SQL инъекции. Проверка, взлом, защита

Автор: admin от 20-10-2011, 14:15, посмотрело: 3992

SQL инъекция — это один из самых доступных способов взлома сайта.
Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно.

Как вычислить уязвимость, позволяющую внедрять SQL инъекции?

Довольно легко. Например, есть тестовый сайт test.ru. На сайте выводится список новостей, с возможностью детального просомтра. Адрес страницы с детальным описанием новости выглядит так: test.ru/?detail=1. Т.е через GET запрос переменная detail передаёт значение 1 (которое является идентификатором записи в табице новостей).

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Шифрование/дешифрование данных на стороне клиента в web-ориентированных системах

Автор: admin от 10-10-2011, 17:10, посмотрело: 2083

В наши дни всё больше программ переводятся в так называемый «web-ориентированный» вид, то есть используется принцип клиент-сервер, что позволяет хранить данные удалённо и получать к ним доступ через тонкий клиент (браузер).
Одновременно с удобством использования остро встаёт вопрос о защищённости этих данных. Конфиденциальная информация может стать доступна другим людям несколькими путями. Во-первых, к пользователю могут быть применены физические меры для выпытывания. Во-вторых, при передаче данные могут быть перехвачены различными снифферами. И, в-третьих, на сервер могут быть произведены хакерские атаки, что позволит злоумышленникам похитить информацию, либо недобросовестный администратор сервера воспользуется ею в личных целях.

Задача


Некоторое время назад у меня возникла задача разработать прототип программы шифрования/дешифрования данных на стороне клиента в web-ориентированных системах.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Предложение по совместному созданию стандарта безопасности для Web приложений (сайтов)

Автор: admin от 27-09-2011, 12:49, посмотрело: 1507

Навеяно последними событиями, связанными с проблемой конфиденциальности личных данных в Мегафон, МТБанк и так далее ну и собственно вопросом habrahabr.ru/qa/10352/

В последнее время тщательно слежу за тем что происходит в интернете в плане безопасности данных и порой становится страшно, что занося какие либо данные в любой из органов, банков — твоя информация может стать доступна широкой аудитории Интернет пользователей. Более того моя текущая работа связанна с аудитом сайтов и веб систем на предмет наличия возможных уязвимостей, в первую очередь даже не программных (хотя именно это любимая часть и кландайк для злодеев) но и логических — и могу авторитетно заявить что большинство сайтов, проходящих через меня имеют критические или серьезные проблемы. А через меня проходят Web приложения крупных организаций, имена которых у всех на слуху.

Долгие вечера сидя за чашкой кофия, и разбирая и описывая очередную уязвимость на сайте я чаще ловил себя на мысли, что мир мог бы быть защищенней, безопасней, чище если бы…

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Хроники пентестера

Автор: admin от 22-09-2011, 13:33, посмотрело: 1956

Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для нарушителей всех мастей. Тут всегда хватит места и для матерых SEOшников, и для желающих нести свои мысли в массы путем подмены содержимого страниц, и, разумеется, веб-приложения являются первоочередной мишенью при преодолении внешнего периметра компаний, как в тестированиях на проникновение, так и в суровой жизни.

Повсеместно низкая безопасность веб-приложений обусловлена множеством факторов: от качества разрабатываемого кода и выбранного языка программирования, до используемых конфигураций на стороне веб-сервера. Масло в огонь добавляет еще тот факт, что безопасность веб-приложений держится особняком относительно общей стратегии безопасности. Менеджеры структурных подразделений инициируют процессы развития бизнеса, которые в свою очередь, так или иначе, базируются на веб-технологиях. При этом служба управления информационной безопасностью в среднестатистической компании как бы закрывает глаза на то, что приобретаемое решение может содержать уязвимости. Более того, из опыта проводимых работ, больше половины ИБ подразделений в российских компаниях даже не подозревают, кто ответственен за внешний, официальный сайт компании, не говоря уже о том, кто занимается его безопасностью. Потому веб-приложения и взламывают на потоке.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Раскрытие чувствительной информации на сайте Chaos Constructions 2011

Автор: admin от 13-09-2011, 21:46, посмотрело: 1516

Не так давно в Санкт-Петербурге прошёл Chaos Constructions 2011 — фестиваль компьютерного искусства. У фестиваля есть официальный сайт. На этом сайте я обнаружил full path disclosure, а также раскрытие некоторой информации о структуре базы данных. Найдено было за пару дней до самого фестиваля. Но, так как я являлся докладчиком, я не стал публиковать информацию об этом раньше. И делаю это только сейчас. →

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

LiveInternet.ru: как хранятся пароли пользователей

Автор: admin от 29-08-2011, 10:48, посмотрело: 1760

Создавая сайт, вебмастер первым делом спешит узнать, сколько же посетителей заинтересуются его творением и, если это не домашняя страничка, всеми силами пытается продвинуть свой сайт. Для этого простого счетчика посещений уже не хватает, и он начинает пользоваться общедоступными платными и бесплатными сервисами, предоставляющими такую информацию.

