Доброго времени суток, уважаемые хабрапользователи. Наконец-то у меня появился ещё один клиент позволивший на условиях анонимности описать решение его проблемы. Под катом рассказ о том, как происходила борьба с вредоносным кодом, появляющемся на сайтах заказчика несколькими путями одновременно. В связи с тем, что статьи большого объёма много кому не нравятся, в этот раз я постарался изложить всё как можно короче.
Читать полностью »
Рубрика «безопасность веб-приложений» - 7
Очередная схватка с веб-вирусами
2012-04-27 в 13:31, admin, рубрики: безопасность веб-приложений, информационная безопасность, метки: безопасность веб-приложенийЛогические уязвимости при составлении SQL запросов с LIKE
2012-04-23 в 8:32, admin, рубрики: like, ONsec, sql-injection, sql-инъекция, безопасность веб-приложений, информационная безопасность, метки: like, ONsec, sql-injection, sql-инъекция, безопасность веб-приложений Когда пользовательские данные попадают в запрос под оператор LIKE следует быть предельно внимательными.
Дело в том, что ни одна функция фильтрации, включая mysql_real_escape_string, и даже prepared statements не защитят от логических ошибок, связанных с wildcard символами.
В нашей практике аудита веб-приложений, данная ошибка встречается примерно в каждом пятом веб-приложении, уязвимом к SQL-инъекциям (19.3%).
Оператор LIKE используется для поиска по неточному значению, строковых типов.
Синтаксис оператора позволяет использовать wildcard семантику, где
% заменяет классический * — последовательность любых символов
_ заменяет классический? — любой одиночный символ
Частая ошибка разработчиков состоит в том, что символы % и _ не фильтруются в попадании пользовательских данных в SQL запрос. Да, нарушить синтаксис запроса, то есть выполнить внедрение операторов, в этом случае нельзя, но может пострадать логика работы веб-приложения.
Читать полностью »
Самый частый шаблон SQL инъекций в РНР — бесполезное экранирование символов
2012-04-23 в 7:14, admin, рубрики: ONsec, php, sql-injection, sql-инъекция, аудит безопасности, безопасность веб-приложений, информационная безопасность, метки: ONsec, PHP, sql-injection, sql-инъекция, аудит безопасности, безопасность веб-приложений По роду своей деятельности, мне приходится выполнять аудиты безопасности исходного кода веб-приложений.
Много веб-приложений и много кода…
В этой статье я хотел бы поделиться одной простой (очень простой) истиной и статистикой, которые вывел и многократно проверил в течении трех последний лет просмотра тонн РНР кода.
Не секрет, что уязвимости внедрения операторов СУБД (SQL injections) являются самыми распространенными из всех серверных уязвимостей веб-приложений. Есть платформы и фреймворки, где такие вещи практически полностью исключены, например ORM'ом и прочим. Но статистика упорно говорит нам об абсолютном преобладании на просторах Интернета веб-приложений с простыми конкатенированными SQL запросами. Кроме того, есть случаи, где ORM вообще применим быть не может. Например, когда от пользовательских данных должны зависеть не только параметры выражений, но и сама логика запроса на уровне операторов.
Читать полностью »
Простая и эффективная защита от дыр в PHP-скриптах
2012-03-19 в 23:02, admin, рубрики: php, remote code execution, безопасность, безопасность веб-приложений, системное администрирование, метки: PHP, remote code execution, безопасность, безопасность веб-приложенийВ общем-то такая простая, но эффективная защита основана на том предположении, что программисты того или иного софта достаточно адекватно оценивают необходимость шелл-вызовов непосредственно через веб-сервер и зачастую отказываются от такого не самого лучшего способа интерактива с операционной системой.
Практика показывает, что подобные операции часто или избегают или выносят их в задачи cron. А последние, как правило, запускаются через CLI (например, "/usr/bin/php /path/to/cron.php").
Следовательно, нужно отключить шелл-вызовы именно для веб-сервера, оставив их для CLI.
Twitter / Twitter признался в использовании адресных книг пользователей
2012-02-16 в 10:03, admin, рубрики: security, twitter, безопасность веб-приложений, смартфоны, метки: security, twitter, безопасность веб-приложений, смартфоны Администрация сервиса микроблогов Twitter признала, что копировала адресные книги со смартфонов пользователей, не уведомляя их об этом.Как сообщили представители компании в интервью Los Angeles Times, официальные Twitter-клиенты для смартфонов копировали все контакты с телефона пользователя, после того, как он нажимал на кнопку «Найти друзей». Информация хранится на серверах Twitter полтора года. Интересно, что ни в описании приложения, ни даже в политике конфиденциальности сервиса нет информации об этом.
Фактически, любой из пользователей сейчас может подать на Twitter в суд за незаконное копирование контактов друзей по телефону. В компанииЧитать полностью »