Websecurity - Веб безпека

Відомі секюріті компанії та експерти в галузі безпеки (та веб безпеки) вже виступили зі своїми прогнозами на наступний рік. Про деякі з них я писав раніше, про деякі цікаві прогнози я ще напишу.

Але зараз підведу власні підсумки 2006 року і надам свої прогнози на рік новий. Ніколи раніше не робив подібних прогнозів, це я роблю вперше , тому віднесіться з розумінням до моїх прогнозів.

Результати розвитку галузі веб безпеки в 2006 році.

1. Поширення XSS уразливостей, які в 2006 році стали найпоширенішими уразливостями, залишивши далеко позаду уразливості “переповнення буферу”.
2. Почастішали атаки на соціальні мережі (зокрема з використанням XSS уразливостей)
3. З’явились перші масові веб віруси (які набули більшої поширенності ніж веб віруси 2004 року), які використовували уразливості на популярних веб ресурсах і вразили велику кількість їх користувачів.
4. В цьому році зафіксована висока активність хакерів.
5. Акцент пошуку уразливостей і написання експлоітів змістився з області традиційних програм в область веб додатків.

Прогноз розвитку галузі веб безпеки в 2007 році.

1. Уразливості XSS будуть поширюватися й надалі, причому будуть з’являтися і поширюватися нові типи подібних уразливостей (такі як XSS в DOM, UXSS в PDF, тощо).
2. Фішинг набуде більшого поширення та самі фішери почнуть використовувати вдосколені та нові техніки своїх атак.
3. Збільшиться кількість і різноманітність веб вірусів та хробаків.
4. Зросте кількість Ajax уразливостей та пов’язаних з ними атак.
5. Очікується подальше зростання хакерської активності.

Декілька днів тому, 07.01.2007, я знайшов Cross-Site Scripting уразливість на Офiцiйному представництві Президента України http://www.president.gov.ua - сайті Президента України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про Уразливість на сайті Кабінета Міністрів України та про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом президента не набагато краща - уразливості також мають місце (зокрема, я повідомлю адміністраторів про знайдену XSS).

Детальна інформація про уразливість не буде опублікувана (не планую). За для безпеки сайту президента, його працівників та відвідувачів.

P.S.

До речі, це перший приклад з серії уразливих президентських сайтів. Тому очікуйте на продовження.

19.11.2006

Продовжимо тему безпеки секюріті сайтів, яку я підняв в першому записі Безпека сайтів про безпеку.

Ось нова добірка уразливих сайтів про інформаційну безпеку:

• safe.cnews.ru
• www.securit.ru
• www.iss.net

Компаніям, які займаються проблемами безпеки, варто слідкувати і за безпекою власних сайтів. Тому що дані компанії є взірцем для інших. В подальшому я продовжу інформувати про випадки уразливостей на сайтах секюріті компаній.

Всім security проектам слід приділяти достатньо уваги власній безпеці.

10.01.2007

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• www.fbi.gov
• www.geos-inform.com
• sb.adverman.com
• www.nist.org

Секюріті проектам слід приділяти більше уваги безпеці власних сайтів.

Поздоровляю вас з Різдвом Христовим!

У зв’язку зі святами - Новим Роком та Різдвом - пропоную подивитися мою святкову листівку на флеші.

Всіх благ!

Продовжу тему уразливостей на сайтах спецслужб (в даному випадку спецслужб США). Як раз перед Різдвом пропоную вашій увазі уразливість на сайті ЦРУ .

До раніше згаданих дір на сайтах ФБР (FBI) і АНБ (NSA), додам Cross-Site Scripting уразливість на сайті ЦРУ (CIA) - сайті Центрального Развідувального Управління США (Central Intelligence Agency) www.cia.gov, і зокрема на сайті його інформаційного відділу www.foia.cia.gov.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Уразливість знаходиться в pdf-файлі, і вона являє собою універсальну XSS в PDF уразливість (про даний тип XSS я буду окремо розповідати).

Повідомляти адмінам ЦРУ я не стану - враховуючи що адміни сайтів спецслужб США не реагують на мої повідомлення і не виправляють уразливості най своїх сайтах. Нехай самі слідкують за власним сайтом і проводять секюріті аудити (а також слідкують за інформацією на моєму сайті). Бо дана уразливість доволі небезпечна, і чимало користувачів сайта можуть від неї постраждати (це відноситься як до сайту ЦРУ, так і до усіх інших сайтів, вразливих до цієї уразливості - ще додатково розповім про даний тип XSS атак).

