Вчора вийшла нова версія програми Perl Pas Interpreter v.1.2.8. В новій версії:
Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.
Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.
Два дні тому, RSnake повідомив в себе Quicktime XSS Worm Hits Myspace, що користувачі відомомого онлайнового сервіса Myspace були атаковані XSS вірусом, причому в Quicktime файлі.
Це не перший випадок XSS вірусів (і про цю цікаву тему я же буду розповідати), однак у випадку XSS в Quicktime - це перший подібний вірус. Який вже набув розголосу, після нанесення шкоди користувачам Myspace, я зараз даний випадок обговорюють в секюріті спільноті.
Даний вірус використовував методику XSS в Quicktime, про яку я вже писав. Був використаний принцип створення бекдору в Quicktime, про який розповідав pdp (його код був використаний розробниками віруса).
І те, що подібний інцидент мав місце, говорить про явні проблеми безпеки (особливо стосовно Cross-Site Scripting). Варто очікувати нових подібних випадків, в тому числі і з використанням Quicktime, тому що варіантів використання XSS чимало, як і самих векторів включення й атак через XSS.
Тест для вашого браузера. Даний експлоіт проводить DoS атаку на Internet Explorer 6.
В результаті його роботи - коли завантажити сторінку з експлоітом - браузер підвисає (тобто звичайний DoS). На моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт зпрацював нормально. IE6 не вижив 
Протестувати Internet Explorer (тест для IE6).
Це новий тест для IE. Останній тест для Internet Explorer 6 був DoS для Mozilla, Firefox та Internet Explorer, з яким ви також можете ознайомитися.
В наш час загрози в інтернеті постійно зростають, а хакери та віруси постійно атакають користувачів, які нічого з цим не можуть вдіяти. Тому їх постійно хакають - бо рівень власної безпеки дуже низький, і за собою і своєю поведінкою (і своїм софтом) користувачі не слідкують, за браком відповідних знань, що ї призводить до подібної ситуації. Про що регулярно пишуть у новинах.
Крім того регулярно хакають сайти. Бо і рівень безпеки більшості сайтів незадовільний, про що можна зрогадатися з моїх новин. І про це я ще додатково напишу в своїх звітах про хакерську активність. Такі проблеми як XSS та інші - це стале явище в наш час. В тому числі зростає кількість хакерів, які використовують власні знання для недобрих справ (Шляхетні хакери поступилися місцем корисливим взломщикам).
Як написав pdp в себе на сайті про Intelligent Hacking - існує ще хакінг, як покликання. І не всі хакери почали займатися недобрими справами. Ще є люди, які продовжуть займатися корисною для себе і для людства справами - справжні хакери, які в тому числі займаються безпекою, як власною, так і безпекою інших користувачів. Тому що весь час іде протистояння добрих і поганих хлопців. І кожен повинен визначитися зі своєю позицією.
Хакерство, особливо інтелектуальний хакінг - це мистецтво 
І це єдине, що нам потрібно (щоб люди замислювалися на своїми діями й займалися лише позитивним). І в цій справі потрібно постійно вдосконалюватися. Працювати над покращенням рівня безпеки, як власних сайтів, так і Інтернету вцілому.
Я вже розповідав про дослідження pdp стосовно Cross-Site Scripting - XSS в Quicktime та XSS в Flash. І планую ще додатково розповісти про його дослідження відносно Flash та деяких інших напрямків атак.
Як ви знаєте і могли не раз чути про це в ЗМІ (як офлайнових, так і онлайнових ЗМІ), хакери періодично взламують сайти. Взломи, дефейси та інші прояви - це звичайна активність хакерів (а також скрипт кідісів). В різних сегментах всесвітньої мережі ці прояви різняться, як за кількісними так і за якісними показниками, але в цілому в Інтернеті регулярно взламують сайти, в не залежності від його фізичного і віртуального місця знаходження - хакають і в Уанеті, і в Рунеті, і на заході.
Ось про хакерську активність я і хочу вам розповісти. При чому я планую регулярно піднімати дану тему (так як є чимало цікавої інформації з цього приводу).
Зокрема я планую зробити декілька оглядів хакерскьої активності в Рунеті - базуючись на інформації від секлаба, так як securitylab.ru регулярно публікує звіти про хакерську активність в Рунеті і я планую зробити власні огляди їхніх звітів. Щоб ви могли побачити узагальнену активність хакерів в Рунеті, а також могли порівняти з подібною активностю в Уанеті.
І прочитавши декілька подібних звітів на секлабі, в мене з’явилася ідея створити аналогічний звіт про хакерску активність в Уанеті. Яку я теж буду публікувати періодично, роблячи регулярні звіти про діяльність хакерів в Уанеті. Щоб можна було як відслідковувати динаміку і бачити процеси, які мають місце в нашому сегменті Мережі, а також буде можливість порівнювати з активністю хакерів в інших ділянках Інтернета.
Це я роблю вам анонс даного звіту 
. Перший випуск якого я вже почав готувати і найлижчим часом опублікую. Зараз як раз збираю інформацію про діяльність хакерів в Уанеті. Подібний звіт буде цікавим і корисним для всіх кому близька дана тема.
24.11.2006
Силовим структурам США варто серйозно слідкувати за безпекою власних сайтів. Раніше я вже згадував про уразливість на www.nsa.gov. На цей раз повідомляю про Cross-Site Scripting уразливість на сайті FBI (Federal Bureau of Investigation) .
