Hello Full-Disclosure!

I want to warn you that I dont know anything about running secure sites. As a result it seems I have been compromised!

www.websecurity.com.ua

Потом можно было наблюдать дефейс, следующего содержания: Который висит на сайте до сих пор. Судя по содержанию, хакерам, читающим рассылку, надоели заметки автора Mustlive, которые он публиковал в рассылке. Проект websecurity.com.ua был создал при поддержке компании SHALB http://shalb.com/ru/, специализирующейся на ИБ и администрировании.

Для моего тестового веб-приложения скан продолжается в режиме Crawling (сбор данных) уже 4ый день.

На этом же ПК с этим же веб-приложением 6.5 версия кравлила движку за 4 часа…

Почему так происходит?

Судя по логам, сканер нашел в движке путь вида:

domain/news/2010/09/07

Затем “эвристический” алгоритм стал брутить и отправлять запросы перебирая параметры с 1954/01/01 до бесконечности. Веб-приложение отдает на такие запросы 200 статус и неодинаковые данные. Все это разнообразие сканер и пытается отпарсить по всем правилам, собрать и интерпретировать все JS, например, и все остальное в том же духе.

Исследования сканера продолжаются, хотя, честно говоря, уже хочется закончить…

Для полноты картины, цены на продукт можно посмотреть тут.

Читаю change-list и комментирую:

Build v7.0.20100901 – 1st September 2010 – NEW VERSION

New Features:

• New scanning engine – faster and reports more vulnerabilities
• New vulnerability verifying techniques to reduce false positives
• New site crawler – ability to crawl a wider range of websites and find more parameters
• — Ну здесь все как всегда. Видимо, это говорит о том, что в целом алгоритмы движки остались такими же, просто их еще подтюнили.
• Scriptable Vulnerabilities – now vulnerability checks are written in JavaScript
• — Видимо, это означает, что DOM based XSS теперь ловяться, ну что же, проверим позже.
• Ability to analyse website presentation layer to better understand website parameters’ functions
• — Не понял что имелось в виду под “website presentation layer”. Ну пусть стали лучше понимать параметры скриптов, положим, научились распознавать числа и тект отдельно…
• Graphical Scan status interface presents you with more scan information
• — Изменения GUI незачет
• Re-scan single vulnerability to avoid launching repetitive scans to verify fixes
• — Проверка качества исправления ранее найденной уязвимости. Камень в огород систем контроля защищенности.
• Support for HTTP Keep-alive
• — Друзья, а раньше не?
• DNS Caching to reduce multiple DNS requests
• — Небольшой бонус
• Ability to control delay between requests
• — Не писали бы про такой позор. Базовая настройка вообще-то должна быть 100 лет назад как…
• HTTP authentication settings node – support for granular specifications of HTTP credentials
• Support for digest HTTP authentication mechanism
• — Обучаемся по RFC?
• AcuSensor Technology test button to quickly verify installation of remote AcuSensor agent
• — Тупо проверка работает ли auto_prepend_file …
• Different variants of the same vulnerability are consolidated under one alert node
• Ability to specify label or tag instead of actual website parameter name in Input Fields node
• Option to automatically randomize input for parameters specific in Input Fields node
• — Мелкая оптимизация

New security checks:

• Test for SQL Injection in URI
• – А раньше не было?!?!
• Stored SQL injection
• Stored file inclusion
• Stored directory traversal
• Stored code execution
• Stored file tampering
• — Вау! Надо проверить все эти Stored
• A whole new set of more advanced WebDav auditing checks
• Automated form based authentication auditing checks (e.g. check if credentials can be brute forced)
• — Мелочь. Просто накрутили брутфорсер к формам.

Итого: ничего по делу. Максимум – будет быстрее проверять и чуть лучше искать. Но принципиального НИЧЕГО. Только новая циферка. Где HPP, Fragmented SQL-XSS-INC-EXEC-ETC, хоть бы просто CSRF проверку crossdomain.xml сделали, это, блин, очевидно!

Начал проверять сканер в деле, отпишусь по результатам

Прежде всего, хочу всех поблагодарить, и организаторов, и участников, всех, кто пришел, кто хотел прийти, кто обсуждал и кто просто знает о Chaos Constructions.

В этот раз мероприятие получилось очень безопасное. Докладов по ИБ получилось много, они получились на редкость адекватные. Честно говоря, до самой конференции я думал, что семинары будут мрачными и скуными, но такого не случилось, все было просто отлично, весело, задорно, эмоционально и самое главное – интересно и не избито!

Презентацию своего доклада выкладываю вслед за остальными участниками:

В свете скорого доклада на СС опубликовал материал, который ляжет в его основу.

Оформил в как WhitePaper, кстати, первый, надеюсь вышло не комом…

Обсуждения есть в FullDisclusure: seclists.org/fulldisclosure/2010/Aug/236

Оригинал на английском:

http://onsec.ru/onsec-whitepaper-01.eng.pdf

А теперь кратко о сути:

SDRF – the Same Domain Request Forgery (подделка запросов для того же домена).  Аналогично известной уязвимости CSRF (Cross-Site Request Forgery), SDRF заключается в подделке HTTP запросов пользователя, но в отличие от нее, подделываются запросы, отправляемые от имени пользователя на тот же домен, где расположен вредоносный код, эксплуатирующий уязвимость.

