Websecurity - Веб безпека

Розмістив на сайті DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення атак на інші сайти (зокрема DoS і DDoS атак). Мій інструмент стане в нагоді при тестуванні Abuse of Functionality уразливостей і для доведення Інтернет спільноті небезпеки цих дірок. Що я намагався робити в своїх статтях в 2010 році та в описах уразливостей (починаючи з 2007 року), коли звертав увагу на подібні уразливості.

У липні 2010 року я розробив першу версію DAVOSET, а 18.07.2010 випустив версію 1.0.5, яку сьогодні й розмістив на сайті. Це остання версія мого інструменту DAVOSET. Після того я вже не займався його розробкою. Але зараз я планую продовжити розробку програми і випустити нові версії.

Три роки я тримав цей інструмент приватно, але зараз публікую його у відкритий доступ. Щоб всі бажаючи могли протестувати Abuse of Functionality уразливості на численних сайтах.

Так як в більшості випадків власники сайтів та веб розробники ігнорують і не виправляють їх. Що може бути використано для DoS атак як на інші сайти, так і на самі сайти з AoF уразливостями, про що я писав у статті Використання сайтів для атак на інші сайти.

У версії 1.0.5 присутній список list.txt з 20 уразливими сервісами на різних сайтах (про які я писав в новинах). Також існує більший список уразливих сервісів, до якого увійшли сайти, про які я писав в новинах вже після виходу цієї версії DAVOSET, і який я планую оприлюднити в наступній версії програми.

Скачати: DAVOSET_v.1.0.5.rar.

Окрім IP Location Finder та Whois Lookup та інших сервісів, про які я писав раніше, viewdns.info пропонує інші онлайн сервіси. Зокрема це Is My Site Down - сервіс для перевірки доступності сайта, та Google Pagerank Checker - сервіс перевірки PR.

За допомогою онлайнового сервісу Is My Site Down можна перевірити доступність сайта. Під час перевірки робиться резолвінг DNS, пінг, сканування 80 і 433 портів та запит до головної сторінки веб сайта.

Враховуючи Abuse of Functionality та Insufficient Anti-automation уразливості в цьому функціоналі, його можна буде використати для проведення DoS атак на інші сайти.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality / Insufficient Anti-automation:

http://www.viewdns.info/ismysitedown/?domain=google.com

За допомогою онлайнового сервісу Google Pagerank Checker можна визначити PR сайта. Що знадобиться при SEO веб сайтів.

Так само як і раніше згадані сервіси, дані онлайн інструменти від viewdns.info є безкоштовними.

У травні, 09.05.2013, вийшли PHP 5.3.25 та PHP 5.4.15. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки libmagic.

По матеріалам http://www.php.net.

Сьогодні, майже через півтора місяці після виходу Google Chrome 26, вийшов Google Chrome 27.

В браузері зроблено декілька нововведень та виправлені помилки. Зокрема реалізована нова секюріті функція - додана підтримка серверного заголовка X-Content-Type-Options: nosniff, розробленого в 2009 році Microsoft для свого браузера Internet Explorer 8. Що є додатковим захистом від XSS атак.

А також виправлено 13 уразливостей, з яких 10 позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free) у коді SVG, media loader, в обробниках Pepper, widget, speech і style. Проблеми з виходом за границі буфера усунуті в Web Audio і движку v8. До складу також включена нова версія Flash Player, у якій усунуто 13 уразливостей, що можуть привести до виконання коду при обробці певним чином оформлених swf-файлів.

• Вышел web-браузер Chrome 27 (деталі)

У травні, 15.05.2013, вийшов Mozilla Firefox 21. Нова версія браузера вийшла через півтора місяця після виходу Firefox 20.

Mozilla офіційно випустила реліз веб-браузера Firefox 21, а також мобільну версію Firefox 21 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 22 намічений на 25 червня, а Firefox 23 на 6 серпня. Також був випущений Seamonkey 2.18.

Одночасно з Firefox 21 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.6 і Thunderbird 17.0.6.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 21.0 усунуто 8 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 21 (деталі)

У квітні, 11.04.2013, вийшов Mozilla Firefox 20.0.1. Нова версія браузера вийшла лише через дев’ять днів після виходу Firefox 20. І в ній виправлений баг допущений в останньому релізі.

Mozilla представила коригувальний випуск Firefox 20.0.1 у якому усунутий один баг. Це виправлення стосується лише версії браузера для Windows - покращена робота зі шляхами UNC.

У квітні, 11.04.2013, вийшли PHP 5.3.24 та PHP 5.4.14. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки PCRE.

По матеріалам http://www.php.net.

У березні, 26.03.2013, майже через півтора місяці після виходу Google Chrome 25, вийшов Google Chrome 26.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 11 уразливостей, з яких 2 позначені як небезпечні. Це менше ніж у попередній версії браузера.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті при роботі Web Audio і проблемами з обробкою ізольованих сайтів в окремому процесі.

• Увидел свет web-браузер Chrome 26 (деталі)

У березні, 14.03.2013, вийшли PHP 5.3.23 та PHP 5.4.13. В яких виправлено біля 15 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.23 та PHP 5.4.13:

• Виправлена XML External Entity уразливість, що дозволяла читання довільних файлів через SOAP WSDL-файли.
• Виправлений обхід open_basedir через SOAP.

По матеріалам http://www.php.net.

У квітні, 02.04.2013, вийшов Mozilla Firefox 20. Нова версія браузера вийшла через півтора місяця після виходу Firefox 19.

Mozilla офіційно випустила реліз веб-браузера Firefox 20, а також мобільну версію Firefox 20 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 21 намічений на 14 травня, а Firefox 22 на 25 червня. Також був випущений Seamonkey 2.17.

Одночасно з Firefox 20 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.5 і Thunderbird 17.0.5.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 20.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 20 (деталі)