Метка «безопасность веб-приложений» - 2

Как мы уже рассказывали на VolgaCTF2012, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машина Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий анализатор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки.

Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:

  • использование Oracle Java более чем на 3 миллиардах компьютеров;
  • кроссплатформенность эксплойтов;
  • относительная простота эксплуатации уязвимостей;
  • в большинстве случаев Java-плагин включен в браузере.

Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.

Читать полностью »

Хочу обратить внимание хабрасообщества на возможную «уязвимость» в TCL, PostgreSQL и теоретически в некоторых других системах использующих RE engine, или NFA утилиты, изначально написаные самим Генри Спенсором (Henry Spencer). Измененных исходников можно найти добрую сотню (у того же Sun Microsystems, UUNET и т.д.). И хотя я не думаю что баг существует изначально с далеких 1998-х, хотя бы потому, что кода где возникает эта ошибка я у Генри, в старых его источниках, не нашел, проверить ваши системы все-таки стоит.

И так ошибка: это busyloop на стадии компиляции регулярного выражения вида (((((x)*)*)*)*)*. Причем именно не исполнения, а компиляции, т.е. если есть проверка валидности регулярки и она базируется на том же коде NFA — имеем тот же безконечный цикл + 100% cpu usage.

Ошибку нашли коллеги по opensource проекту TCL, во всех его актуальных версиях (включая develop). Зная, что Postgres использует похожее API, нетрудно было выяснить, что скармливание этого регулярного выражения Postgres приводит к такой же ошибке.

Ошибка возникает при таком группировании только в пятом и более порядке вложенности — т.е. четыре вложеных группы корректно компилируются и исполняются.
Читать полностью »

Добрый день!
Будучи простым российским… неважно кем, я обычно не пишу статьи, а тихонько их читаю (мы, неважно кто, любим тишину). Однако, недавно мое внимание привлекло обилие англоязычных статей о (не)безопасности милого душе сервиса Mega. Поскольку в русскоязычной среде вопрос обсуждается менее бурно, я решил предложить вашему вниманию небольшой дайджест публикаций о «скандалоинтригах и расследованиях», недавно завертевшихся вокруг сервиса ув. тов. Доткома. Сразу должен предупредить, данная статья не содержит original research, сиречь моего собственного мнения о криптографии в Mega, а лишь стремится проинформировать русскоязычного читателя относительно состоянии зарубежной дискуссии на эту тему.
Читать полностью »

Безопасность случайных чисел в Python Эта статья – вторая в ряде публикаций, посвященных уязвимостям генераторов псевдослучайных чисел (ГПСЧ).

В последнее время появился целый ряд публикаций, описывающих уязвимости ГПСЧ, начиная от самых основ ([1]) и заканчивая непосредственно уязвимостями в различных языках программирования и реализованных на их основе CMS и другого ПО ([2],[3],[4]).

Эти публикации популярны по той причине, что ГПСЧ – основа многих аспектов безопасности веб-приложений. Псевдослучайные числа/последовательности символов используются для обеспечения безопасности веб-приложений в:

  • генерации различных токенов (CSRF, токены сброса пароля и т.д.);
  • генерации случайных паролей;
  • генерации текста в CAPTCHA;
  • генерации идентификаторов сессий.

В прошлой статье мы, опираясь на исследования George Argyros и Aggelos Kiayias ([3]) научились предугадывать случайные числа в PHP на основе PHPSESSID и уменьшать различными способами энтропию псевдослучайных чисел.

Сейчас мы рассмотрим ГПСЧ в веб-приложениях, разработанных на языке Python.Читать полностью »

MageConf 201216.09.2012 в Киеве в три потока прошла конференция MageConf 2012. Два потока были посвящены системе Magento, третий – PHP. Посетив все 6 докладов на потоке PHP, хотел бы в кратко изложить основную информацию, донесенную спикерами. В итоге пост получился набором полезных ссылок по разработке на PHP.

Докладчики особое внимание уделяли утилитам и софту, которыми они активно пользуются в Magento. Один из спикеров ранее был разработчиком портала i.ua.Читать полностью »

Допускаю что эту статью могут читать люди, не представляющие о чем идет речь. Для них кратко поясню, что простой пары логин/пароль возможно и достаточно для входа к примеру на любимый вебсайт с т.н. «надежного» компьютера. Например домашнего или рабочего, о которых вы с высокой долей вероятности можете предполагать, что благодаря определенным мерам они чисты от вирусов, шпионских программ, кейлогеров и т.д. и т.п. Но если вы используете «ненадежный» компьютер например в интернет-клубе, библиотеке или другом общественном месте, то очень высока вероятность того, что ваши логин/пароль могут быть похищены кейлогером, установленном на таком компьютере (не будем обсуждать откуда он там может появиться). Для таких случаев и предусмотрена т.н. двухфакторная аутентификация, которая предполагает, что в дополнение к паре логин/пароль вас просят ввести еще один одноразовый пароль-код на один сеанс.
Предлагаю довольно простой и «недорогой» вариант решения для обеспечения двухфакторной аутентификации далее.
Читать полностью »

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.Читать полностью »

Всем привет. Сейчас я расскажу и покажу об уязвимостях на одном веб-ресурсе. И что в этом такого, скажете вы, на просторах интернета много таких сайтов. Да, в этом не было бы ничего особенного, если бы это не был сайт госучреждения.
Читать полностью »

Существует ли возможность взломать компьютер через мышь, клавиатуру или принтер? насколько защищен Android? что должен знать этичный хакер? сложно ли поймать киберпреступника? безопасен ли HTML 5? Можно обо всем об этом гадать — а можно участвовать в Hands-on Lab на форуме Positive Hack Days 2012 и получить ответы на все эти вопросы.Читать полностью »

Доброго времени суток, уважаемые хабрапользователи. Наконец-то у меня появился ещё один клиент позволивший на условиях анонимности описать решение его проблемы. Под катом рассказ о том, как происходила борьба с вредоносным кодом, появляющемся на сайтах заказчика несколькими путями одновременно. В связи с тем, что статьи большого объёма много кому не нравятся, в этот раз я постарался изложить всё как можно короче.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js