Ликбез по уязвимостям в веб-приложениях, а так же самые частые ошибки разработчиков

Автор: admin от 5-08-2011, 14:46, посмотрело: 1587

Ликбез по уязвимостям в веб-приложениях, а так же самые частые ошибки разработчиков

Эта статья — продолжение цикла статей по информационной безопасности в веб-приложениях (и не только).

Вообще думал написать о «белом ящике», но я решил что нужно сначала ликвидировать возможные пробелы у целевой аудитории (в основном веб-разработчики) в этой области.

Может многие и все знают, о чем я пишу в статье, но я попытаюсь разбавлять ее практическими примерами и занятным опытом.

Планирую, что это статья — предпоследняя. После данный цикл будет повторен, только в более сложном варианте, с бОльшим углублением в данную тему. Надеюсь меня хватит на это, и вообще, что есть смысл об этом писать.

Как обычно — ответственность за все полученные знания только на читателе :)

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Опасность использования «учебных» криптопротоколов

Автор: admin от 14-07-2011, 00:53, посмотрело: 1779

Написать данную статью меня побудил не столько сам пост от пользователя EugeneSukhov, сколько первый комментарий от AstralMan.

Действительно, зачастую увидев описание или даже готовую реализацию (соответствующую описанию) криптографического протокола высокого уровня, некоторые люди пытаются её тут же внедрить в собственный проект и объявить об этом широкой общественности (просьба не воспринимать это как камень в огород AstralMan). А ведь такое решение далеко не самое удачное! Описание криптопротокола, как правило, не содержит различных необходимых проверок на стороне участников и уточнений, имеющих критическую важность при реальном использовании. История знает множество примеров, когда протокол, основанный на стойких и прошедших испытание временем алгоритмах шифрования, хеширования и т.д. оказывался взломанным именно из-за самой логики построения, и из-за таких «мелочей» как проверки и уточнения. Описание криптопротокола, демонстрирующее саму его идею, будем называть учебным.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Как НЕ нужно делать тест CAPTCHA

Автор: admin от 13-07-2011, 01:38, посмотрело: 2169

На Хабре было уже несколько статей о распознавании CAPTCHA на различных сайтах, но здесь речь не о том. Тут речь о компании Sony, которая вообще не понимает, зачем придумали CAPTCHA. У них на сайте «защита от ботов» работает так: символы вставляются прямо в HTML, а потом CSS и javascript искажают их, чтобы сгенерировать картинку на экране. Вот это уже не лезет ни в какие ворота.

Как НЕ нужно делать тест CAPTCHA


Обнаружил: Эндрю Хинц

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Аутентификация на базе ЭЦП

Автор: admin от 5-07-2011, 12:47, посмотрело: 3411

Уже в нескольких топиках рассматривались проблемы построения безопасного механизма аутентификации при небезопасном соединении. Ниже предлагается к обсуждению схема с использованием асимметричной криптографии. Такой подход позволит аутентифицироваться на сервере, никогда не передавая серверу пароль, ни при регистрации, ни при аутентификации. Как всегда, будет демонстрация и исходные коды. Кому данная тема интересна, прошу под кат.

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Индийский Groupon выложил базу с паролями 200 000 пользователей

Автор: admin от 28-06-2011, 15:18, посмотрело: 1133

Вся база данных пользователей SoSasta.com (индийский клон Groupon, куплен американской компанией в январе 2011 года) случайно попала в открытый доступ и была проиндексирована Google. База включает в себя почтовые адреса и пароли в открытом виде 204 926 пользователей.

Базу обнаружил австралийский веб-разработчик Дэвид Гржелак во время рутинного поиска в гугле по запросу filetype:sql hotmail gmail password.

Индийский Groupon выложил базу с паролями 200 000 пользователей

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

ФБР по ошибке украло сервер Instapaper

Автор: admin от 25-06-2011, 01:02, посмотрело: 834

Неприятная история случилась с веб-сервисом Instapaper. Один из пяти серверов компании арендовался у швейцарского хостера DigitalOne в дата-центре в Вирджинии. Во вторник утром там проводило операцию ФБР (см. официальный пресс-релиз). Что конкретно искали спецслужбы — точно не известно. Говорят, они хотели конфисковать какой-то конкретный сервер, но исполнительный директор хостинговой компании DigitalOne Сергей Остроумов пояснил, что кроме искомого ФБР прихватило с собой «десятки серверов от непричастных компаний».

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Как избежать инъекций

Автор: admin от 23-06-2011, 21:45, посмотрело: 2426

Атаки на веб-системы основаны на багах обработки входных данных. Пользуясь различными уязвимостями софта и невнимательностью разработчика, хакер может составить такие данные, которые при обработке скомпроментируют систему — шелл, незашифрованные пароли, и даже эмуляция действий пользователя в браузере (например в банковской системе переведет деньги со счета).

Одним из популярных векторов атаки явлются всевозможные инъекции: html, javascript, sql. Поэтому многие авторитетные источники рекомендуют экранировать юзер инпут посредством различных заклинаний. В этом посте я покажу одно простое правило, следуя которому вы гарантированно решите проблему инъекций.

Как избежать инъекций

Категория: Информационная безопасность » Безопасность в веб-технологиях

 

Распределение символов в паролях

Автор: admin от 18-06-2011, 08:09, посмотрело: 3450

Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны.

Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста:
  • Из примерно сорока тысяч паролей, треть подвержена простой атаке по словарю.

  • Только один процент паролей содержал небуквенно-цифровые символы.

  • 93 процента паролей содержали от 6 до 10 символов.



  • В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем.

    Распределение символов

    Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов — или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов.

    В базе паролей существуют 78 уникальных символов. Если эти пароли были бы по настоящему случайными, каждый символ должен встречаться с вероятностью 1/78 = 0,013. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Следующий график показывает топ 20-ти парольных символов, а красная линия показывает ожидаемое 1/78 распределение.

    [img]http://csgillespie.files.wordpress.com/2011/06/figure1.png?w=576&h=288[/img]

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    Web-аутентификация с помощью USB-токенов

    Автор: admin от 14-06-2011, 12:01, посмотрело: 2572

    Развивая тему, начатую здесь и здесь, расскажу еще об одном механизме аутентификации на web-ресурсах. Механизм прост, в его основе лежит использование ЭЦП, для хранения ключей при этом используется USB-токен.

    Web-аутентификация с помощью USB-токенов

    Категория: Информационная безопасность » Безопасность в веб-технологиях

     

    SRP-6: аутентификация без передачи пароля

    Автор: admin от 9-06-2011, 21:36, посмотрело: 2970

    Как и было обещано в соседней теме, где рассказывался велосипед, выкладываю описание алгоритма SRP RFC2945 — способе регистрации и аутентификации пользователей безопасным образом по небезопасному каналу. Вот только в процессе подготовки статьи я обнаружил более свежую версию протокола, SRP-6, вместе с реализацией, в связи с чем решил выбросить свои архаичные наработки по SRP-3, и просто дать ссылки на имплементацию новой версии.

    Категория: Информационная безопасность » Безопасность в веб-технологиях