The Tangled Web

30.10.2011 Оставить комментарий

Являясь давним поклонником таланта Михаила Залевского, постоянно слежу за тем, что же делает гуру безопасности. Из его последних полезных проектов можно отметить:

И вот очередной релиз – книга "The tangled web". Лично я, ознакомившись с содержанием, уже сделал предзаказ. Кроме того, думаю сделать эту книгу базовой для студентов, которые приходят на веб-безопасность в нашу лабу. Кстати, издатель недавно выложил одну из глав новой книги, которая доступна вот тут.

Ну и в заключении список наиболее интересных постов Михаила с моей скромной точки зрения:

Метки: ,

О роли модели угроз при анализе защищенности сайта и кое-что еще

04.10.2011 2 комментариев(я)

Написал на сайт Internal Security несколько заметок, которые могут быть интересны аудитории. Вот они:

Роль модели угроз и профилей нарушителей при аудите безопасности.
Аннотация. Один из ключевых вопросов, возникающих у заказчика перед аудитом Сайта – определение перечня работ и оценка их стоимости. Иными словами, каким образом обосновать необходимость проведения аудита Сайта в том или ином виде с экономической точки зрения? Читать далее…

Типичные профили нарушителей безопасности сайтов.
Аннотация. Без понимания того, кто, зачем и каким образом собирается проводить атаки на Сайт достаточно затруднительно выбрать адекватные защитные меры. Что такое – адекватные? Адекватные меры – это прежде всего экономически обоснованные меры. Грубо говоря, зачем закладывать в годовой бюджет на обеспечение безопасности 10000$, если суммарный ущерб от предполагаемых атак за весь год составляет не более 8000$?

Так как для выбора адекватных мер необходимо представлять, какие именно атаки угрожают защищаемому объекту, целесообразно взглянуть на вопрос с “тёмной стороны силы”. В данной заметке описываются профили вероятных нарушителей безопасности сайтов. В профиль нарушителя входит описание его цели и обоснование мотивации. Читать далее …

Зачем кому-то нужно взламывать мой сайт? Об экономике ненаправленных атак в Интернет.

Метки: ,

Обеспечение безопасности расширений в корпоративных информационных системах

30.09.2011 2 комментариев(я)

Сегодня в рамках семинара RISSPA на конференции InfoSecurity Russia представлял доклад на тему “Обеспечение безопасности расширений в корпоративных информационных системах”. Надеюсь, не переборщил с “систематичностью” и “научностью”. Обсуждение в конце доклада – на 5 баллов! )

Метки: , ,

Lessons learned: что же такое – “лучший” сканер?

23.09.2011 2 комментариев(я)

Продолжаю серию постов об уроках, полученных в результате сравнения сканеров.
Сегодня речь пойдет о коварности задачи “найти лучший сканер”. Читать далее…

Lessons learned: как надо и как не надо сравнивать сканеры

13.09.2011 Оставить комментарий

Уже не первый год мне интересна тема сравнения сканеров уязвимостей (посты по теме – раз, два и три). В небольшой серии постов под названием “Lessons learned” я поделюсь своим видением проблемы – надеюсь, кому-то это окажется полезным в систематизации его миропредставления.
Первая тема – это критерии сравнения сканеров. Читать далее…

Метки: , , ,

Покой нам только снится или XSS @ WAF Bypass @ CC’11

29.08.2011 7 комментариев(я)

Говорят, отпуск с ноутбуком называется fuckation.
В первый же день своего отпуска на море не смог удержаться и расчехлил ноутбук, а там – конкурс по обходу WAF, подготовленный Владимиром Воронцовым и ONSEC, доступен в Интернете! Неожиданно!
До трансляции матча ЦСКА-Спартак оставалось всего два часа, которые было решено потратить на прохождение задания по XSS (мне XSS всегда больше нравится, чем SQLi). Читать далее…

Метки: , , ,

Новые публикации @ Malware

23.08.2011 2 комментариев(я)

Коллеги и сочувствующие!
Вот-вот выйдут две наши (в соавторстве с Александром Раздобаровым) публикации на тему Drive-by-Download атак и прочего malware.
Первая – это “DRIVE-BY-DOWNLOAD ПО-ТИХОМУ или Маскируем вредоносные сайты от wepawet и его друзей” в сентябрьском номере ][акера. В статье рассматриваются реально работающие способы по противодействию обнаружению вашего malware ребятками из антивирусной индустрии.
Вторая – это “Направленные атаки @ malware” в сентябрьском номере Инсайда. В этой статье речь идет об отсутствии реальных методов обнаружения направленных атак с использованием malware. Targeted attacks – дешево и сердито! :)

Метки:

Как наши читатели помогают находить уязвимости

22.08.2011 Оставить комментарий

На днях неизвестный читатель моего блога невольно поучаствовал в процессе обнаружения уязвимости на одном популярном почтовом хостинге, за что ему большое спасибо!

Сама уязвимость стара как мир: Http referer leakage + отсутствие авторизации.

Итак, на неком почтовом хостинге каждое письмо получает уникальный идентификатор, который и используется в URL для его адресации. Имея в руках такую ссылку, любой неавторизованный пользователь может получить доступ к телу соответствующего письма. Критичность уязвимости снижается за счет того, что сам идентификатор имеет достаточно большое пространство перебора и высокую энтропию, так что угадать или подобрать его представляется слишком трудозатратным мероприятием.
И тут нам на помощь приходит заголовок Referer. Так как почтовый хостинг не реализует централизованную систему внешних редиректов (а-ля в facebook), получается, что адрес письма будет проставлен в заголовок Referer при переходе по ссылкам из тела письма.

Разработчики почтового сервиса, разумеется, были уже уведомлены.

Смотрим веселые картинки под катом. Читать далее…

Метки: ,

SQL injection scanner benchmark

19.08.2011 Оставить комментарий

Наконец дошли руки опубликовать наш подход для тестирования эффективности сканнеров SQLi (на английском, правда). Там же ссылка на виртуальную машину с самой средой – можете попробовать запустить свой или коммерческий сканер.
В скором времени появится уже полноценная статья.

Особое спасибо Кариму Валиеву за титанический труд по реализации среды.

p.s. Если есть предложения по публикации в каком-нибудь журнале – мы только за :)

Метки: ,

В тему последних событий с поисковиками – загадка!

27.07.2011 12 комментариев(я)

Дано:

  1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
  2. Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
  3. Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.

Вопросы:

  1. Виноват ли поисковик в том, что на сайте А пропали данные?
  2. Если не виноват поисковик, то кто же виноват?

Credits: навеяно знаменитым постом Миши Залевского в журнал Фрак.

Update: загадка не имеет ничего общего с раскрытием перданных. Мы говорим про прямой ущерб от уничтожения данных.

Метки:
Follow

Get every new post delivered to your Inbox.