Websecurity - Веб безпека

Компанія Google сьогодні повідомила про випуск стабільної версії браузера Chrome 8.

Розробники відзначають, що в новій версії веб-браузера з’явився новий переглядач PDF-файлів, що використовує технологію “пісочниці” (Sandbox). Процес виконується в ізольованому оточенні, тому навіть при відкритті шкідливого файлу небажаний програмний код не зможе зашкодити системі та іншим додаткам.

Також повідомляється, що Chrome 8 одержав підтримку онлайнового магазина Chrome Web Store - правда, поки доступ до цього сервісу неактивний.

Крім того, розробники усунули близько 800 виявлених помилок, підвищили загальну швидкодію і стабільність. Продуктивність браузера виросла майже в два рази в порівнянні з Chrome 7.

• Вышла восьмая версия Google Chrome (деталі)

В себе в блозі Aung анонсував додаток inspath - Path Disclosure Finder. Він призначений для пошуку Full path disclosure уразливостей у веб додатках.

Якщо веб секюріті професіонали можуть самі знайти FPD дірки (як це роблю я), то для адмінів сайтів та веб розробників даний інструмент стане в нагоді. А також для тих діячів веб безпеки, що полюбляють використовувати автоматизовані сканери для пошуку уразливостей. Або тим професіоналам, у яких немає часу, бажання або уміння шукати Full path disclosure уразливості , то inspath зробить роботу для них.

Програма написана на Ruby. Це rb скрипт, який ви запускаєте локально для пошуку FPD уразливостей в тих додатках, зокрема опен сорс, вихідні коди яких у вас розміщені на жорсткому диску. Таким чином працює програма, тому вона може використовуватися лише при наявності скриптів веб додатку чи сайту у вас на диску.

Для пошуку FPD уразливостей на веб сайтах, в тому числі у веб додатках, що використовуються на сайтах, також можна використовувати такий інструмент, як Google. Про що я багато разів писав в серії своїх статей “Warning” Google хакінг. За допомогою Гугла можна знайти навіть виправлені Full path disclosure дірки, як я вже розповідав в своїй статті Істинна сила кешу.

В веб секюріті діяльності та при веб розробці нерідко виникає потреба в визначенні серверних заголовків. Наприклад при аудиті безпеки сайтів чи розробці веб додатків. В заголовках сервера може бути багато цікавої інформації, зокрема витоки версій веб сервера та його модулів, а також версій веб додатків.

Існують спеціальні програми для визначення заголовків серверів. Але найбільш зручним інструментом, як для мене, є плагіни до браузерів, що дозволяють переглядати заголовки (як ті, що відправляються до сервера, так і ті, що повертає сервер). Зокрема є такий плагін для Mozilla та Firefox як Live HTTP headers, яким я користуюся вже багато років.

Також існують різні онлайн сервіси, що дозволяють визначати серверні заголовки на довільних сайтах. Одними з таких сервісів є www.onlinewebcheck.com (відомий також як online.htmlvalidator.com) та about42.nl, про уразливості в яких я писав раніше. Так що всі подібні сервіси без захисту від Insufficient Anti-automation можуть бути використанні для атак на інші сайти, про що я писав в статті Використання сайтів для атак на інші сайти. Для цього можна використати DAVOSET.

На сторінці http://www.onlinewebcheck.com ви можете провести валідацію html та подивитися серверні заголовки довільного сервера.

А на сторінці http://about42.nl/www/showheaders.php ви можете подивитися серверні заголовки довільного сервера. По замовчуванню виводяться серверні хедери google.com.

Існує такий онлайн-сервіс від Qualys як SSL Server Test. Що дозволяє тестувати SSL сервери та веде БД перевірених серверів.

За допомогою даного сайта можна подивитися базу даних публічних SSL серверів (Public SSL Server Database), з числа тих серверів, що були протестовані. А також можна перевірити конфігурацію веб сервера з підтримкою SSL, як власного, так і будь-якого іншого сервера (SSL Server Test).

При тестуванні сервера оцінюються такі показники як Certificate, Protocol Support, Key Exchange і Cipher Strength. Після чого серверу виставляється загальний рейтинг.

Можете ознайомитися з роботою сервіса на прикладі сайта www.ssllabs.com:

https://www.ssllabs.com/ssldb/analyze.html?d=www.ssllabs.com

P.S.

Сервіс хороший. Але має Insufficient Anti-automation уразливість. І хоча запити на перевірку сервера кешуються, але на сайті є можливість очистки кешу для перевіреного сервера (тому кешування легко обходиться і сам сайт може бути перенавантажений запитами на перевірку серверів).

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WOT - Web of Trust. В деякій мірі це ще один конкурент моїй Web VDS.

Даний сервіс призначений для створення рейтингу довіри до сайтів. В тому числі він може використовуватися для захисту від вірусів на веб сайтах та інших шкідливих сайтів. Він доступний як у вигляді плагіна для браузерів, так і у вигляді онлайн сервіса.

