В минулу суботу, десь після 18 години, сайт по технічним причинам перестав працювати. І аж до понеділка. Це було пов’язано з технічними роботами у хостінг провайдера (про що я сам дізнався від нього лише вечером у суботу). Мій провайдер і я сам приносимо вибачення за незручності.
Тепер все працює (і навіть працює краще, після технічних робіт на сервері). Проект продовжує роботу в звичному рижимі.
На початку місяця вийшов новий (лютневий) номер журнала Хакер Спец. До цього номера журналу я написав власну статтю (про небезпеку XSS), тому всім раджу ознайомитися з даним номером, щоб дізнатися чимало нового і цікавого.
Робоча назва статті “Подводные камни в интернет рекламе или чем опасен XSS”. В фінальному номері вона зветься як “Шаманские дела / Реклама с подвохом” (як і хотіли її назвати редактори журналу). В статті розповідається про уразливості (зокрема Cross-Site Scripting) в різних веб брокерах та рекламних системах Рунета та Уанета. Дана інформація буде корисна для кожного інтернетчика. Так що приємного читання.
До речі, раніше я писав про уразливості на www.gameland.ru - на сайті видавництва журнала Хакер.
P.S.
Виклав власну версію статті в себе на сайті: Подводные камни в интернет рекламе или чем опасен XSS.
Як повідомляє автор vedeney.org.ua в записі WordPress birthday, у движка WordPress нещодавно відбувся день народження. WP виповнилося 4 роки! З чим я вітаю розробників движка і всіх користувачів і прихильників Вордпреса.
Движок хороший, сам ним користуюся і в цілому задоволений. І WP буде лише покращуватися. В минулому місяці вийшли WordPress 2.0.7 та WordPress 2.1, на які я звертаю вашу увагу. Намагайтеся тримати ваш движок в актуальному стані.
До речі, як зазначає автор блогу, він стикнувся з деякими труднощами з роботою в WP 2.1 (глюками), коли перейшов на цю версію. Тому зверніть на це увагу і виважено переходьте на нові версії. Але в будь-якому разі переходити на нові версії треба 
, бо в них є чимало виправлень, зокрема тих уразливостей в Вордпресі, про які я неодноразово повідомляв (останій раз про XSS уразливості в WordPress 2.0). Тому слідкуйте за безпекою власних сайтів.
18.11.2006
Деякий час тому (у вересні) я знайшов XSS уразливість на itnews.com.ua. Після додаткового досліження вияснилось, что окрім власної XSS уразливісті на даному сайті, є також ще одна уразливість (Cross-Site Scripting) - в коді Яндекс-Директ.
Про даний тип уразливостей я вже згадув в записі Хакінг сайту через уразливості в коді зовнішніх систем (подібні уразливості мають місце і в кодах інших систем, в тому числі й систем контекстної реклами, про що я ще напишу додатково). Детальна інформація про дану уразливість з’явиться пізніше (одразу за інформацією про основну XSS уразливість на itnews.com.ua).
Яндексу потрібно слідкувати за використанням кода власної системи контекстної реклами (і не допускати подібних ситуацій).
15.02.2007
Cross-Site Scripting уразливість в Яндекс-Директ коді (XSS в DOM).
На веб сторінці з кодом даної системи контекстної реклами, наприклад на сторінці з пошуком по сайту (як це було на itnews.com.ua), в будь-якому з передаваємих скрипту параметрів (або навіть в усіх параметрах) може бути уразливість, наприклад в параметрі page. Якщо він не обробляється відповідним чином.
XSS в DOM:
Всі сайти які використовують Директ можуть бути уразливими. Тому треба обробляти всі параметри, що передаються скрипту системи контекстної реклами в коді веб сторінки.
В листопаді минулого року (03.11.2006) я знайшов Cross-Site Scripting уразливості в движку WordPress 2.0. Дані уразливості зокрема я знайшов на сайті www.mozilla-team.org.ua (про що я писав нещодавно), адмінам якого я повідомив, і вони працюють над виправленням (планують оновити движок на більш нову версію).
Уразливими є версії WordPress 2.0 та потенційно 2.0.1 і 2.0.2. WP 2.0.3 вже не вразливий. Як і всі наступні версії WordPress: 2.0.4, 2.0.5, 2.0.6, 2.0.7, 2.1 (нещодавно як раз вийшов WordPress 2.1).
XSS:
Уразливості в файлі wp-register.php.
POST запит на сторінці http://site/wp-register.php:
"><script>alert(document.cookie)</script>В полях: Ім’я користувача та E-Mail.
