Websecurity - Веб безпека

У жовтні, 20.10.2009, вийшла нова версія WordPress 2.8.5.

WordPress 2.8.5 це секюріті випуск 2.8 серії. В ньому розробники зробили різноманітні секюріті покращення, щоб зробити движок більше безпечним. Зокрема була виправлена Denial of Service уразливість через Trackback та покращений код системи стосовно виконання php-коду в змінних та аплоадера, а також прибрані два старих імпортера даних тегів.

А вже в листопаді, 12.11.2009, вийшла нова версія WordPress 2.8.6.

WordPress 2.8.6 це новий секюріті випуск 2.8 серії. В якому виправлені дві Cross-Site Scripting уразливості.

Сьогодні вийшла нова версія програми MustLive/BPG MySQL Perl/CGI Client v1.08.

В новій версії 1.08:

• Покращив фільтрацію XSS.
• Додав в файл конфігурації опцію $show_sqlform для налаштування виведення форми “SQL запит до Бази Даних”, з метою протидії можливим SQL Injection атакам (зокрема через CSRF).
• Додав перевірку існування запису в БД (по ключовому полю) при його редагуванні.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.

Сьогодні вийшла нова версія програми SQL Shell v.1.0.2. В новій версії:

• Додана підтримка відповідей з помилкою 404.
• Оптимізований код програми.
• Покращений опис програми.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.2.rar.

Після виходу в грудні, 15.12.2009, Firefox 3.0.16, в якому було виправлено 5 уразливостей, в січні, 05.01.2010, вийшов Firefox 3.0.17. В якому не було зроблено жодних секюріті покращень і виправлень (хоча дірок в ньому вистачає, про що я неодноразово повідомляв Mozilla, але вони завжди ігнорували мої повідомлення про DoS і XSS уразливості в їхніх браузерах).

В останній версії Firefox був виправлений лише баг з презентацією оновлень користувачам.

Також в цей же день вийшов Firefox 3.5.7. В якому також не було зроблено жодних секюріті покращень і виправлень. Лише виправленна загальна проблема зі стабільністю (що може включати і DoS уразливість, але Mozilla любить відности це не до уразливостей, а до stability issue) та виправленний баг з презентацією оновлень користувачам.

У грудні, 17.12.2009, вийшов PHP 5.2.12. В якому виправлено більше 60 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.12:

• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Доданий захист для $_SESSION проти пошкоджень і покращена перевірка “session.save_path”.
• Виправлений баг #49785 (недостатня перевірка вхідного рядка в htmlspecialchars()).

По матеріалам http://www.php.net.

Ще до виходу PHP 5.2.11 у вересні, вийшов PHP 5.3. Вихід нової гілки PHP відбувся 30.06.2009 і даний реліз є значним покращенням 5.x серії.

А вже у листопаді, 19.11.2009, вийшов PHP 5.3.1. В якому виправлено більше 100 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.1:

• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Додані пропущені перевірки навколо обробки exif.
• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Виправлений слабий safe_mode_include_dir.

По матеріалам http://www.php.net.

Нещодавно, 15.12.2009, вийшла Invision Power Board 3.0.5. В даній версії виправлені уразливості, зокрема XSS, LFI та SQL Injection, а також знайдені мною Cross-Site Scripting уразливості в IPB.

• Форум Invision Power Board (IP.Board) 3.0.5 (деталі)

Компанія ІBResource повідомляє про вихід російської версії IP.Board 3.0.5 (IPB). Ця версія включає виправлення уразливостей, а також багатьох помилок і поліпшення швидкості роботи форуму.

Ще в серпні компанія IBResource повідомила про запуск Антиспам сервісу. Як заявляють розробники, це перший в Рунеті Антиспам сервіс для форумів.

Вони не зупинился на минулорічних покращеннях системи захисту від спаму і вирішили запропонувати новий сервіс для більшої протидиї спамерам.

Сервіс Антиспама являє собою комплекс заходів для визначення і блокування користувачів-спамерів. Частина даного комплексу вбудована у форум, а інша реалізована у вигляді окремого зовнішнього сервісу. Він обробляє всі дані про реєстрації на форумах клієнтів і на основі власної бази, робить висновок про можливу спам-реєстрацію. Відповідно, чим більше клієнтів використовує сервіс, тим ефективніше він працює і тим більше захищені самі форуми від спамерів.

• Антиспам сервис (деталі)

Сервіс працює з форумами IPB 2.3.6 та 3.x. Але розробники заявляють, що можуть надати необхідну інформацію по роботі сервіса для власників інших форумних движків.

В себе на сторінці Security Bookmarklets RSnake розмістив цікаві секюріті буркмарклєти. Які можуть стати в нагоді для фахівців в галузів веб безпеки. Буркмарклєти призначені для браузера Firefox (але деякі з них працюють і в старій Mozilla).

Доступні наступні інструменти для вашого браузера:

• zoom images in та zoom images out
• linked images
• increment та decrement
• numbered list
• Yahoo site search
• methodToggle
• Edit Cookies
• Find Redirects
• Alexa

Сам я букмарклєтами особливо не користуюся (ні цими, ні взагалі), але комусь вони можуть стати в нагоді . Тим паче серед даного переліку букмарклєтів є деякі цікаві й зручні. Я ж полюбляю для деякої оптимизації роботи використовувати плагіни до браузеру. Зокрема такі корисні речі, що роблять methodToggle і Edit Cookies, я вже давно роблю в браузері через відповідні й зручні плагіни.

В записі Як отримати безкоштовні зворотні лінки я зробив анонс свого SEO методу.

Для автоматизації деяких робіт по використанню SEO методу для своїх клієнтів (користувачів методу) я розробив декілька додатків.

15.06.2009 я розробив першу версію WebpageUploader. Поточна версія програми WebpageUploader 1.06. Вона призначена для завантаження html сторінок на веб сайти.

А сьогодні я розробив нову програму - WebpageChecker. Вона призначена для перевірки наявності html сторінок на веб сайтах. Але також може бути використана для перевірки наявності будь-яких файлів на сайтах.

Програми можуть працювати в парі. Результати роботи WebpageUploader можуть бути використані в WebpageChecker - для подальшої перевірки наявності html сторінок на даних сайтах. Обидві програми стануть в нагоді всім користувачам мого SEO методу.