Blind Injection

Ko je ovih dana bacio pogled na sajt MB Pivare (http://www.pivaramb.com) mogao je prilično da se začudi. Znamo mi da pivo i sex idu zajedno, ali što je mnogo mnogo je. Prepodne je sajt bio “temporarily unavailable” ali je sada updateovan :(

Napomena: nije za mlađe od 18 !

P.S. ovo me podsetilo na incident od pre par godina kada je čini mi se PLO na sličan način preuredio neki Izraelski vladin sajt. S obzirom na bezbednost sajtova naše vlade, ne bi me čudilo da…….

Firma Rapid7 je kupila Metasploit frejmvork. HD Moore će od sada biti CSO Rapida7.

Izvor: http://www.securityfocus.com/brief/1026

Povod za ovaj post je taj što sam na popularnom domaćem sajtu danas pročitao da jedan windows admin inače zadovoljan Windowsom, kaže, citiram: "da je besmisleno koristiti IIS Windows Server platforme pored živog Apache-a".

Ne znam kojim parametrima se kolega vodio, ali evo zašto bih ja uvek pre koristio IIS nego Apache:

1. Integracija u Windows okruženje, kako sistemsko tako i developersko. Microsoft drži oko 75% serverskog  i oko 90% desktop tržišta, pa mi je IIS logičan web server za takvo okruženje.
2. Petostruko veća bezbednost IIS-a nego Apachea.
   (IIS6+IIS7) vs (Apache2.x + Apache2.2.x) = 10:54 rupa u istom vremenskom periodu (2003. do danas).
   Izvor: http://www.secunia.com
3. SSL - ovo je na IIS-u kao dobar dan, Apache ni ne zna šta su delta CRL liste, a koliko mi je poznato nema sopstveni mehanizam za download standardnih CRL listi, već se problem rešava shell scriptingom. IIS ima One To One mapping, Many to One, AD Cert mapping, automatsko preuzimanje i keširanje CRL i delta CRL listi, CTL liste...kreiranje zahteva za izdavanje sertifikata je na tri klika mišem, kod Apachea je to pola A4 strane miksovanih openssl komandi, podešavanja ssl.conf fajla, kopiranja root sertifikata, konvertovanja u PAM ukoliko je CA server na Microsoft platformi  i slično.
   Većina Fortune 1000 kompanija koristi IIS, a ne Apache (55%:25%). Razlog je SSL integracija (pored bezbednosti).
   Izvor: http://www.port80software.com/surveys/top1000webservers/ 
4. PHP? Nema problema => FastCGI
5. Stabilnost: Na netcraft listi uptimea u npr. poslednjih nedelju dana, od 50 web sajtova 39 su na IIS, jedan jedini je na Apache i to na IRIX-u (zauzima 37. mesto).
   Izvor: http://uptime.netcraft.com/up/today/top.avg.html

Šta sam propustio? Developeri?

Heh, sada sam gledao koliko ljudi na netu već koristi Win7, iako još nije zvanično izašao - 1.52%. Izgleda kao dobar početak ;)

Linux koristi manje od 1%, Mac OSX ukupno oko 4%, oko 18% koristi Vistu, a XP još uvek 'vozi' preko 71% korisnika Interneta.

Izvor

Kompanija Microsoft Software je u saradnji sa partnerskom firmom Network Security Solutions rešila da pokloni svim zainteresovanim firmama učesnicama Sinergije09, bez obzira na broj prijavljenih posetilaca konferencije, po jednu besplatnu osnovnu procenu bezbednosti web sajta.

Naime, na osnovu istraživanja SANS instituta, više od 60% napada uočenih na Internetu su napadi na web aplikacije, a utvrđeno je i da preko 90% web site-ova ima jedan ili više propusta sa OWASP TOP 10 liste. Bezbednosni propusti u web aplikacijama mogu imati za posledicu gubitak intelektualne svojine i podataka klijenata, kao i negativan uticaj na imidž kompanije, te prestanak izvršenja servisa i brojne druge sistemske, finansijske i zakonske konsekvence.

Više informacija i prijave na stranici netsec.rs

Jednodnevni Hands-on Web Hacking kurs za web developere!
Sjajna prilika da vidite kako razmišlja "druga" strana i na koji način vidi vaše web aplikacije.

Sadržaj kursa:

• Code Quality
• Cross-Site Scripting (XSS)
• Injection Flaws
• Parameter Tampering
• Access Control Flaws
• AJAX Security

Predavač: Ivan Marković

Ivan je tokom svog dugogodišnjeg rada pronašao brojne bezbednosne propuste i napisao više alata od kojih su najznačajniji:

• DFF Scanner- Preporučen od strane OWASP-a, proglašen kao jedan od 10 najboljih alata na svetu u svojoj kategoriji od strane ts/sci security,  deo je BackTrack4 kolekcije alata.
• WMAT – Web Mail Attack Tool, takođe na BackTrack4 distribuciji.