Як писав деякий час тому Джеремія Гроссман в записі Top 5 signs you’ve selected a bad web application package (коментуючи повідомлення Роберта Аугера), існує список TOP5 ознак, що ви вибрали поганий веб додаток (в список експерти з безпеки додали найбільш поширені ознаки, які актуальні в наш час).

Ось п’ятірка ознак:

5. Суть процеса виправлення помилок в программі (тобто встановлення патчів) на думку виробника продукту полягає в тому, щоб відрегувати рядок X, замінівши його новим кодом.
4. Загальна кількість скачуваннь програми менша ніж її вік.
3. Власний веб додаток не використовується на сайті віробника.
2. В файлі readme вказано, що вам необхідно встановити права (chmod) 777 на деякий файл чи на директорію, щоб вони працювали.
1. Якщо в назві програми присутє слово ‘nuke’, то ви явно не в собі.

До речі, я й досі періодично ще практикую п.5 (з ручною заміною коду, зокрема в рекомендаціях про виправлення уразливостей), для веб програм це прийнятна річ.

На секлабі пройшло цікаве опитування: “Який движок для веб сайта найбільш безпечний?”. В якому я також прийняв участь. На мою думку, найбільш безпечний, є той движок, при розробці якого приділялася достатьня (бажено посилена) увага питанням безпеки. А враховуючи те, що на інших розробників не варто розраховувати, можна лише на себе розраховувати - тому найбільш безпечним є саме власний движок.

А те, що я регулярно знахожу уразливості в різних движках (як комерційних, так і відкритих, причому в комерційних більше), а також про уразливості в движках пишуть на секюріті сайтах - лише відтверджує дану тезу. Сам я в більшості випадків використовую лише власні движки (виключенням є лише даний мій проект).

Результати опитування наступні:

• Власноруч написаний движок - 44,84%
• CMS під вільними ліцензіями (Drupal, XOOPS, PHP-Nuke та інші) - 18,89%
• Не знаю - 17,63%
• CMS під пропрієтарними ліцензіями з відкритим віхідним кодом (наприклад, Бітрікс) - 10,08%
• CMS під пропрієтарними ліцензіями с закритим віхідним кодом (більшість платних CMS) - 7,81%

Більшість опитаних (майже половина) мають подібну думку. Що власний движок є найбільш безпечною основою сайта.

• Какой движок для Web сайта наиболее безопасен? (деталі)

В першому моєму записі в новому році, поздоровляю вас з початком Нового 2007 Року!

З приводу свята, для вас я підготував тестування знань (буде таке собі новорічне тестування, хоча проходити тест ви може в будь-який час).

Тест по веб безпеці призначений для перевірки ваших знаннь з даної теми, котрі ви можете перевірити в розділі Тестування. Питання в тесті базуються на матеріалах мого Посібника з безпеки. На даний момент присутні питання по першому і другому розділу посібника.

Даний тест я підготував ще літом, як раз в день офіційного запуску сайта. Але розміщення тестування відклалося, поки я не розмістив свій Посібник з безпеки (в минулому місяці). По матеріалам якого і створені питання для тесту. Так що тепер ви зможете в будь-який момент перевірити свої знання з веб безпеки.

У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на урядовому порталі http://www.kmu.gov.ua - сайті Кабінета Міністрів України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом Кабміну не краща - також мають місце уразливості (про одну знайдену XSS я і повідомлю адміністраторів сайту).

Детальна інформація про уразливість не з’явиться (не планую публікувати). За для безпеки сайту нашого уряду, його працівників та відвідувачів.

Поздоровляю вас всіх з Новим Роком!

Бажаю всього найкращого і більшої безпеки вам в новому році.

Щоб дірявих сайтів вам зустрічалося поменше та щоб у власних сайтах знаходилося менше уразливостей, а всі старі діри були виправлені . Щоб у ваших браузерах було поменше дір і щоб загальний рівень безпеки Уанета та вцілому Інтернета зростав (для цього я й докладаю зусилля щодня).

Веселих свят!