Информационная безопасность → История одного ресурса
Многие из хабраюзеров хоть раз в свой жизни встречались с XSS-уязвимостью, будь-то уязвимость на сайте-визитке, блоге, etc. Но мы А как же обстоят дела на одном из крупных ресурсах Рунета посвященному программистам?! Кому интересно – добро пожаловать
Информационная безопасность → Принцип домино или XSS на крупных сайтах рунета
На странице регистрации нового аккаунта Mail.ru не фильтровались поля 'Имя' и 'Фамилия', в следствии чего туда можно было вставлять скрипты и регистрировать пользователя чьим именем был скрипт (до 80-ти символов). На самом Mail.ru эта уязвимость никак не отражалась, а проявляла себя на тех сайтах, что использовали авторизацию через Mail.ru, и на тех сайтах, что использовали авторизацию сайтов, использовавших авторизацию через Mail.ru :)
Вот так было до исправления уязвимости:
Вот так было до исправления уязвимости:
Информационная безопасность → Пассивная XSS в Яндекс.Деньгах
Яндекс, Деньги, два ствола XSS
История такая. На одном сайте увидел новость о том, что обновился сайт Мистера Фримена, решил заценить.
Я негодую → root через XSS на ZeroNights от позитива
25 ноября в Петербурге прошла конференция ZeroNights, посвящённая компьютерной безопаности. Один из докладов назывался "root через XSS". Автор Денис Баранов (ведущий эксперт компании Positive Technologies).
Если вкратце:
Примечательно, что продемонстрированная XSS имеет очень много общего с обнаруженной мною в далёком 2006 году уязвимостью в Denwer. Но вот в чём фишка: в том 2006 году я писал об этом и на сайт СекЛаба (принадлежит Positive Technologies). Но там заметку об этом не опубликовали. Письма ответного уж не сохранилось, к сожалению. Но примерный текст был такой: «К Denwer по умолчанию запрещены коннекты извне, только локально. Не видим в этом особой опасности». О, времена, о, нравы! Либо действительно время поменяло представление людей на аналогичную ситуацию. Либо, я просто не сумел подать тогда эту новость в нужном соусе.
Если вкратце:
- используем XSS уязвимость в Denwer, чтоб вставить свой сценарий в браузер админа
- используем его браузер чтобы обратиться к phpMyAdmin (БД принимает подключения только локально)
- получив доступ, заливаем web-шелл, который выполнится с правами локального админа (Denwer с такими правами запускается)
Примечательно, что продемонстрированная XSS имеет очень много общего с обнаруженной мною в далёком 2006 году уязвимостью в Denwer. Но вот в чём фишка: в том 2006 году я писал об этом и на сайт СекЛаба (принадлежит Positive Technologies). Но там заметку об этом не опубликовали. Письма ответного уж не сохранилось, к сожалению. Но примерный текст был такой: «К Denwer по умолчанию запрещены коннекты извне, только локально. Не видим в этом особой опасности». О, времена, о, нравы! Либо действительно время поменяло представление людей на аналогичную ситуацию. Либо, я просто не сумел подать тогда эту новость в нужном соусе.
Персональные блоги → Бесплатный infosec аудит веб-ресурсов
Небольшая акция.
Цель: провести бесплатный тестконченого конечного ресурса на предмет брешей в безопасности.
Что будет проверяться:
В приоритете сайты на кастомных движках и расположенных на VPS/VDS
Что от вас требуется?
Оставить свою заявку здесь с произвольной информацией о ресурсе. Если ваш ресурс/сайт «выиграл» то вам нужно будет расположить .txt файл с определенным содержанием в / директории (заполняйте поле email, писать буду туда). Это подтвердит вашу прямую принадлежность к ресурсу
Сроки подачи заявки – до 15 ноября 2011 года.
Уровень?
Вопрос субъективный. Организатор и докладчик OISD (1, 2), автор нескольких статей здесь по вопросам безопасности (1, 2, 3), и не только здесь (securitylab.ru)…
Хотя, продолжение не важно. Никакого денежного профита я не ожидаю (хотя и не против), хотите участвуйте, хотите нет.
Цель: провести бесплатный тест
Что будет проверяться:
- Серверная машина, на которой располагается сайт (проверка серверных сервисов на «неправильную» конфигурацию, устойчивость к эксплойтам и т.п.)
- Веб-приложение/сайт. «Ненужные» файлы, xss,csrf,rfi/lfi, fpd, sql inj и другие уязвимости.
В приоритете сайты на кастомных движках и расположенных на VPS/VDS
Что от вас требуется?
Оставить свою заявку здесь с произвольной информацией о ресурсе. Если ваш ресурс/сайт «выиграл» то вам нужно будет расположить .txt файл с определенным содержанием в / директории (заполняйте поле email, писать буду туда). Это подтвердит вашу прямую принадлежность к ресурсу
Сроки подачи заявки – до 15 ноября 2011 года.
Уровень?
Вопрос субъективный. Организатор и докладчик OISD (1, 2), автор нескольких статей здесь по вопросам безопасности (1, 2, 3), и не только здесь (securitylab.ru)…
Хотя, продолжение не важно. Никакого денежного профита я не ожидаю (хотя и не против), хотите участвуйте, хотите нет.