Ostale reference:

• Microsoft Security Research Acknowledgement Page - (May 2009, March 2009, February 2009, September 2008)
  http://technet.microsoft.com/en-us/security/cc308575.aspx
• Secunia Advisories (SA21189, SA21207, SA21728, SA21883, SA23107, SA32143, SA32955, SA33368, SA33805)

Datum: 31.10.2009.

Više o kursu:

http://www.netsec.rs

Posle nekoliko pokušaja reanimacije, www.milw0rm.com je u potpunosti prestao da funkcioniše. Problemi su počeli da se javljaju sredinom godine, da bi na kraju sajt bio ugašen usled nemogućnosti vlasnika da održava večito narastajuću bazu exploita, tutoriala i ostalog.

Moram da priznam da teško podneo prestanak rada ovog sjajnog, ali prilično, kako se to popularno kaže - kontroverznog sajta.

Za sve one koji traže alternativu milw0rmu, bacite pogled na:

http://inj3ct0r.com/  - čak i izgleda kao milw0rm

U interesantnoj analizi odnosa veličine botneta i štete koju je sposoban da napravi, istraživači firme Damballa su došli do zaključka da botnetovi veličine do 100 računara i manji, često gađaju tačno određene ciljeve odnosno kompanije, da se teško detektuju i da oni koji njima upravljaju dobro poznaju interno funkcionisanje mreže na kojoj su "uzgojili" svoj botnet.

Više o datoj temi možete pročitati na ovoj lokaciji, a blog post ovde.

 OK, slagao sam...ne mogu . Ideja je bila da što vise vas pročita ovaj post i da u komentaru napišete da li vam je poznato sledeće:

1. da li postoji neki zakon kod nas koji bi obavezao npr. banku, da vas obavesti ukoliko neko zaista uspe da neovlašćeno pristupi vašim podacima tipa PIN kod, broj kartice i ostalom?

2. da li u Srbiji postoji zakon usled kojeg bi npr. banka bila odgovorna pred zakonom ukoliko se desi da neko upadne u sistem i zloupotrebi podatke klijenata?

4. da li u Srbiji postoje standardi kao što su PCI DSS i slični?

Pitanja su uglavnom retorička, ali ako imate neki juicy-inside-info, molim vas da ga podelite sa mnom i čitaocima ovog bloga

Ako ste se kada zapitali kakvo je stanje bezbednosti sajtova u našoj zemlji, kao dobra ilustracija može da posluži spisak vladinih i državnih sajtova koji su defaceovani u poslednje dve-tri godine. Podaci su preuzeti sa www.zone-h.org , pri čemu treba obratiti pažnju na to da nije svaki defaceovan sajt postavljen na mirror, pa je prema tome broj verovatno veći za bar 30%. Takođe, na spisku nema sajtova koji imaju neke druge ranjivosti kao npr. XSS ( pogledati na www.xssed.com), dok o ostalima ne postoje podaci. Prema mojoj slobodnoj proceni, preko 90% web sajtova ima jednu, a najčešće i više ranjivosti sa OWASP TOP 10, pri čemu se neke mogu videti i "golim okom", tj. bez testiranja.

Ukoliko znate za još neki sajt, dodajte komentar.

P.S. Neki od navedenih sajtova su redefaceovani, odnosno zamenjena im je home page više puta u proteklih par godina. Uz sve to, kod pojedinih sajtova, defaceovani su i brojni poddomeni kao što je slučaj sa mod.gov.rs, ali ih nisam navodio svakog za sebe.

EDIT: Najveći broj navedenih sajtova je pao kao posledica mass defacementa. U praksi to znači da je sajt hostovan na serveru sa još xy drugih sajtova, te je nekome pošlo za rukom da dođe do jednog ključa (pass-a), koji otključava sva vrata i usled toga su npr. svi sajtovi hostovani na datom serveru defaceovani, između ostalih i neki od onih koji su na gornjem spisku. E sada, zašto takvi sajtovi stoje na shared hostingu, ne bih znao reći. Naravno, ima i onih koji su oboreni u 'solo varijanti'.

Nagradno pitanje:

Šta mislite koliko procenata navedenih sajtova i dalje ima bezbednosne probleme?

Ukoliko ste propustili novost, reddit.com je pre dva dana bio žrtva comment worma, u formi persistent XSS napada najopasnijeg od tri tipa XSS-a.

Prema rečima jednog od ljudi odgovornih za održavanje sajta, napad je bio moguć usled toga što je platforma open source tipa.

"As a matter of fact, these bugs were only exploitable because we are open source. The worm author had to scour the source of our output filter to find these holes. We cannot hide behind security though obscurity, and we like it that way."

Hteo sam da napišem svoje mišljenje o ovome, međutim, pronašao sam komentar koji je rekao sve što sam i ja hteo, tako da ovde citiram deo. Ko želi da pročita ceo članak, može da klikne ovde.

"There are a lot of reasons to prefer the open source model, but you are nuts if one of the reasons is that malicious users are more likely to find vulnerabilities. It is true that obscurity does not lead to security - a vulnerability is still there even if no one knows about it. That said, you can reduce risk through obscurity (risk = impact x likelihood, and obscurity reduces likelihood) and that is generally a good thing"