Websecurity - Веб безпека

Як попівдомив деякий час тому RSnake в записі Yahoo XSS Vuln - на сайті Yahoo була знайдена Cross-Site Scripting уразливість. Діра на сайті однієї з найбільших інтернет-компаній.

XSS:

• alert(document.cookie)

Дану дірку, котру знайшов digi7al64, вже виправлено (цю новину я публікую з запізненням, бо тільки зараз дістався до неї). Головне, на що я хочу звернути увагу, що великим інтернет компаніям та популярним порталам треба приділяти уваги безпеці своїх веб ресурсів ще більшу, ніж у випадку менш популярних проектів.

Тому що веб сервісами таких гігантів як Яху користується величезна кількість людей, про безпеку яких варто потурбуватися (так само як про власний імідж). На великих веб компаніях лежить більша відповідальність, тому й безпека в них повинна бути на найвищому рівні. А не так як це зараз є у MySpace . Я ще сам планую ближче придивится до сайтів Яху - відносно рівня їх безпеки.

18.01.2007

У жовтні, 15.10.2006, я знайшов Cross-Site Scripting уразливості на сайтах http://kino.a.ua та http://news.a.ua - двох сервісах портала a.ua. Про що найближчим часом сповіщу адміністрацію портала.

Раніше я вже писав про уразливість на poisk.a.org.ua.

Детальна інформація про уразливість з’явиться пізніше.

07.04.2007

http://kino.a.ua

XSS:

• alert(document.cookie)

Уразливість вже виправили. Але замість однієї уразливості, допустили іншу - Full path disclosure.

http://news.a.ua

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на п’ятий та шостий дні були упобліковані деталі про дві уразливості (Authentication Bypass та Cross-Site Scripting).

• Advisory MOMBY-00000101: Myspace Pics Authentication Bypass (деталі)
• MOMBY-00000110: Myspace Jobs Search XSS (деталі)

Перша уразливість являє собою обхід авторизації для огляду зображень розміщенних на порталі. Друга уразливість - це XSS. Причому зазначу, що обидві дірки були дуже швидко виправлені (адміни Майспейса швидко відреагували і тому не дали людям можливості протестувати дані дірки).

П’ятий та шостий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

В даній добірці експлоіти в веб додатках:

• LDU <= 8.x (polls.php) Remote SQL Injection Vulnerability (деталі)
• Serendipity <= 1.0.3 (comment.php) Local File Include Exploit (деталі)
• snif <= 1.5.2 (index.php) Remote File Inclusion Vulnerability (деталі)
• PHPGraphy 0.9.12 Privilege Escalation / Commands Execution Exploit (деталі)
• Exploits [0day] ProFTPD 1.3.0 stack overflow (деталі)

Продовжуючи розпочату традицію, після попереднього відео мануала про XSS, пропоную новий відео секюріті мануал. Цього разу відео про Cross Site Scripting атаку з використанням Session Hijacking (від milw0rm.com). Рекомендую подивитися всім хто цікавиться цією темою.

vBulletin XSS Demonstration with Session Hijacking

В даному відео ролику розповідається про Cross Site Scripting уразливості на сайті vBulletin. Та проводиться XSS атака з використанням Session Hijacking (що є поширеною практикою). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою XSS і Session Hijacking та небезпеки подібних уразливостей.

Інститут дослідження проблем програмної безпеки - SANS Software Security Institute, професіонали ІТ-безпеки, софтверні компанії та некомерційні групи представили систему сертифікації програмістів на надійність створюваного ними коду. Програмісти, що здали кваліфікаційні іспити, одержать статус GIAC Secure Software Programmer.

SANS розробив чотири екзамени з різних областей програмування: C/C++, Java/J2EE, Perl/PHP і .NET/ASP. Програміст повинний уміти визначати і виправляти помилки в коді, що ведуть до уразливостей в безпеці. Перший, пілотний іспит пройде в серпні у Вашингтоні, після чого система буде розширена у світовому масштабі.

Більшість уразливостей, від яких страждають програмні продукти, можна легко знайти й усунути на етапі створення вихідного коду. Однак для цього розробник повинний розуміти, який код являє потенційну загрозу безпеки, вважає редактор програми сертифікації MITRE Corp. Стив Крісті. До такого висновку він прийшов після аналізу більш 7 тисяч уразливостей, виявлених у різних програмних продуктах у 2006 році. На жаль, більшість коледжів і університетів не приділяють увагу питанню безпечного програмування, констатує Крісті. “Необхідний переворот такого стану справ. Іспити на безпечне програмування допоможуть кожному… сказати “досить” і встановити мінімальні вимоги до розробників”.

По матеріалам http://www.secblog.info.

P.S.

Цікава ідея , подивимося на її реалізацію. Питаннями безпечного програмування потрібно займатися.

В даній добірці уразливості в веб додатках:

• Plesk 8 - Multiple Cross Site Scripting Issues (деталі)
• blogcms => 4.0.0 Remote File Include (деталі)
• eggblog=> 3.1.0 Cross Site Scripting (деталі)
• BlogTorrent-preview => 0.92 Cross Site Scripting (деталі)
• Sphpblog => 0.8 Cross Site Scripting (деталі)
• dev_wms => 1.5 Remote File Include Vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in CubeCart (деталі)
• SQL injection vulnerability in CubeCart (деталі)
• Міжсайтовий скриптінг в PmWiki (деталі)
• PHP-інклюдинг в CJ Tag Board (деталі)

Позавчора, 03.04.2007, вийшли нові версії WordPress: 2.1.3 та 2.0.10 (відповідно для гілок WP 2.1.x та 2.0.x).

Дані версії є секюріті оновленнями для обох гілок 2.1 та 2.0 WordPress. І вони дуже рекомендовані для всіх користувачів Вордпреса.

В цих релізах виправлені деякі вже відомі XSS уразливості та одна XML-RPC дірка. А також проведена серйозна профілактична чистка коду движка для захисту від майбутніх проблем.

10.01.2007

У жовтні, 15.10.2006, я знайшов Cross-Site Scripting уразливість на сайті http://poisk.a.org.ua (пошук по ftp) - одному з сервісів портала a.ua. Про що найближчим часом сповіщу адміністрацію портала.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.04.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на третій та четвертий дні були упобліковані деталі про дві уразливості (HTML Injection та Cross-Site Scripting).

• MOMBY-00000011: MySpace HTML/Link Insertion (XSS Filtered) (деталі)
• MOMBY-00000100: MySpace XSS (filter evasion) (деталі)

Це уразливості в одному скрипті. Спочатку знайшли HTML Injection, котра і була опублікована на третій день. А потім все ж таки виявили можливість ін’єкції XSS (що працює лише в IE), котру опублікували на наступний день.

Третій та четвертий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.