Веб сервіс Web of Trust відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec (хоча є деяка схожість з ними) та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а рейтинг сайтів (де є в тому числі і шкідливі сайти). В цьому він подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на сайт та переглянути перелік сайтів за популярністю, та почитати детальну інформацію про сайт на сторінці WOT Reputation Scorecard (для конкретного сайта). Де може бути вказана інформація про інфікованість конкретного сайта. Або можна скористатися плагіном WOT add-on, що розроблений для багатьох браузерів (Mozilla Firefox, Google Chrome, Internet Explorer, Safari, а також існує букмарклет для інших браузерів).

Можете подитивитися на детальну інформацію про інфікований сайт tipsyking.com:

http://www.mywot.com/en/scorecard/tipsyking.com

У зв’язку з проблемами з доступом в Інтернет в суботу і в понеділок з публікаціями на сайті виникли затримки. Але я в будь-якому разі виконаю заплановане і опублікую необхідні пости . Стосовно ж новин.

У липні, 22.07.2010, вийшов PHP 5.3.3. В якому виправлено більше 100 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.3:

• Rewrote var_export() to use smart_str rather than output buffering, prevents data disclosure if a fatal error occurs.
• Fixed a possible resource destruction issues in shm_put_var().
• Fixed a possible information leak because of interruption of XOR operator.
• Fixed a possible memory corruption because of unexpected call-time pass by refernce and following memory clobbering through callbacks.
• Fixed a possible memory corruption in ArrayObject::uasort().
• Fixed a possible memory corruption in parse_str().
• Fixed a possible memory corruption in pack().
• Fixed a possible memory corruption in substr_replace().
• Fixed a possible memory corruption in addcslashes().
• Fixed a possible stack exhaustion inside fnmatch().
• Fixed a possible dechunking filter buffer overflow.
• Fixed a possible arbitrary memory access inside sqlite extension.
• Fixed string format validation inside phar extension.
• Fixed handling of session variable serialization on certain prefix characters.
• Fixed a NULL pointer dereference when processing invalid XML-RPC requests.
• Fixed SplObjectStorage unserialization problems.
• Fixed possible buffer overflows in mysqlnd_list_fields, mysqlnd_change_user.
• Fixed possible buffer overflows when handling error packets in mysqlnd.
• Also upgraded bundled sqlite to version 3.6.23.1.
• Upgraded bundled PCRE to version 8.02.
• Fixed a possible crash because of recursive GC invocation.
• Fixed bug #52238 (Crash when an Exception occured in iterator_to_array).
• Fixed bug #52041 (Memory leak when writing on uninitialized variable returned from function).
• Fixed bug #52060 (Memory leak when passing a closure to method_exists()).
• Fixed bug #52001 (Memory allocation problems after using variable variables).

По матеріалам http://www.php.net.

У березні, 04.03.2010, вийшов PHP 5.3.2. В якому виправлено більше 70 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.2:

• Покращена ентропія LCG.
• Виправлена валідація safe_mode всередині tempnam() коли шлях директорії не завершувався слешем (/).
• Виправлений можливий обхід open_basedir/safe_mode в розширенні session.
• А також додана підтримка SHA-256 і SHA-512 до функції crypt.
• Доданий захист для $_SESSION від пошкоджень та покращена перевірка “session.save_path”.
• Виправленні вибивання в функції crypt та в garbage collector.
• Виправлений збій в ldap_next_reference.

По матеріалам http://www.php.net.

У липні, 22.07.2010, вийшов PHP 5.2.14. В якому виправлено більше 60 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.14:

• Переписаний var_export() для використання smart_str замість вихідної буферизацї, щоб не допустити витоки інформації при фатальних помилках.
• Виправлений можливий витік масиву преривань в strrchr().
• Виправлений можливий витік масиву преривань в strchr(), strstr(), substr(), chunk_split(), strtok(), addcslashes(), str_repeat(), trim().
• Виправлене можливе пошкодження пам’яті в substr_replace().
• Виправлені проблеми ансеріалізації SplObjectStorage.
• Виправлене можливе вичерпання стеку всередині fnmatch().
• Виправлений NULL pointer dereference при обробці некоректних запитів XML-RPC.
• Виправлена обробка серіалізації сесійних зміних на деяких символах.
• Виправлений можливий довільний доступ до пам’яті всередині розширення sqlite.
• А також оновлений PCRE до версії 8.02.
• Виправлені вибивання в iterator_to_array та при роботі з вказівниками.
• Виправлений витік пам’яті при запису в неініціалізовану змінну, що повернута з функції.
• Виправлені вибивання в __destruct() та debug_backtrace().
• Виправлене вибивання при роботі з iconv на MacOS.

По матеріалам http://www.php.net.

У лютому, 25.02.2010, вийшов PHP 5.2.13. В якому виправлено більше 40 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.13:

• Виправлена валідація safe_mode всередині tempnam() коли шлях директорії не завершувався слешем (/).
• Виправлений можливий обхід open_basedir/safe_mode в розширенні session.
• Покращена ентропія LCG.
• А також виправлений збій в ldap_next_reference.

По матеріалам http://www.php.net.

Нещодавно, 29.07.2010, вийшла нова версія WordPress 3.0.1. Вихід нової версії WP співпав в часі з анонсом мого проекту День багів в WordPress 2 .

WordPress 3.0.1 це багфікс випуск 3.0 серії. В якому розробники виправили різноманітні баги. Всього було виправлено близько 50 багів.