

Дану дірку, котру знайшов digi7al64, вже виправлено (цю новину я публікую з запізненням, бо тільки зараз дістався до неї). Головне, на що я хочу звернути увагу, що великим інтернет компаніям та популярним порталам треба приділяти уваги безпеці своїх веб ресурсів ще більшу, ніж у випадку менш популярних проектів.

Тому що веб сервісами таких гігантів як Яху користується величезна кількість людей, про безпеку яких варто потурбуватися (так само як про власний імідж). На великих веб компаніях лежить більша відповідальність, тому й безпека в них повинна бути на найвищому рівні. А не так як це зараз є у MySpace . Я ще сам планую ближче придивится до сайтів Яху - відносно рівня їх безпеки.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на п’ятий та шостий дні були упобліковані деталі про дві уразливості (Authentication Bypass та Cross-Site Scripting).

• Advisory MOMBY-00000101: Myspace Pics Authentication Bypass (деталі)
• MOMBY-00000110: Myspace Jobs Search XSS (деталі)

Перша уразливість являє собою обхід авторизації для огляду зображень розміщенних на порталі. Друга уразливість - це XSS. Причому зазначу, що обидві дірки були дуже швидко виправлені (адміни Майспейса швидко відреагували і тому не дали людям можливості протестувати дані дірки).

П’ятий та шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на третій та четвертий дні були упобліковані деталі про дві уразливості (HTML Injection та Cross-Site Scripting).

• MOMBY-00000011: MySpace HTML/Link Insertion (XSS Filtered) (деталі)
• MOMBY-00000100: MySpace XSS (filter evasion) (деталі)

Це уразливості в одному скрипті. Спочатку знайшли HTML Injection, котра і була опублікована на третій день. А потім все ж таки виявили можливість ін’єкції XSS (що працює лише в IE), котру опублікували на наступний день.

Третій та четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, учора, на другий день були упобліковані деталі про одну уразливість (Cross-Site Scripting).

• MOMBY-00000010: MySpace Link Poisoning (Clickable XSS) (деталі)

Окрім XSS, також можливий редиректор.

Другий день Місяця багів в MySpace видався цікавим і спекотним. Чекаємо на наступний день багів.

Учора розпочався Місяць багів в MySpace - нова акція, котра буде тривати на протязі квітня. MOMB (або як називають його автори, MOMBY) - це новий проект, мета якого публікація інформації про діри в безпеці MySpace.

Як повідомляється на офіційному сайті проекту, учора, в перший день були упобліковані деталі про одну уразливість в MySpace.

• Advisory MOMBY-00000001: MySpace Official URL Spoofing (деталі)

Підробка URL на сайті відомого портала Майспейс - це немаленька уразливість.

Перший день Місяця багів в MySpace видався цікавим і веселим (враховуючи, що вчора було перше квітня). Чекаємо на наступний день багів.

Як вам відомого, сьогодні перше квітня - відомий і популярний день, в чомусь навіть свято, котре візначається у всьому світі (усіма бажаючими). І представники web app security в цьому плані не є виключенням , про що я вам розповім.

Спочатку сьогодні відзначились організатори Місяця багів в MySpace, котрі опублікували деталі першої уразливості в MySpace. Про що я напишу детальніше в окремій новині. Це етакий “жарт” для MySpace, причому цілком серйозний, бо уразливість там реальна і варта уваги.

Ну а найбільше приколів видав сьогодні сайт ha.ckers.org . RSnake, веселий хлопець, не міг обминути перше квітня.

Першим приколом став запис Google Hires RSnake - про те, що Гугл няйняв на роботу RSnakа, відомого фахівця з веб безпеки. Ага, і звільнив його на наступний день , бо не витримав його дуже гуморного настрою. Ну і RSnake звичайно заявив, що це його останній пост на сайті, та взагалі він хоче його продати. Ось і думаю, може купити собі цей сайт з доменом ха.керс.орг.

Наступним приколом став запис Lol! i rUn da site!!#@!!! - кумедний пост 13-річної дівчинки, котра нарешті дісталася до сайта (щоб написати свій довгоочікуваний пост). Фото маленького песика довершує картину . Перше квітня видалося зайнятним.

Так що веселого вам всім настрою.

Завершується Місяць багів в PHP, вчора відбувся останній день акції. І Стефан Ессер продовжив інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на тридцять перший день були упобліковані деталі про сім уразливостей в PHP! На останній день свого проекту MOPB, Стефан видав по максимуму нової інформації про баги в PHP. 7 дір в безпеці за один день - це найбільший показник за весь час проведення MOPB . На останок вирішив задати жару.

• PHP printf() Family 64 Bit Casting Vulnerabilities (деталі)
• PHP str_replace() Memory Allocation Integer Overflow Vulnerability (деталі)
• PHP imap_mail_compose() Boundary Stack Buffer Overflow Vulnerability (деталі)
• PHP 5 sqlite_udf_decode_binary() Buffer Overflow Vulnerability (деталі)
• PHP 5 php_stream_filter_create() Off By One Vulnerablity (деталі)
• PHP msg_receive() Memory Allocation Integer Overflow Vulnerabilty (деталі)
• PHP 5.2.0 Memory Manager Signed Comparision Vulnerability (деталі)

Тридцять перший день Місяця багів в PHP видався дуже спекотним і цікавим. Та й увесь Місяць багів в PHP вийшов доволі цікавим проектом, котрий став головною подією березня .

Всього в MOPB було опубліковано 44 баги (і чимало PoC/експлоітів для них). Сподіваюся, що рівень безпеки PHP серйозно покращеться після проведення даної акції.

З проектом Місяць багів в PHP ви вже знайомі - про нього я пишу цілий місяць , тому мусили чути про нього. Цей проект проходив у березні. А також могли чути про поредні місяці багів, такі як Month of Apple Bugs (у січні), а також минулорічні проекти Month of Kernel Bugs та Month of Browser Bugs.

Так от, деякий час тому, був анонсований новий проект - Місяць багів в MySpace. Як повідомляє RSnake в пості Month of MySpace Bugs. Цей проект запланований на квітень! Так що вже скоро - з завтрашнього дня почну публікувати інформацію про перебіг цього заходу.

Основна мета цього місяця багів, яку собі поставили його засновники Mondo Armando та Mustachio - це публікація щоденно, на протязі місяця, багів в відомому порталі MySpace. Можете ознайомитися з офіційним анонсом цього заходу - OFFICIAL ANNOUNCEMENT: April 2007 is the Month of Myspace Bugs, Yuss!. Квітень передбачається доволі спекотним.

До речі, я сам вже давно планую провести власний Місяць бігів. Над цим думаю з початку березня, тому очікуйте на нові й цікаві місяці багів . Враховуючи, що квітень вже зайнятий Місяцем бігів в MySpace, то буду планувати свій проект на травень. Очікуйте на офіційний анонс про цю подію.

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на тридцятий день були упобліковані деталі про одну уразливість в PHP.

• PHP iptcembed() Interruption Information Leak Vulnerability (деталі), експлоіт: MOPB-37-2007.php

Тридцятий день Місяця багів в PHP видався цікавим. Чекаємо на наступний день багів.