Websecurity - Веб безпека

Із січня 2007 року браузер Internet Explorer 7 буде позначати безпечні банківські сайти і ресурси компаній, що займаються інтернет-комерцією. Планується, що адресний рядок при відвідуванні таких сайтів стане офарблюватися в зелений колір. Користувачі перевірених “зелених” ресурсів зможуть бути впевненими, що їхня персональна інформація не стане надбанням онлайнових шахраїв і не потрапить у руки спамерам.

“Правильні” сайти повинні мати цифрові сертифікати, що будуть видаватися за результатами всебічних ретельних перевірок. Крім того, ресурсам буде потрібно одержати “знак якості” - цифрову печатку WebTrust, що гарантує, що онлайновий бізнес пройшов перевірку ліцензованої аудиторської компанії і відповідає критеріям AICPA і CICA.

Щоб одержати всі необхідні сертифікати, сайтам і компаніям, що ними володіють, прийдеться пройти багатоступінчасту перевірку. Зокрема, орган сертифікації упевниться в легальності бізнесу і наявності інформації про нього в різних базах даних (включаючи базу даних Whois), дійсності телефонних номерів, зазначених на сайті для зв’язку, і у вірогідності інших відомостей.

У деяких випадках при сертифікації можливі послаблення, але для цього компаніям прийдеться надати листа від юриста, нотаріуса чи бухгалтера. Пройти перевірку за рядом додаткових критеріїв необхідно буде банкам і компаніям, що знаходяться в групі ризику - тобто тим, що можуть становити великий інтерес для кібершахраїв. А від фірм, що існують менш трьох років, можуть зажадати надати свідчення про те, що їхній банківський рахунок дійсний. Ряду компаній сертифікація поки буде недоступна, серед них - суспільства з необмеженою відповідальністю, некорпоративні асоціації, фірми, що знаходяться в одноособовому володінні, а також приватні підприємці.

По матеріалам http://www.secblog.info.

В даній добірці уразливості в веб додатках:

• EPNadmin remote Command Execution Vulnerabilities (деталі)
• CASTOR <= 1.1.1 Remote Command Execution Vulnerability (деталі)
• RSSonate remote Command Execution Vulnerabilities (деталі)
• RSSonate remote Command Execution Vulnerabilities (деталі)
• EZ-Ticket v0.0.1 Remote File Inclusion Vulnerability (деталі)
• PHP-Nuke <= 7.9 (Encyclopedia) Remote SQL Injection Exploit (деталі)
• WSN Forum <= 1.3.4 (pathtoconfig) Remote File Include Exploit / Code Execution Vulnerability (деталі)
• PHP remote file inclusion vulnerability in SAPID CMS (деталі)
• SQL injection vulnerability in XennoBB 2.1.0 (деталі)
• Читання довільних файлів в Easy File Sharing Web Server (деталі)

На секлабі опублікована стаття, яка наводить підсумки минулого року, про 10 самих цікавих подій в області інформаційної безпеки (в Росії і в світі), що відбулися в 2006 році.

1. RIAA подала позов проти російської компанії на 1.650.000.000.000,00 доларів США.

2. Винесено вирок системному адміністратору, що установив неліцензійний AutoCad.

3. Депутатська грамота за дефейс сайта.

4. Windows 2003 Server - одна із самих надійних операційних систем.

5. Microsoft примусово встановлює на комп’ютери користувачів Windows Genuine Advantage.

6. Російські вчені направили лист Путіну про заборону закордонного ПО.

7. У Windows Vista буде нова антипіратська технологія.

8. Microsoft розробила закон, що дозволяє розробникам ПО віддалено видаляти свої програми на комп’ютерах користувачів.

9. $20000 за донос на роботодавця, що використовує неліцензійне ПО.

10. Вперше в Росії була порушена кримінальна справа проти інтернет форуму.

З деякими з цих подій я погоджусь, з деякими ні. Відносно порядку цих подій та їх місця в списку 10 найцікавіших секюріті подій минулого року, я теж частово погоджуюсь, частково ні (зокрема треба було згадати про запуск мого веб проекту, і розмістити його на початку списку ). Але в цілому 2006 рік видався доволі цікавим, в тому числі і в області інформаційної безпеки.

• Итоги уходящего года (деталі)

В даній добірці експлоіти в веб додатках:

• Php AMX 0.90 (plugins/main.php) Remote File Include Vulnerability (деталі)
• phpPowerCards 2.10 (txt.inc.php) Remote Code Execution Vulnerability (деталі)
• Brim <= 1.2.1 (renderer) Multiple Remote File Include Vulnerabilities (деталі)
• Easynews <= 4.4.1 (admin.php) Authentication Bypass Vulnerability (деталі)
• phpBB Security <= 1.0.1 Remote File Include Vulnerability (деталі)

В першому моєму записі в новому році, поздоровляю вас з початком Нового 2007 Року!

З приводу свята, для вас я підготував тестування знань (буде таке собі новорічне тестування, хоча проходити тест ви може в будь-який час).

Тест по веб безпеці призначений для перевірки ваших знаннь з даної теми, котрі ви можете перевірити в розділі Тестування. Питання в тесті базуються на матеріалах мого Посібника з безпеки. На даний момент присутні питання по першому і другому розділу посібника.

Даний тест я підготував ще літом, як раз в день офіційного запуску сайта. Але розміщення тестування відклалося, поки я не розмістив свій Посібник з безпеки (в минулому місяці). По матеріалам якого і створені питання для тесту. Так що тепер ви зможете в будь-який момент перевірити свої знання з веб безпеки.