Рубрика «безопасность веб-приложений» - 7

Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью?

2012-08-07 в 0:31, admin, рубрики: xss, атаки, безопасность веб-приложений, Веб-разработка, информационная безопасность, уязвимости, метки: web программирование, xss, атаки, безопасность веб-приложений, уязвимости

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.Читать полностью »

О том, как не стоит делать веб-сайты

2012-05-29 в 15:36, admin, рубрики: безопасность веб-приложений, информационная безопасность, электронное государство, электронное правительство, метки: безопасность веб-приложений, информационная безопасность, электронное государство

Всем привет. Сейчас я расскажу и покажу об уязвимостях на одном веб-ресурсе. И что в этом такого, скажете вы, на просторах интернета много таких сайтов. Да, в этом не было бы ничего особенного, если бы это не был сайт госучреждения.
Читать полностью »

Мастер-классы PHDays 2012: от защиты сетей Wi-Fi до безопасности SAP и Web 2.0

2012-05-21 в 7:03, admin, рубрики: PHDays, безопасность веб-приложений, Блог компании Positive Technologies, информационная безопасность, метки: phdays, безопасность веб-приложений, информационная безопасность

Существует ли возможность взломать компьютер через мышь, клавиатуру или принтер? насколько защищен Android? что должен знать этичный хакер? сложно ли поймать киберпреступника? безопасен ли HTML 5? Можно обо всем об этом гадать — а можно участвовать в Hands-on Lab на форуме Positive Hack Days 2012 и получить ответы на все эти вопросы.Читать полностью »

Очередная схватка с веб-вирусами

2012-04-27 в 13:31, admin, рубрики: безопасность веб-приложений, информационная безопасность, метки: безопасность веб-приложений

Доброго времени суток, уважаемые хабрапользователи. Наконец-то у меня появился ещё один клиент позволивший на условиях анонимности описать решение его проблемы. Под катом рассказ о том, как происходила борьба с вредоносным кодом, появляющемся на сайтах заказчика несколькими путями одновременно. В связи с тем, что статьи большого объёма много кому не нравятся, в этот раз я постарался изложить всё как можно короче.
Читать полностью »

Логические уязвимости при составлении SQL запросов с LIKE

2012-04-23 в 8:32, admin, рубрики: like, ONsec, sql-injection, sql-инъекция, безопасность веб-приложений, информационная безопасность, метки: like, ONsec, sql-injection, sql-инъекция, безопасность веб-приложений

Когда пользовательские данные попадают в запрос под оператор LIKE следует быть предельно внимательными.
Дело в том, что ни одна функция фильтрации, включая mysql_real_escape_string, и даже prepared statements не защитят от логических ошибок, связанных с wildcard символами.

В нашей практике аудита веб-приложений, данная ошибка встречается примерно в каждом пятом веб-приложении, уязвимом к SQL-инъекциям (19.3%).

Оператор LIKE используется для поиска по неточному значению, строковых типов.
Синтаксис оператора позволяет использовать wildcard семантику, где
% заменяет классический * — последовательность любых символов
_ заменяет классический? — любой одиночный символ

Частая ошибка разработчиков состоит в том, что символы % и _ не фильтруются в попадании пользовательских данных в SQL запрос. Да, нарушить синтаксис запроса, то есть выполнить внедрение операторов, в этом случае нельзя, но может пострадать логика работы веб-приложения.
Читать полностью »

Самый частый шаблон SQL инъекций в РНР — бесполезное экранирование символов

2012-04-23 в 7:14, admin, рубрики: ONsec, php, sql-injection, sql-инъекция, аудит безопасности, безопасность веб-приложений, информационная безопасность, метки: ONsec, PHP, sql-injection, sql-инъекция, аудит безопасности, безопасность веб-приложений

По роду своей деятельности, мне приходится выполнять аудиты безопасности исходного кода веб-приложений.
Много веб-приложений и много кода…

В этой статье я хотел бы поделиться одной простой (очень простой) истиной и статистикой, которые вывел и многократно проверил в течении трех последний лет просмотра тонн РНР кода.

Не секрет, что уязвимости внедрения операторов СУБД (SQL injections) являются самыми распространенными из всех серверных уязвимостей веб-приложений. Есть платформы и фреймворки, где такие вещи практически полностью исключены, например ORM'ом и прочим. Но статистика упорно говорит нам об абсолютном преобладании на просторах Интернета веб-приложений с простыми конкатенированными SQL запросами. Кроме того, есть случаи, где ORM вообще применим быть не может. Например, когда от пользовательских данных должны зависеть не только параметры выражений, но и сама логика запроса на уровне операторов.
Читать полностью »

Простая и эффективная защита от дыр в PHP-скриптах

2012-03-19 в 23:02, admin, рубрики: php, remote code execution, безопасность, безопасность веб-приложений, системное администрирование, метки: PHP, remote code execution, безопасность, безопасность веб-приложений

В общем-то такая простая, но эффективная защита основана на том предположении, что программисты того или иного софта достаточно адекватно оценивают необходимость шелл-вызовов непосредственно через веб-сервер и зачастую отказываются от такого не самого лучшего способа интерактива с операционной системой.

Практика показывает, что подобные операции часто или избегают или выносят их в задачи cron. А последние, как правило, запускаются через CLI (например, "/usr/bin/php /path/to/cron.php").

Следовательно, нужно отключить шелл-вызовы именно для веб-сервера, оставив их для CLI.

Читать полностью »

Twitter / Twitter признался в использовании адресных книг пользователей

2012-02-16 в 10:03, admin, рубрики: security, twitter, безопасность веб-приложений, смартфоны, метки: security, twitter, безопасность веб-приложений, смартфоны

Администрация сервиса микроблогов Twitter признала, что копировала адресные книги со смартфонов пользователей, не уведомляя их об этом.Как сообщили представители компании в интервью Los Angeles Times, официальные Twitter-клиенты для смартфонов копировали все контакты с телефона пользователя, после того, как он нажимал на кнопку «Найти друзей». Информация хранится на серверах Twitter полтора года. Интересно, что ни в описании приложения, ни даже в политике конфиденциальности сервиса нет информации об этом.
Фактически, любой из пользователей сейчас может подать на Twitter в суд за незаконное копирование контактов друзей по телефону. В компанииЧитать полностью »

Информация

Комментарии

Рекомендуем