Websecurity - Веб безпека

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять четвертий день були упобліковані деталі про дві уразливості в PHP (за вчора і за позавчора, коли в роботі проекту відбулася перерва).

• PHP _SESSION unset() Vulnerability (деталі), експлоіт: MOPB-30-2007.php
• PHP _SESSION Deserialization Overwrite Vulnerability (деталі), експлоіт: MOPB-31-2007.php

Двадцять четвертий день Місяця багів в PHP видався цікавим і спекотним (і для цього є підстави). Чекаємо що MOPB приготували на сьогодні.

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Вчора, на день двадцять третій, не було опубліковано жодної нової інформації. Лише з запізненням була опублікована інформація про один баг за день двадцять другий, про що я писав учора. А безпосередньо за двадцять третій день не було жодної інформації.

Це вже в котрий раз подібна ситуація, коли не було опубліковано нової інформації за черговий день багів: на день тринадцятий був такий випадок, потім на день дев’ятнадцятий, потім на день двадцять перший і от, учора, на день двадцять третій те саме.

Так що чекаємо нової інформації від MOPB, запланованої на сьогодні.

13.02.2007

Продовжимо тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку та Безпека сайтів про безпеку 2.

Ось нова добірка уразливих сайтів про інформаційну безпеку:

• www.foia.cia.gov
• www.securitylab.ru
• acunetix.com

Всім security компаніям та проектам слід приділяти набагато більше уваги власній безпеці.

23.03.2007

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• www.picosearch.com (Cenzic)
• hakin9.org
• www.computerworld.com

Секюріті проектам слід більше уваги приділяти безпеці власних сайтів.

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять другий день були упобліковані деталі про одну уразливість в PHP.

• PHP 5.2.1 unserialize() Information Leak Vulnerability (деталі), експлоіт: MOPB-29-2007.php

Двадцять другий день Місяця багів в PHP видався цікавим, хоча й спізнілим (бо лише сьогодні пишу за вчорашній день, тому що Стефан пізно опублікував інформацію). Чекаємо, про що буде повідомлено сьогодні.

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Вже в котре не було опубліковано багів за черговий день багів: вже на день тринадцятий був такий випадок, потім на день дев’ятнадцятий і от, вчора, на день двадцять перший те саме.

На офіційному сайті Month of PHP Bugs на двадцять перший день не було упобліковано деталей про жодну уразливість в PHP.

Я вчора не написав про це, бо не було нових багів, і я вирішив почекати деякий час, коли сьогодні з’явиться інформація за вчорашній день. Але годі й чекати: вже більше пів нової доби минуло з учора, а Стефан так і не опублікував свіжої інформації (за більше як 1,5 доби). Тому вчорашній день виявився “безбажним”, не вийшло в нього опублікувати дані про нові баги.

Подивимося, що ж буде опубліковано сьогодні, чекаємо нової інформації від MOPB.

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на двадцятий день були упобліковані деталі про дві уразливості в PHP (одна за вчорашній день і одна за сьогоднішній).

• PHP ext/gd Already Freed Resource Access Vulnerability (деталі), експлоіт: MOPB-27-2007.php
• PHP hash_update_file() Already Freed Resource Access Vulnerability (деталі), експлоіт: MOPB-28-2007.php

Двадцятий день Місяця багів в PHP видався цікавим і спекотним. Чекаємо, що Стефан приготував нам на завтра.

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Знову. Вже на день тринадцятий був такий випадок, коли Стефан не опублікував нових даних. І ось знову та сама історія.

На офіційному сайті Month of PHP Bugs на дев’ятнадцятий день не було упобліковано деталей про жодну уразливість в PHP.

На сайті останній опублікований баг висить той самий PHP mb_parse_str() register_globals Activation Vulnerability, про який я вже писав учора. Але жодної нової інформації.

Я то розумію, що у Стефана ще є зайва година (в нього новий день настає на годину пізніше) і він ще може встигнути запостити інформацію “за 19.03.07″, але в мене то немає зайвої години , вже доба завершується.

Ось так підводить він людей, звалюючі власні проблеми на голови іншим, такий він педантичний німець, цей Стефан . Сподіваюся надалі в нього буде по менше таких затримок й проблем, що заважають нормально працювати, і робота проекту буде більш пунктуальна. Чекаємо на нову інформацію від MOPB.

Тема безпеки мови PHP зараз дуже актуальна, зокрема завдячуючи Місяцю багів в PHP, про котрий я пишу щодня.

Цього разу я вам розповім про експлоіти для PHP, що не ввійшли до Місяця багів в PHP (MOPB). Але які як раз з’явилися в березні та автори цих експлоітів намагаються таким чином зі своєї сторони приєднатися до MOPB і вплинути на підвищення рівня безпеки PHP.

• PHP <= 4.4.6 mssql_[p]connect() Local Buffer Overflow Exploit (деталі)
• PHP COM extensions (inconsistent Win32) safe_mode Bypass Exploit (деталі)
• PHP 4.4.6 crack_opendict() Local Buffer Overflow Exploit PoC (деталі)

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на вісімнадцятий день були упобліковані деталі про одну уразливість в PHP.

• PHP mb_parse_str() register_globals Activation Vulnerability (деталі), експлоіт: MOPB-26-2007.php

Вісімнадцятий день Місяця багів в PHP видався цікавим. Чекаємо, що Стефан приготував нам на завтра.

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на сімнадцятий день були упобліковані деталі про одну уразливість в PHP.

• PHP header() Space Trimming Buffer Underflow Vulnerability (деталі), експлоіт: MOPB-25-2007.php

Сімнадцятий день Місяця багів в PHP видався цікавим. Чекаємо на наступний день багів.