Websecurity - Веб безпека

В першому моєму записі в новому році, поздоровляю вас з початком Нового 2007 Року!

З приводу свята, для вас я підготував тестування знань (буде таке собі новорічне тестування, хоча проходити тест ви може в будь-який час).

Тест по веб безпеці призначений для перевірки ваших знаннь з даної теми, котрі ви можете перевірити в розділі Тестування. Питання в тесті базуються на матеріалах мого Посібника з безпеки. На даний момент присутні питання по першому і другому розділу посібника.

Даний тест я підготував ще літом, як раз в день офіційного запуску сайта. Але розміщення тестування відклалося, поки я не розмістив свій Посібник з безпеки (в минулому місяці). По матеріалам якого і створені питання для тесту. Так що тепер ви зможете в будь-який момент перевірити свої знання з веб безпеки.

У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на урядовому порталі http://www.kmu.gov.ua - сайті Кабінета Міністрів України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом Кабміну не краща - також мають місце уразливості (про одну знайдену XSS я і повідомлю адміністраторів сайту).

Детальна інформація про уразливість не з’явиться (не планую публікувати). За для безпеки сайту нашого уряду, його працівників та відвідувачів.

Поздоровляю вас всіх з Новим Роком!

Бажаю всього найкращого і більшої безпеки вам в новому році.

Щоб дірявих сайтів вам зустрічалося поменше та щоб у власних сайтах знаходилося менше уразливостей, а всі старі діри були виправлені . Щоб у ваших браузерах було поменше дір і щоб загальний рівень безпеки Уанета та вцілому Інтернета зростав (для цього я й докладаю зусилля щодня).

Веселих свят!

Вчора випустив нову версію програми MustLive/BPG MySQL Perl/CGI Client v1.06.

В новій версії 1.06:

• Виправив визначення форматів колонок-полів зі застарілого $sth->{’format_type_name’} на $sth->{’TYPE’} (для нових версій DBI).
• Виправив XSS уразливість в “SQL запит до Бази Даних” і унеможливив XSS атаки через додавання даних в БД та їх редагування.
• Зробив деякі невеличкі виправлення.

У власних розробках я також слідкую за безпекою, не тільки ж на інших сайтах шукати уразливості . Тому використовуючи мої програми можна бути впевненими в їх безпеці.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.

На секлабі з’явилася цікава стаття - Святкування Нового року, як мірило розвитку ІБ-компанії.

Можете прочитати, розповідь як раз по темі новорічних свят .

• Празднование Нового года, как мерило развития ИБ-компании (деталі)

Нещодавно була знайдена нова XSS уразливість в Google. Як повідомив RSnake в своєму записі Google XSS Vuln, на сайті Гугла, в розділі підтримки користувачів (support), була знайдена XSS уразливість.

XSS уразливість на сайті Google

Дану XSS знайшов Hong. Її важко використати зловмиснику, бо дана XSS потребує кліка по лінкам на сайті Гугла, але все ж таки вона несе загрозу. Молодець Hong, що знайшов . До речі, Гугл швидко виправив дану уразливість.

Серед останніх уразливостей в веб додатках Гугла, я згадував XSS в Google Search Appliance та Витік інформації в Orkut (проекті Google).

До вже згаданих мною уразливостей в WordPress (зокрема численні уразливості в WordPress) та його плагінах, про що я вже неодноразово згадував, розповім про нові уразливості в цьому движку. До речі, як ви знаєте, мій сайт базується на WordPress, тому за безпекою в цьому движку я посилено слідкую.

Раніше я писав про уразливості в WordPress, які й знайшов в серпні та вересні. Зараз я розповім про уразливості які я знайшов в движку в жовтні (про інші уразливості, які я знайшов в листопаді, я розповім пізніше).

У жовтні я знайшов за два дні активної роботи чималу кількість уразливостей: 7 XSS та 25 XSS - ітого 32 Cross-Site Scripting уразливості (в адмінці WordPress). Розробникам WP буде що фіксити . До речі, я їм вже написав про всі попередні уразливості, і тепер повідомлю про нові діри в движку.

З часом повідомлю деталі про дані уразливості, але спочатку пофіскю всі ці уразливості на своєму сайті та повідомлю розробникам WordPress.

Нещодавно була знайдена проблема (уразливість) в проекті Google - соціальній мережі Orkut. Як повідомляє RSnake в своєму записі Orkut Email Address Disclosure - в проекті Orkut була знайдена уразливість Email Address Disclosure, яка дозволяє продивлятися адреси користувачів.

Суть уразливості зводиться до того, що зараєстрований користуч сервіса може продивлятися емайл адреси інших користувачів в не залежності від того, доданий він в “друзі” чи ні (тобто без зайвих питань можна зібрати велику кількість емайлів, причому працюючих - наприклад для створення спам списку).

Гуглу варто більше слідкувати за безпекою своїх проектів, в тому числі не допускати витоків інформації. Особливо враховуючи те, що емайли можуть бути використані як для розсилання спаму, так і для можливих подальших атак на користувачів (емайл є важливою інформацією, тому що він використовується як сладова частина авторизації - емайл нерідко виступає у якості логіна).

Всім хто цікавиться темою безпеки (і зокрема веб безпеки), пропоную вашій увазі мій посібник з безпеки (security manual). Даний матеріал я підготував в грудні 2005 (як раз почав готувати перший матеріал для мого майбутнього сайту, ідея створення якого в мене виникла у вересні 2005). Лише тепер знайшов час для публікації матеріалу (учора). Надана інформація дуже актуальна.

В моєму мануалі йдеться про сучасний стан безпеки програмних продуктів, що відносяться до типу веб-додатків та веб-систем. Про різновиди веб програм та їх основні вразливості.

Посібник з безпеки

В посібнику я розглядаю чимало напрямків в безпеці веб орієнтованих програмних продуктів. Інформація буде постійно поповнюватися. Даний посібник буде корисний веб розробникам і всім тим, хто цікавиться темою веб безпеки.

В зв’язку з деякими технічними проблемами (як я не люблю ці технічні проблеми ) виникла невеличка затримка з публікацією інформації на сайті.

За п’ятницю не вийшло опублікувати все заплановане. Як разберуся з технічними проблемами, то продовжу свою роботу.