LiveInternet.ru: как хранятся пароли пользователейГугл и Яндекс со своими инструментами для вебмастеров и метриками, конечно, хороши, но кто пройдёт мимо такого уютного и аккуратного счетчика посетителей, как LiveInternet.ru? Наверное у многие доверяли считать своих посетителей этому сервису, но не многие знали, как на самом деле они обращаются с нашими паролями.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Теория и практика накрутки голосов

Автор: admin от 26-08-2011, 07:29, посмотрело: 2453

Дисклеймер: настоящий текст не претендует ни на объективность, ни на правдивость, ни на правильность. Все нижеописанное было сделано только «just for fun» и не ради каких-либо призов или поощрений. Скрипты и логика их работы заведомо находятся на уровне быдлокода, я это понимаю и признаю. Замечания принимаются с благодарностью.

Два для назад я наткнулся на конкурс «Canon: Все краски мира». И сразу обратил внимание на простую систему голосования — не надо было не регится, ни вводить капчу, а просто кликать на кнопку «Проголосовать за эту работу».
Собственно, загрузив пару фотографий, я принялся экспериментировать.
1)Можно проголосовать один раз с одного компьютера. Через некоторое время можно проголосовать из другого браузера.
2)При подключении через прокси или впн, или через 3g можно было проголосовать еще раз.

Хорошо, ставим Tor+Vidalia(еще на виндовом компе). Запускам тор — можно голосовать. Перезапускаем — нельзя. Убиваем куки, меняем юзерагент — опять можно. Хорошо.
Открываем исходник страницы, ищем место с кнопкой голосования:






Абсолютно просто. При нажатии на кнопку выполняется запрос konkurs.photonews.ru/work/vote?photo_id=1522
Выполнить его можно с помощью хоть wget:
wget -O /dev/null --referer="http://konkurs.photonews.ru/work/show/1522" ttp://konkurs.photonews.ru/work/vote?photo_id=1522

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Wordpress 3.2.1 Core Module XSS

Автор: admin от 23-08-2011, 07:47, посмотрело: 1855

Что ни день, то XSS…
Информация по данной уязвимости уже пролетела по просторам Сети, но может кто еще не в курсе — товарищем Darshit Ashara была найдена XSS в Wordpress (post-template.php), ничего сверхинтересного, но безопасность на первом месте.
Пока официального патча нет, новой версии нет, под катом временное решение.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Эксплуатируемая уязвимость в почте Mail.ru

Автор: admin от 21-08-2011, 08:17, посмотрело: 2154

Услышав сегодня на одном из новостных сайтов, что Mail.ru обновили свой поисковый интерфейс, зашёл туда, чтобы узреть его.

Не увидел ничего нового в интерфейсе, писем во «Входящих» не было. Лениво щёлкнул на папочке «Спам», поглядел письма и… Обнаружил, что пришло новое письмо. Письмо было от Mail Delivery System (Mailer-Daemon@prof1.mail.ru). Содержало оно сообщение, что моё письмо не было доставлено уйме адресатов из-за того, что было посчитано спамом. Я же себя считал достаточно вменяемым, чтобы понимать, что такого письма я не слал.

Если предисловие вас заинтересовало, продолжу.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Http Parameter Contamination (more)

Автор: admin от 15-08-2011, 13:50, посмотрело: 1316

Продолжая исследование атаки Http Parameter Contamination (HPC), мною был проведен примитивный фаззинг, в том числе в тех средах, которые не были затронуты Ivan Markovic в его оригинальном исследовании. Стоит сразу отметить, что ничего принципиально нового найдено не было. С другой стороны была выявлена интересная особенность интерпретатора Python, а также, получен боевой сплоит на отказ в обслуживании в отношении сервера Tomcat :) Но по последнему, пока non disclosure.

Полученные результаты представлены на картинке ниже.

Категория: Информационная безопасность » Безопасность в веб-технологиях