Уразливість в редиректорі на сайті ФБР. І адмінам сайту потрібно буде зайнятися цією уразливістю і в подальшому приділяти більше уваги безпеці власного сайту.
XSS:
Повідомляти адмінам ФБР не стану - нехай самі слідкують за власним сайтом (особливо враховуючи, що адміни NSA так і не відреагували до сих пір). І також можуть мій сайт почитати, де завжди знайдуть цікаву інформацію, щодо уразливостей на їхньому власному сайті.
27.04.2010
Як я сьогодні вияснив, ФБР виправило XSS уразливість (при цьому редиректор залишився). Але виправило уразливісь неповністю і, при невеликій зміні коду, вона знову працює.
XSS:
Спочатку, враховуючи сьогодняшню дату, вітаю вас з Днем Свободи! 22.11.2006 - це друга річниця початку Помаранчевої Революції. Мої вітання всім українцям.
Ну, а тепер щодо уразливостей
Сьогодні вночі, як раз коли ще новий день тільки починався, завітав я на деякі політичні сайти. І зокрема на http://maidan.org.ua - де і знайшов чимало уразливостей. Зокрема Cross-Site Scripting, SQL DB Structure Extraction та Full path disclosure уразливості. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
Політичним сайтам варто слідкувати за власною безпекою, як я вже зазначав у випадку безпеки сайту Верховної Ради України. І ще планую не раз згадати про політичні й урядові сайти.
Детальна інформація.
XSS:
SQL DB Structure Extraction:
http://maidan.org.ua/news/search.php3?site=maidan&bn=maidan_news&gosearch=1&sf=1&pattern=xxxxxxxxxx
XSS:
Full path disclosure:
http://maidan.org.ua/static/lysty.php?key=-1102352364
XSS:
Виправлена лише частина уразливостей, а останні 5 уразливостей досі не виправлені.
Як повідомляє RSnake в себе на сайті Widespread XSS for Google Search Appliance, декілька днів тому на його форумі з’явилася цікава інформація - maluc знайшов XSS уразливість в Google Search Appliance - локальному пошуковцю Гугла! І знову Гуглу прийдеться зайнятися фіксингом уразливостей, в тому числі XSS. Деякий час тому вони вже фіксили подібні діри (як я писав в записах XSS уразливість в Гуглі та XSS та CSRF уразливості в Google).
В даному випадку уразливість в локальному пошуковому движку - Google Search Appliance. Який коштує від $2000 до $30000, і чимало сайтів використовують його для пошуку по власному сайті (замість власних пошукових движків). І даний движок доволі популярний, тому й наявність уразливостей в ньому - це серйозна новина, і чимало сайтів та їх відвідувачів можуть зазнати небезпеки від можливих атак. Уразливість полягає в використанні вибіркого кодування і пов’язанних з цим багів, в данному випадку використовувався баг в UTF-7. Про подібний трюк з використанням багів в кодуванні я вже писав (Cross-Site Scripting з використанням UTF-7 символів в URL).
Інші відомі пошукові компанії також випускають подібний софт, але Search Appliance від Гугла один з найпопулярніших (на заході), й тому він повинен бути безпечним. Як і пошуковці (локальні і глобальні) від інших виробників, але чим популярніший, тим і більша відповідальність. Про подібні випадки уразливостей в локальних пошукових системам я ще згадаю в майбутньому.
Google треба буде пофіксити свій локальний пошуковий движок і оновити його у великої кількості своїх клієнтів (що затягнеться на деякий час). І взагалі їм потрібно буде більше слідкувати за безпекою свого софту, як основного пошуковця, так і локального.
В даній добірці уразливості в веб додатках:
Деякий час тому, як писав RSnake в себе на сайті (Web Application Security Poll), відбулося опитування серед секюріті професіоналів.
Jeremiah Grossman провів опитування на тему Web Application Security серед експертів в галузі безпеки. В опитуванні прийняла участь невелика кількіть участників, тому воно не є досить репрезантивним, але при цьому є необхідним для розуміння тенденцій в сфері безпеки.
Важливим в цьому опитуванні є його результати. Як зробив висновки RSnake з результатів опитування проведеного Jeremia, один з результатів даного опитування є доволі цікавий (з чим погодилися й інші експерти). На який я хочу звернути й вашу увагу: мова йде про запитяння, стосовно того, чи використовуєте ви в своїй роботі комерційні секюріті сканери. На що 71% відповіли, що ніколи. До чого я можу додати, що сам також не користуюся жодними секюріті сканерами в своїй роботі - тільки власною головою
Подібне явище можна пояснити невисокою якістю секюріті сканерів, що професіонали просто не бажають ними користуватися. Я вже писав про уразливості на сайтах секюріті компаній, які були знайдені незалежними дослідниками, а також сам знаходив уразливості на багатьох секюріті сайтах, про що зокрема писав в записі Безпека сайтів про безпеку. А також це можна пояснити складністю та незручністю самих інструментів, та обмеженою кількістю наявних в програмі тестів (та самі інструменти не дешеві).
До речі, нещодавно Jeremiah розпочав нове (листопадове) опитування. Про його результати я повідомлю окремо.
* 
You are currently browsing the archives for the Новини сайту category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.