Websecurity - Веб безпека

Нещодавно була знайдена проблема (уразливість) в проекті Google - соціальній мережі Orkut. Як повідомляє RSnake в своєму записі Orkut Email Address Disclosure - в проекті Orkut була знайдена уразливість Email Address Disclosure, яка дозволяє продивлятися адреси користувачів.

Суть уразливості зводиться до того, що зараєстрований користуч сервіса може продивлятися емайл адреси інших користувачів в не залежності від того, доданий він в “друзі” чи ні (тобто без зайвих питань можна зібрати велику кількість емайлів, причому працюючих - наприклад для створення спам списку).

Гуглу варто більше слідкувати за безпекою своїх проектів, в тому числі не допускати витоків інформації. Особливо враховуючи те, що емайли можуть бути використані як для розсилання спаму, так і для можливих подальших атак на користувачів (емайл є важливою інформацією, тому що він використовується як сладова частина авторизації - емайл нерідко виступає у якості логіна).

03.11.2006

У вересні, 12.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ixbt.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Я вже писав раніше про проблеми з безпекою на даному проекті (Уразливість на www.ixbt.com).

15.12.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Open Conference Systems <= 1.1.3 (fullpath) File Include Vulnerabilities (деталі)
• phpMyConferences <= 8.0.2 (menu.inc.php) File Include Vulnerability (деталі)
• Redaction System 1.0 (lang_prefix) Remote File Include Exploit (деталі)
• IncCMS Core <= 1.0.0 (settings.php) Remote File Include Vulnerability (деталі)
• PHPBB insert user 0.1 (деталі)

Продовжуючи розпочату традицію, підготував для вас новий відео мануал. Раніше я вже писав про відео мануал по SQL Injection та про відео про Cross Site Scripting, а на цей раз нове відео про SQL Injection (від milw0rm.com). Рекомендую подивитися всім хто цікавиться цією темою.

0-DAY Simple SQL Injection

В цьому відео ролику, розповідається про SQL Injection атаку на прикладі одного движка на php та одного сайту на цьому движку (автор відео-ролику - справжній майстр пошуку уразливостей типу sql ін’єкцій). Рекомендую подивитися дане відео, для розуміння можливостей атаки за допомогою SQL Injection уразливостей.

В подальшому я планую продовжити дану традицію (тому очікуйте нове цікаве відео).

Ланс Шпітцнер, засновник проекту Honeynet, вважає, що за останні кілька років цілі та мотивація хакерів сильно змінилася. Хакерство зараз дуже прибуткове заняття й існує можливість роздобути багато грошей з мінімальним ризиком для самого взломщика.

Дуже цікаво те, що IRC використовується хакерами для початку атак і для спілкування. Існує безліч різних способів безпечного спілкування, але хакери все рівно використовує IRC. Вони не бояться бути пійманими і роблять усе відкрито. За останні два роки можна було спостерігати неймовірну можливість хакеров адаптуватися до нових технологій. Як тільки з’являється нова утиліта безпеки, вона відразу використовується для взлому. Спам дуже гарний приклад тому - ніхто не в змозі зупинити його.

Існує безліч нюансів при пійманні взломщика. Навіть якщо ви відстежите його на іншому кінці земної кулі, вам необхідно буде знайти обвинувача, що захоче їхати за хакером і ловити його. А це далеко не сама пріоритетна робота для органів влади. Використання безпечних ОС, сильних паролів, надійних політик безпеки, більш нових технологій може тільки ускладнити задачу і змусити хакера витратити на взлом більше часу. Але зловмисник може витратити стільки часу - скільки йому потрібно, тому що він не боїться бути пійманим.

У даний момент хакерска активність спостерігається у всіх країнах. Активніше усіх поводяться хакери з Румунії. Шпітцнер вважає, що практично всі атаки зараз автоматизовані. Відсоток індивідуальних атак дуже малий. Більшість усіх дій автоматизоване - тому що це більш простий спосіб заробити гроші.

По матеріалам http://www.securitylab.ru.

В даній добірці уразливості в веб додатках:

• ViewVC Undefined Charset UTF-7 XSS Vulnerability (деталі)
• Jinzora 2.6 - Remote File Include Vulnerabilities (деталі)
• osTicket File Include all V (деталі)
• Smarty-2.6.9 Vulnerability (деталі)
• Multiple vulnerabilities in Highwall Enterprise and Highwall Endpoint management interface (деталі)
• F5 Firepass 1000 SSL VPN version 5.5 vulnerable to Cross-Site Scripting (деталі)
• Airmagnet management interfaces multiple vulnerabilities (деталі)
• BlooMooWeb ActiveX unauthorized access - ActiveX security leaks (деталі)
• SQL-ін’єкція в GeheimChaos (деталі)
• XSS vulnerability in Inter Network Marketing CMS G3 (деталі)

Всім хто цікавиться темою безпеки (і зокрема веб безпеки), пропоную вашій увазі мій посібник з безпеки (security manual). Даний матеріал я підготував в грудні 2005 (як раз почав готувати перший матеріал для мого майбутнього сайту, ідея створення якого в мене виникла у вересні 2005). Лише тепер знайшов час для публікації матеріалу (учора). Надана інформація дуже актуальна.

В моєму мануалі йдеться про сучасний стан безпеки програмних продуктів, що відносяться до типу веб-додатків та веб-систем. Про різновиди веб програм та їх основні вразливості.

Посібник з безпеки

В посібнику я розглядаю чимало напрямків в безпеці веб орієнтованих програмних продуктів. Інформація буде постійно поповнюватися. Даний посібник буде корисний веб розробникам і всім тим, хто цікавиться темою веб безпеки.

01.11.2006

У вересні, 11.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на популярному проекті http://itc.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Про проблеми з безпекою на порталі itc.ua я вже писав раніше (Уразливість на www.itc.ua).

13.12.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Cdsagenda <= 4.2.9 (SendAlertEmail.php) File Include Vulnerability (деталі)
• Genepi <= 1.6 (genepi.php) Remote File Include Vulnerability (деталі)
• phpBB PlusXL <= 2.0_272 (constants.php) Remote File Include Exploit (деталі)
• maluinfo <= 206.2.38 (bb_usage_stats.php) Remote File Include Exploit (деталі)
• pamBlockerMODv <= 1.0.2 Remote File Include Vulnerability (деталі)

В зв’язку з деякими технічними проблемами (як я не люблю ці технічні проблеми ) виникла невеличка затримка з публікацією інформації на сайті.

За п’ятницю не вийшло опублікувати все заплановане. Як разберуся з технічними проблемами, то продовжу свою роботу.