Информационная безопасность → Уводим чужие cookies c mail.ru из песочницы
Не так давно прочитал на Хабре пост, в котором предлагалось посетить бесплатное мероприятие, посвященное вопросам информационной безопасности. Так как мероприятие проходило в моем городе, я решил, что мне нужно непременно туда сходить. Первое занятие было посвящено уязвимостям на сайтах типа XSS. После занятия я решил, что нужно закрепить полученные знания в реальных условиях. Выбрал для себя несколько сайтов, которые относятся к моему городу и начал во все формы пытаться воткнуть свой скрипт. В большинстве случаев скрипт отфильтровывался. Но бывало так, что «алерт» и срабатывал, и появлялось мое сообщение. О найденной уязвимости сообщал администраторам, и они быстро все исправляли.
В один из таких дней проверяя свежую почту на mail.ru мне на глаза попалась форма для поиска писем в почтовом ящике. Изредка я пользовался этим поиском, чтобы найти что-то нужное в куче своих старых писем. Ну, а так как я в последние пару дней вставлял свой «алерт» практически везде куда только можно было, рука рефлекторно потянулась к этой форме поиска. Набрал код своего скрипта и нажал Enter. Каково же было мое удивление, когда на экране я увидел до боли знакомое сообщение…
В один из таких дней проверяя свежую почту на mail.ru мне на глаза попалась форма для поиска писем в почтовом ящике. Изредка я пользовался этим поиском, чтобы найти что-то нужное в куче своих старых писем. Ну, а так как я в последние пару дней вставлял свой «алерт» практически везде куда только можно было, рука рефлекторно потянулась к этой форме поиска. Набрал код своего скрипта и нажал Enter. Каково же было мое удивление, когда на экране я увидел до боли знакомое сообщение…
Информационная безопасность → XSS в Skype для IOS
Если вы используете IOS версию Skype на вашем iPhone или IPod Touch, будьте внимательны: была обнаружена cross-site scripting уязвимость в окне «Chat Message» скайпа версии 3.0.1 и более ранних.
Дыра позволяет злоумышленникам выполнить вредоносный код JavaScript, который выполняется при просмотре жертвой сообщения чата. Эта уязвимость позволяет кражу информации, например адресную книгу пользователя (см. видео под катом).
Дыра позволяет злоумышленникам выполнить вредоносный код JavaScript, который выполняется при просмотре жертвой сообщения чата. Эта уязвимость позволяет кражу информации, например адресную книгу пользователя (см. видео под катом).Информационная безопасность → Раскручиваем XSS на Яндексе (fixed)
Здравствуйте, Хабражители!
Сегодня гулял по сети, зашел на Яндекс, чтобы посмотреть погоду в столице. Когда нажал кнопочку «другой город» Яндекс перенаправил меня сюда. Я думаю, что у каждого, кто видит такой адрес возникает желание подменить один из параметров, а точнее retpath. :) Вставил я туда стандартный
"><script>alert('xss');</script><span onclick="return {'b\-form\-button':{name:'b\-form\-button', 'retpath': "\"><script>alert('xss')"}}"javascript: alert('xss');Вопросы безопасности в веб-технологиях → Ликбез по уязвимостям в веб-приложениях, а также самые частые ошибки разработчиков
Эта статья — продолжение цикла статей по информационной безопасности в веб-приложениях (и не только).
Вообще думал написать о «белом ящике», но я решил что нужно сначала ликвидировать возможные пробелы у целевой аудитории (в основном веб-разработчики) в этой области.
Может многие и все знают, о чем я пишу в статье, но я попытаюсь разбавлять ее практическими примерами и занятным опытом.
Планирую, что это статья — предпоследняя. После данный цикл будет повторен, только в более сложном варианте, с бОльшим углублением в данную тему. Надеюсь меня хватит на это, и вообще, что есть смысл об этом писать.
Как обычно — ответственность за все полученные знания только на читателе :)
Skype → XSS уязвимость в Skype
Популярная VoIP программа Skype содержит уязвимость, которая может позволить получить атакующему доступ к аккаунту. Levent Kayan, нашедший уязвимость, в своем обзоре указал, что в некоторых случаях возможно получить доступ к системе пользователя.
Атакующий может внедрить JavaScript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется.
XSS уязвимость содержится в версии Skype 5.3.0.120 и ранее, под управлением Windows и Mac, причем не всегда воспроизводится. Linux версия не затронута. На данный момент исправление не вышло.
Разработчики Skype подтвердили уязвимость и пообещали выпустить исправление в течение следующей недели. Они также объяснили почему уязвимость не всегда воспроизводится: для этого необходимо чтобы атакующий был в списке популярных контактов. Они также классифицировали проблему как не сильно значительную, т.к. атакующий якобы может только показать сообщение или перенаправить на другую страницу.
Источник
Атакующий может внедрить JavaScript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется.
XSS уязвимость содержится в версии Skype 5.3.0.120 и ранее, под управлением Windows и Mac, причем не всегда воспроизводится. Linux версия не затронута. На данный момент исправление не вышло.
Разработчики Skype подтвердили уязвимость и пообещали выпустить исправление в течение следующей недели. Они также объяснили почему уязвимость не всегда воспроизводится: для этого необходимо чтобы атакующий был в списке популярных контактов. Они также классифицировали проблему как не сильно значительную, т.к. атакующий якобы может только показать сообщение или перенаправить на другую страницу.
Источник