Websecurity - Веб безпека

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на тринадцятий день не було упобліковано деталей про жодну уразливість в PHP.

На сайті останній опублікований баг висить той самий PHP ext/filter Space Trimming Buffer Underflow Vulnerability, про який я писав учора. В чому там проблема Наврядчи баги закінчились, бо заздалегіть команда готувалась.

Невідомо, що думає собі Стефан і навіщо цей чорний гумор, коли люди чекають на баги. Тим паче сам же обіцяв щоденно публікувати деталі про нові уразливості, Ось такий він хитрий хлопець - перші 12 днів інформацію публікував, а на 13 день - дзуськи (фіга, тобто). Не можна так людей підводити, тих хто чекає на нові баги.

Звичайно, може в Стефана і його команди виникли якійсь проблеми (з Інтернетом, як у мене, або ще щось), але все рівно - проект підтримувати треба. Не можна так на півдорозі кидати його (ще й пів місяця не пройшло). Так що чекаємо на нову інформацію від даного проекту.

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на дванадцятий день були упобліковані деталі про одну уразливість в PHP.

• PHP ext/filter Space Trimming Buffer Underflow Vulnerability (деталі), експлоіт: MOPB-19-2007.php

Дванадцятий день Місяця багів в PHP також видався цікавим. Чекаємо, що Стефан приготував нам на завтра.

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на одинадцятий день були упобліковані деталі про одну уразливість в PHP.

• PHP ext/filter HTML Tag Stripping Bypass Vulnerability (деталі)

Одинадцятий день Місяця багів в PHP видався відносно цікавим. Чекаємо, що Стефан приготував нам на завтра.

Триває Місяць багів в PHP. І Стефан Ессер продовжує публікувати інформацію про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на десятий день були упобліковані деталі про одну уразливість в PHP.

• PHP ext/filter FDF Post Bypass Vulnerability (деталі), експлоіт: MOPB-17-2007.php

Десятий день Місяця багів в PHP також видався цікавим. Чекаємо, що Стефан приготував нам на завтра.

Пропоную вам подивитися один веселий відеоролик про взлом Windows XP . Відео на тему безпеки локального ПК з операційною системою Windows XP. Яка хакається калькулятором.

Hacking a Computer with a calculator

В цьому ролику приколі йдеться про взлом пароля адмінського аккаунта в Win XP (локальна атака). Причому сам взлом проводиться калькулятором під’єднаним до комп’ютера.

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на дев’ятий день були упобліковані деталі про одну уразливість в PHP.

• PHP zip:// URL Wrapper Buffer Overflow Vulnerability (деталі), експлоіт: MOPB-16-2007.php

Дев’ятий день Місяця багів в PHP також видався цікавим. Чекаємо, що Стефан приготував нам на завтра.

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на восьмий день були упобліковані деталі про одну уразливість в PHP (та два експлоіти для неї).

• PHP shmop Functions Resource Verification Vulnerability (деталі), експлоіти:
  • MOPB-15-2007.php
  • MOPB-15-2007-RSA.php

Восьмий день Місяця багів в PHP також видався цікавим. Чекаємо на наступний день багів.

Всіх жінок, відвідувачів мого проекту, поздоровляю зі святом - Восьмим березня! А всім чоловікам, відвідувачам мого проекту, нагадую, щоб поздоровили своїх прекрасних половинок з цим святом. Всім бажаю весняного настрою .

P.S.

Також зазначу, що останні 7 днів в мене мають місце проблеми з доступом в Інтернет, тому прийдеться почекати з публікацією багатьох новин та статей. Вже як розберуся зі своїми проблемами, то очікується публікація багатьох цікавих матеріалів. А також я планую відкрити нову рубріку.

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на сьомий день були упобліковані деталі про одну уразливість в PHP.

• PHP substr_compare() Information Leak Vulnerability (деталі), експлоіт: MOPB-14-2007.php

Нещодавно з’явилася й перша реакція на даний проект (MOPB), як пише Стефан в себе в блозі. Відгуки здебільшого позитивні, люди вітають організаторів MOPB і розраховують на покращення безпеки PHP. Хоча й було декілька негативних відгуків, коли люди нагяняли на дану акцію, підкреслюючи лише негативні сторони, а також пріскіпувалися до наведених багів, мовляв там деякі є дуже схожі. Тобто не конструрктивно критикували, як на це відповів Стефан. З іншого боку, учора я й сам дещо висловився з приводу багів в MOPB, при чому конструктивно - стосовно одного бонусного бага, котрий до PHP немає прямого відношення. Тому авторам проекту MOPB слід працювати над якістю публікуємих бігів .

Сьомий день Місяця багів в PHP також виявився цікавим. Чекаємо, що Стефан приготував нам на завтра.

Триває Місяць багів в PHP. І Стефан Ессер продовжує публікувати інформацію про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на шостий день були упобліковані деталі про дві уразливості в PHP.

• mod_security POST Rules Bypass Vulnerability (деталі)
• PHP 4 Ovrimos Extension Multiple Vulnerabilities (деталі)

Зазначу, шо перша з зазначених уразливостей має лише непряме відношення до PHP. Тому що подібній обхід фільтрів mod_security потенційно можливий і в інших мовах програмування. Причому, можливий обхід як при POST, так і при GET запиті (і при використанні різних серверних мов, не лише PHP). Про що я вже давно планую написати власну статтю, так що Стефан торкнувся важливої, для мене зокрема, теми. І зовсім недоречно почав про це писати, раніше ніж я написав власну статтю, от такий випєндрьожник цей Стефан. Тому очікуйте на детальну статтю на тему mod_security.

Шостий день Місяця багів в PHP видався цікавим. Чекаємо на наступний день багів.