Websecurity - Веб безпека

Вчора випустив нову версію програми MustLive/BPG MySQL Perl/CGI Client v1.06.

В новій версії 1.06:

• Виправив визначення форматів колонок-полів зі застарілого $sth->{’format_type_name’} на $sth->{’TYPE’} (для нових версій DBI).
• Виправив XSS уразливість в “SQL запит до Бази Даних” і унеможливив XSS атаки через додавання даних в БД та їх редагування.
• Зробив деякі невеличкі виправлення.

У власних розробках я також слідкую за безпекою, не тільки ж на інших сайтах шукати уразливості . Тому використовуючи мої програми можна бути впевненими в їх безпеці.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.

На секлабі з’явилася цікава стаття - Святкування Нового року, як мірило розвитку ІБ-компанії.

Можете прочитати, розповідь як раз по темі новорічних свят .

• Празднование Нового года, как мерило развития ИБ-компании (деталі)

Нещодавно була знайдена нова XSS уразливість в Google. Як повідомив RSnake в своєму записі Google XSS Vuln, на сайті Гугла, в розділі підтримки користувачів (support), була знайдена XSS уразливість.

XSS уразливість на сайті Google

Дану XSS знайшов Hong. Її важко використати зловмиснику, бо дана XSS потребує кліка по лінкам на сайті Гугла, але все ж таки вона несе загрозу. Молодець Hong, що знайшов . До речі, Гугл швидко виправив дану уразливість.

Серед останніх уразливостей в веб додатках Гугла, я згадував XSS в Google Search Appliance та Витік інформації в Orkut (проекті Google).

До вже згаданих мною уразливостей в WordPress (зокрема численні уразливості в WordPress) та його плагінах, про що я вже неодноразово згадував, розповім про нові уразливості в цьому движку. До речі, як ви знаєте, мій сайт базується на WordPress, тому за безпекою в цьому движку я посилено слідкую.

Раніше я писав про уразливості в WordPress, які й знайшов в серпні та вересні. Зараз я розповім про уразливості які я знайшов в движку в жовтні (про інші уразливості, які я знайшов в листопаді, я розповім пізніше).

У жовтні я знайшов за два дні активної роботи чималу кількість уразливостей: 7 XSS та 25 XSS - ітого 32 Cross-Site Scripting уразливості (в адмінці WordPress). Розробникам WP буде що фіксити . До речі, я їм вже написав про всі попередні уразливості, і тепер повідомлю про нові діри в движку.

З часом повідомлю деталі про дані уразливості, але спочатку пофіскю всі ці уразливості на своєму сайті та повідомлю розробникам WordPress.

Нещодавно була знайдена проблема (уразливість) в проекті Google - соціальній мережі Orkut. Як повідомляє RSnake в своєму записі Orkut Email Address Disclosure - в проекті Orkut була знайдена уразливість Email Address Disclosure, яка дозволяє продивлятися адреси користувачів.

Суть уразливості зводиться до того, що зараєстрований користуч сервіса може продивлятися емайл адреси інших користувачів в не залежності від того, доданий він в “друзі” чи ні (тобто без зайвих питань можна зібрати велику кількість емайлів, причому працюючих - наприклад для створення спам списку).

Гуглу варто більше слідкувати за безпекою своїх проектів, в тому числі не допускати витоків інформації. Особливо враховуючи те, що емайли можуть бути використані як для розсилання спаму, так і для можливих подальших атак на користувачів (емайл є важливою інформацією, тому що він використовується як сладова частина авторизації - емайл нерідко виступає у якості логіна).

Всім хто цікавиться темою безпеки (і зокрема веб безпеки), пропоную вашій увазі мій посібник з безпеки (security manual). Даний матеріал я підготував в грудні 2005 (як раз почав готувати перший матеріал для мого майбутнього сайту, ідея створення якого в мене виникла у вересні 2005). Лише тепер знайшов час для публікації матеріалу (учора). Надана інформація дуже актуальна.

В моєму мануалі йдеться про сучасний стан безпеки програмних продуктів, що відносяться до типу веб-додатків та веб-систем. Про різновиди веб програм та їх основні вразливості.

Посібник з безпеки

В посібнику я розглядаю чимало напрямків в безпеці веб орієнтованих програмних продуктів. Інформація буде постійно поповнюватися. Даний посібник буде корисний веб розробникам і всім тим, хто цікавиться темою веб безпеки.

В зв’язку з деякими технічними проблемами (як я не люблю ці технічні проблеми ) виникла невеличка затримка з публікацією інформації на сайті.

За п’ятницю не вийшло опублікувати все заплановане. Як разберуся з технічними проблемами, то продовжу свою роботу.

Вчора вийшла нова версія програми Perl Pas Interpreter v.1.2.8. В новій версії:

• Покращена робота зі строковим типом даних.
• Додана функція copy.
• Додана функція concat.
• Покращена робота форматів виводу з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Два дні тому, RSnake повідомив в себе Quicktime XSS Worm Hits Myspace, що користувачі відомомого онлайнового сервіса Myspace були атаковані XSS вірусом, причому в Quicktime файлі.

Це не перший випадок XSS вірусів (і про цю цікаву тему я же буду розповідати), однак у випадку XSS в Quicktime - це перший подібний вірус. Який вже набув розголосу, після нанесення шкоди користувачам Myspace, я зараз даний випадок обговорюють в секюріті спільноті.

Даний вірус використовував методику XSS в Quicktime, про яку я вже писав. Був використаний принцип створення бекдору в Quicktime, про який розповідав pdp (його код був використаний розробниками віруса).

І те, що подібний інцидент мав місце, говорить про явні проблеми безпеки (особливо стосовно Cross-Site Scripting). Варто очікувати нових подібних випадків, в тому числі і з використанням Quicktime, тому що варіантів використання XSS чимало, як і самих векторів включення й атак через XSS.

Тест для вашого браузера. Даний експлоіт проводить DoS атаку на Internet Explorer 6.

В результаті його роботи - коли завантажити сторінку з експлоітом - браузер підвисає (тобто звичайний DoS). На моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт зпрацював нормально. IE6 не вижив

Протестувати Internet Explorer (тест для IE6).

Це новий тест для IE. Останній тест для Internet Explorer 6 був DoS для Mozilla, Firefox та Internet Explorer, з яким ви також можете ознайомитися.