Второе важное отличие носит прикладной характер. Если для проведения атак CSRF преимущественно используются небезопасные HTML выражения, то для атаки SDRF реализуются через прикладные форматы компании Adobe ©, обрабатываемые плагинами к браузерам, такими как Adobe Flash Player © и Adobe Reader ©. Разумеется, можно использовать SDRF и классическими методами, например через HTML инъекции или XSS.

Третье отличие SDRF от CSRF кроется в особенностях браузеров обрабатывать документы Adobe Flash Player © и Adobe Reader ©. Даже защищенные ресурсы, такие как Google Mail, Yandex Mail и многие другие подвержены уязвимости SDRF, если используется определенный браузер. Подробнее об этом будет рассказано далее.

Все эти отличия спровоцировали нас выделить SDRF  в отдельный класс уязвимостей, хотя можно рассматривать их, с точки зрения классификации, и как частный случай CSRF.

Короче говоря, есть два варианта проведения атаки:

1. Если уязвимо веб-приложение (например, RoundCude или 1С-Битрикс (см. выходящий номер Х)).

2. Если уязвим браузер, а веб-приложение условно “безопасно” (например, GMail или Yandex.Mail под Opera).

Сама Opera не волнуется:

Dear Opera user,
The support request you tried to submit to Opera Software's support desk with the subject "Opera 9.60, 9.61 SDRF vuln" was not accepted.
Please note that new support requests can only be submitted using the support Web interface:
  https://support.opera.com/
Only users with a valid Premium Support account are entitled to personal support for Opera's software products.
Users without a valid Premium Support account can purchase one here:
  http://www.opera.com/support/
Users who do not wish to purchase a Premium Support account are encouraged to consult the following:
- The Opera help forums in the My Opera Community:
  http://my.opera.com/forums/
- The on-line support pages, which include a searchable Knowledge Base with answers to Opera-related questions, tutorials, and other useful information:
  http://www.opera.com/support/
- For information on how to get help and find information about Opera, all users are advised to visit this page, which explains the easiest, fastest, and best way to get help:
  http://www.opera.com/support/help/
If you have lost your registration code, please go to the registration lookup form to have it e-mailed to you:
  http://www.opera.com/support/new2opera/buy/lostkey/
If you have not received a registration letter after purchasing an Opera product or Premium Support, please contact sales and registration support:
  http://www.opera.com/support/contact/?help=registration

Ну вот на этом, собственно пока все. Остальные приколы и примеры на СС10.

Долго не писал в блог во многом из-за него. Активно готовлю доклад и веселые задания для участников HackQuest.

Именно веселые, а не слишком сложные, хотя это относительно.

Могу сказать, что проявить придется не только знание предметной области, но и простую смекалку. Кстати, смекалка вообще должна быть другом хакера, не меньшим другом чем опыт или nmap

Стоит отметить, что в этот раз задания для квеста придумывались, что называется “всем миром”. Это сделало их по-настоящему разнообразными. Два человека просто не могут думать одинаково (а составителей гораздо больше двоих ), поэтому в квестах не будет однотипных подходов.

Раз уж написал превью, дам одну подсказку, а вернее совет, УЧАСТНИКИ, ЗАХВАТИТЕ С СОБОЙ ПЕРЧАТКИ. Это не обязательно, но может пригодиться…

До встречи!

http://php-security.org/2010/06/10/winners-of-the-month-of-php-security/

http://www.0x416d73.name/articles/51

Немного с опозданием поздравления, но все-таки.

Краткий обзор из блога AMS:

Первое место у Solar Designer – да, и тут дал о себе знать. Статья у него действительно хорошая и полезная – как правильно управлять аутентификационными данными в PHP – “How to manage a PHP application’s users and passwords”. Выражаясь сленгом, это “must read”. Там будет чего узнать всем – как разработчикам самих веб-приложений, так и исследователям безопасности.

Второе место получил Johannes Dahse, парень с неплохим потенциалом. Возможно, его кто знает по нику Flux Reiners, уже успел побывать в соавторстве книги Sichere Webanwendungen. А получил он своё место за сканер уязвимостей в веб-приложениях PHP на PHP, именуемый RIPS. По поводу сканера: честно говоря, ждал большего, но, видимо, это наилучшее, что доступно публично. Ну и автор обещает не останавливать развитие проекта. Кстати, советую почитать его блог.

Mateusz Kocielski на третьем месте, написал фаззер для PHP, который успел показать себя, найдя несколько уязвимостей в PHP. Назыается “The Minerva PHP Fuzzer”. Доступен к скачиванию.

Желаю дальнейших побед и творческих успехов!

Злоумышленники через комментарии к видео-роликам внедряли разный вредоносный код, перенаправляющий пользователей на другие сайты или просто искажающий содержание страницы.

Это самая масштабная атака с использованием уязвимостей межсайтового выполнения сценариев на моей памяти, и уж точно самая дорогая.

Ссылки:

http://lenta.ru/news/2010/07/05/youtube/

http://thenextweb.com/socialmedia/2010/07/04/youtube-hacked-justin-bieber-videos-targeted/