Це лише деякі з уразливостей в движку WordPress, що були в попередніх версіях движка, які я не використовував (сам почав використовувати WP з версії 2.0.3), але котрі знаходив на різних сайтах в Мережі. І це окрім тих уразливостей, які я знайшов у наступних версіях движка, про які я писав: Численні уразливості в WordPress, Нові уразливості в WordPress, Чергові уразливості в WordPress.
Пропоную вам подивитися один цікавий (і забавний) відеоролик про безпеку в Інтернет - Думай безпечно (Think Security). В цьому ролику йдеться про різні загрози, які можуть вас торкнутися з Інтернету, і про те що з цим треба боротися.
Дане відео розроблене компанією Microsoft, яка дуже піклується про вашу безпеку . Цим креативом Майкрософт вам намагається натякнути, що в Інтернеті небезпечно, але вони подбають про вас і ваших дітей (якщо раніше вас не похакають зловмисники).
В своїх публікаціях я регулярно розповідаю про атаки через JavaScript, а також розповідав про атаки через Флеш (і ще додатково напишу). Зокрема через дані напрямки можна провести XSS атаки (та можливі й інші різновиди атак).
В своєму записі AFLAX and something more Pdp розповідає про такий варіант атак, як атака через AFLAX. Перша версія якого вийшла в минулому році.
AFLAX представляє собою фреймворк для інтеграції JavaScript та Flash. І окрім додаткових плюсів для веб розробників, він також несе в собі нові ризики пов’яазані з бепекою. Потенційно зловмисники можуть використати AFLAX (Flash + JavaScript) для нового напрямку веб атак. Використовуючи сильні сторони обох мов (AS та JS) і технологій, та обходячи деякі обмеження кожної з мов - для проведення нових і більш ефективних атак.
Веб 2.0 окрім позитивних надбань, несе в собі й деякі негативні, зокрема нові технології (та їх сімбіози) несуть в собі додаткові ризики безпеки. З якими нам прийдеться зіштовхнутися.
До вже згаданих мною уразливостей в WordPress (Численні уразливості в WordPress та Нові уразливості в WordPress) та його плагінах, про що я вже неодноразово писав, розповім про нові уразливості в цьому движку.
Раніше я писав про уразливості в WordPress, які й знайшов в серпні, вересні та жовтні. Зараз я розповім про уразливості які я знайшов в движку в листопаді.
У листопаді, 15.11.2006, я знайшов численні уразливості: 36 Cross-Site Scripting уразливостей (в адмінці WordPress). Розробникам WP я вже повідомив про них. З часом повідомлю деталі про дані уразливості.
До зазначених XSS вразливий WP до версії 2.0.5 включно. В останніх версіях (2.0.6 та 2.0.7, що вийшла нещодавно) дані уразливості вже виправлені.
Тест для вашого браузера. Даний експлоіт виконує DoS атаку на Internet Explorer 6 та Firefox.
Дана уразливість пов’язана з пошкодженням пам’яті в Microsoft Internet Explorer. І уразливими є Internet Explorer версії 6.0.2800.1106 (і можливо попередні).
В результаті роботи експлоіта браузер підвисає (тобто DoS атака). Як я протестував, на моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт не працює (хоча IE і напрягяється, але не зависає). Тому він працює в IE на Windows без SP2, де IE зависає. Mozilla не зависає (спрацювує захист), а от Firefox (старі версії) зависає. Тобто цей експлоіт виявився DoS атакою одразу для двох брузерів .
Протестувати Internet Explorer 6 і Firefox.
Останній тест для браузерів (зокрема Internet Explorer 6) був DoS атака на Internet Explorer 6, з яким ви також можете ознайомитися.
Розповім вам про один цікавий відеоролик про небезпечний інтернет серфінг. Ось ходите ви по сайтах і раз - ваш браузер вибило (DoS атака), або навіть гірше. Або преставте, набираєте ви адресу відомого сайта, наприклад пошукової системи, і випадково зробили помилку в слові (що нерідко трапляється). І в результаті ви потрапляєте зовсім на інший сайт, а там таке… 
Як розповів Pdp в своєму записі, може трапитися така ситуація, коли людина набирала адресу Гугла і помилилася на одну літеру, після чого потрапила на небезпечний сайт. І далі її комп’ютеру не повезло 
.
What happens to Your Computer if you Мisspell Google.com
Так що подивіться це цікаве відео. І спробуйте не робити помилок в адресах сайтів і зокрема в адресі Google.
* 
You are currently browsing the archives for the Новини сайту category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.