Websecurity - Веб безпека

Західні фахівці вважають однією з головних небезпек, що загрожують розвитку Інтернету, “ботнети” (botnet) - мережі, що запущені за допомогою автономного програмного забезпечення.

У більшості випадків “ботнет” створюється хакером за допомогою спеціальних програм-вірусів. Потрапляючи на чужий комп’ютер такий додаток починає підключатися до мережі і допомагає посилати спам, здійснювати шахрайську діяльність, проводити DoS атаки, тощо.

Боротися зі створенням таких нелегальних мереж надзвичайно складно, тому що більшість операційних систем усе ще залишаються досить уразливими. Навіть нова ОС Windows Vista із проробленою захисною системою була успішно взломана і викладена в BitTorrent ще до офіційного реліза.

Виробники упевнені, що справитися з загрозою можна тільки завдяки спільним зусиллям уряду, телекомунікаційних фірм, користувачів і авторів програмного забезпечення.

По матеріалам http://itua.info.

17.11.2006

У вересні, 23.09.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

10.02.2007

На прохання адміністрації сайта деталі про уразливість не будуть опубліковані.

До речі, дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Techno Dreams Announcement (key) Remote SQL Injection Vulnerability (деталі)
• T.G.S. CMS <= 0.1.7 (logout.php) Remote SQL Injection Exploit (деталі)
• PwsPHP <= 1.1 (themes/fin.php) Remote File Include Vulnerablity (деталі)
• EFS Easy Address Book Web Server <= 1.2 Remote File Stream Exploit (деталі)
• PostNuke <= 0.763 Remote Code Execution Exploit (деталі)

Пропоную вам подивитися один цікавий (і забавний) відеоролик про безпеку в Інтернет - Думай безпечно (Think Security). В цьому ролику йдеться про різні загрози, які можуть вас торкнутися з Інтернету, і про те що з цим треба боротися.

Think Security

Дане відео розроблене компанією Microsoft, яка дуже піклується про вашу безпеку . Цим креативом Майкрософт вам намагається натякнути, що в Інтернеті небезпечно, але вони подбають про вас і ваших дітей (якщо раніше вас не похакають зловмисники).

В Україні щорічно розкривається близько 500 злочинів у сфері використання комп’ютерних технологій. Про це повідомив заступник начальника Департаменту державної служби боротьби з економічною злочинністю МВС України Сергій Лебідь сьогодні в Києві в ході роботи конференції з питань міжнародного співробітництва в рамках положень конвенції Ради Європи про кіберзлочинність.

За його словами, з початку роботи Департаменту МВС України з 2002 року правоохоронці в цілому розкрили 2535 злочинів, зроблених у сфері комп’ютерних технологій. На сьогоднішній день працівниками МВС України довершене розслідування по 1663 кримінальних справах, що передані в суди. Торік, як відзначив Сергій Лебідь, таких злочинів було розкрито 583, з яких 415 спрямовані в українські суди.

Зі своєї сторони начальник відділу по боротьбі з правопорушеннями в сфері високих технологій МВС України Віталій Бутусов уточнив, що в 2006 році найбільш розповсюдженими злочинами були шахрайство з використанням комп’ютерної техніки, несанкціонований збут і поширення інформації з обмеженим доступом, несанкціоноване втручання в роботу комп’ютерних і телекомунікаційних систем, підробки банківських платіжних карток, а також шахрайство з боку операторів зв’язку й абонентів телекомунікаційних компаній.

По матеріалам http://unian.net.

P.S.

За рік МВС розкриває всього 500 злочинів (з яких лише 70% доходить до судів). Скільки не розкриває, про це не повідомляється (і це явно величина іншого порядку). Тому МВС треба ще над цим посилено працювати.

В даній добірці уразливості в веб додатках:

• vBlog / C12 0.1 (cfgProgDir) Remote File Include Vulnerabilities (деталі)
• iPrimal Forums Remote File Inclusion (деталі)
• Уразливості в Simple Photo Album - 1.2 і 2.5 (деталі)
• News publication system remote File include (деталі)
• DigiOz Guestbook version 1.7 Path Disclosure Vulnerability in list.php (деталі)
• XSS Vulnerability in IBM WebSphere Application Server (деталі)
• Novell BorderManager ISAKMP Predictable Cookie Security Issue (деталі)
• PHP remote file inclusion vulnerability in ToendaCMS 1.0.3 (деталі)
• Міжсайтовий скриптінг в cPanel (деталі)
• PHP remote file inclusion vulnerability in the Kochsuite (деталі)

Виявлена можливість обходу анти-фішинг фільтрів в Firefox та Opera (protection bypass).

Уразливі продукти: Firefox 2.0, Opera 9.10.

Можливо обійти захист від фішинга додавши “.” до імені хоста.

• Firefox 2.0.0.1 and Opera 9.10 Anty Fraud/Phishing Protection bypass. (деталі)

26.11.2006

У вересні, 26.09.2006, я знайшов дві нові Cross-Site Scripting уразливості на популярному проекті http://chin.org.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже згадував про уразливості на chin.org.ua, які до сих пір так і не виправили. Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Сайтам Інтернет ЗМІ ватро слідкувати за власною безпекою. Тому що в даній категорії сайтів я найбільш часто знахожу уразливості, що добре видно з моїх новин. Як то уразливості на www.radiorus.ru, itnews.com.ua, www.liga.net, bin.com.ua, www.mignews.com та багатьох інших сайтів.

08.02.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• E Annu 1.0 Login Bypass SQL Injection Exploit (деталі)
• phpBB Spider Friendly Module <= 1.3.10 File Include Exploit (деталі)
• Nitrotech 0.0.3a (includes/common.php) Remote Code Execution Exploit (деталі)
• Techno Dreams Guestbook 1.0 (key) Remote SQL Injection Vulnerability (деталі)
• T.G.S. CMS <= 0.1.7 Remote SQL Injection Exploit (деталі)

В даній добірці експлоіти в веб додатках:

• GEPI <= 1.4.0 gestion/savebackup.php Remote File Include Vulnerability (деталі)
• P-Book <= 1.17 (pb_lang) Remote File Inclusion Vulnerabilities (деталі)
• Easy File Sharing Web Server 4 Remote Information Stealer Exploit (деталі)
• phpProfiles 2.1 Beta Multiple Remote File Include Vulnerabilities (деталі)
• Innovate Portal <= 2.0 Remote Code Execution Exploit (деталі)