Archive for the 'News' Category

Вебинар по распознаванию ботов с помощью машинного обучения

В среду в 19:00 с моим коллегой Андреем Завгородним проводим вебинар “Распознавание активности ботов с помощью алгоритмов машинного обучения”. Ждем всех, кто интересуется машинным обучением и не только.

И да, мы все еще ищем специалистов по веб-безопасности, хакеров и тех, кому интересно не только ломать, но и защищать для исследовательской работы в проекте PT Application Firewall. Пишите на мою почту: me@raz0r.name

687474703a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f656e2f7468756d622f612f61362f42656e6465725f526f6472696775657a2e706e672f32323070782d42656e6465725f526f6472696775657a2e706e67

Компания Positive Technologies срочно ищет веб-хакеров разной квалификации

В первую очередь нам интересен ваш практический опыт в данном направлении, а не количество строчек в резюме.

Приветствуется наличие статей в блогах и на форумах, в журнале Хакер, участие в CTF или bug-bounty программах.

Пожелания с технической стороны:

  • наличие навыков практической компрометации и защиты веб-приложений;
  • желателен опыт программирования на любом из языков: Java, C#/VB (ASP, ASP.NET), PHP, Python, Ruby (наиболее востребованы: Java, C#/VB), SQL;
  • наличие собственных разработок и исследований, в том числе и опубликованных на тематических форумах и в блогах; наличие опубликованных данных об уязвимостях, обнаруженных вами.

Задачи, которые предлагаем:

  • анализ защищенности веб-приложений и систем ДБО ведущих российских и зарубежных компаний;
  • проведение тестов на проникновение, участие в исследовательской деятельности отдела, посещение и участие в российских и международных конференциях;
  • участие в организации конференции Positive Hack Days;
  • возможность вести собственные исследования в области ИБ;
  • работа в команде признанных экспертов в ИБ.

Условия:

  • «белая» заработная плата;
  • ДМС;
  • 6 недель оплачиваемого отпуска.

Мы можем предложить работу в московском и питерском офисе компании, а так же удаленно.
Резюме/вопросы пишите на career@ptsecurity.com

Опубликован OWASP Top 10 2010 (RC1)

OWASP, открытый проект безопасности приложений, накануне представил для обсуждения новую версию списка десяти самых опасных угроз. В сравнении с OWASP Top 10 2007 изменениям подверглись четыре позиции. Меня удивило, что инклуд-баг Malicious File Execution был исключен из списка якобы в силу того, что PHP стал более безопасным по умолчанию. Видимо Jeremiah Grossman и компания не учли, что LFI (local file include) по степени риска теперь можно практически приравнять к RFI (remote file include). Возможно к 2010 бажных версий PHP будет намного меньше, но, несмотря на это, косячить в коде будут всегда. А может обнаружатся еще какие-нибудь новые уязвимости 🙂

Итак, сама десятка самых опасных угроз:

  1. A1 Injection (всякого рода инъекции, в т.ч. SQL, LDAP и т.д.)
  2. A2 Cross Site Scripting (не потерявший актуальности XSS)
  3. A3 Broken Authentication and Session Management (ошибки в архитектуре аутентификации и управления сессиями)
  4. A4 Insecure Direct Object References (незащищенные ресурсы и объекты, можно вспомнить случай с SVN)
  5. A5 Cross Site Request Forgery (CSRF)
  6. A6 Security Misconfiguration (небезопасная конфигурация окружения, различных фреймворков, платформы)
  7. A7 Failure to Restrict URL Access (несанкционированный доступ к функционалу, требующему особых привилегий – например обход проверки c помощью двойного слэша “//” в URL для получения доступа к управлению блогом в WordPress)
  8. A8 Unvalidated Redirects and Forwards (открытые редиректы, которые ведут к фишингу, HTTP Response Splitting и XSS)
  9. A9 Insecure Cryptographic Storage (небезопасное хранение важных данных)
  10. A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче на транспортном уровне, например по HTTP вместо HTTPS).

Надеюсь, это неокончательная версия Top 10, ждем следующий релиз-кандидат.

SVN позволяет получить доступ к исходному коду

SVNСегодня на habrahabr.ru был опубликован весьма интересный пост, рассказывающий о том, как были получены исходные коды нескольких тысяч русских веб-проектов, включая yandex.ru, rambler.ru, mail.ru, rbk.ru, а также самого habrahabr.ru. Последствия находки, на первый взгляд, действительно потрясающие. Все строится на вполне очевидном факте – повсеместном использовании систем для контроля версий aka SVN. Дело в том, что на сайтах, где используется SVN остаются метафайлы, в которых хранится вся структура проекта. В дополнение к этому, все файлы получают расширение .svn-base, что делает доступным их исходный код при прямом обращении. Разумеется, все самые популярные интернет-проекты на момент выхода поста уже исправили уязвимость, однако зарубежные сайты остаются подверженными раскрытию исходного кода. Стоит сказать, что, несмотря на огромную популярность SVN, по тем или иным причинам уязвимы далеко не все сайты. Согласно статистике, которую любезно предоставили авторы, только 0,14% просканированных сайтов были уязвимы. Тем не менее, недооценивать значение бага нельзя, посмотрим, к чему это приведет в масштабах всего интернета.
http://habrahabr.ru/blogs/infosecurity/70330/

Презентация способов обхода XSS фильтров на BlackHat

BlackHatЕжегодно проводимая конференция BlackHat является одним из самых значимых событий в сфере информационной безопасности. В этом году эксперты из множества стран собрались в Лас Вегасе, чтобы показать и обсудить результаты своих исследований. Разумеется, не обошли стороной веб-безопасность – наиболее интересное выступление дали Эдуардо Вела (Eduardo Vela) и Дэвид Линдсэй (David Lindsay) на тему реализации XSS-атак в условиях WAF. Были затронуты практически все самые известные программные продукты, связанные с защитой от XSS как на стороне сервера, так и клиента: PHP-IDS, Mod_Security, XSSFilter в IE8, NoScript. Наиболее слабым оказался Mod_Security, поэтому авторы доклада рекомендуют использовать PHP-IDS вместо него. XSSFilter, изначально неспособный защитить от всех типов XSS (по словам разработчиков из MS в силу производительности браузера), также был повержен несколькими новыми XSS-векторами. На уровне клиента докладчики посоветовали использовать Firefox+NoScript, хотя и для последнего были найдены способы обхода. Ознакомиться с материалами выступления можно на сайте одного из авторов. Презентация получилась немалой – более 100 страниц. Много внимания уделено новым XSS-векторам, некоторые из которых просто поражают воображение. Только взгляните:

(É=[Å=[],µ=!Å+Å][µ[È=-~-~++Å]+({}+Å) [Ç=!!Å+µ,ª=Ç[Å]+Ç[+!Å],Å]+ª])() [µ[Å]+µ[Å+Å]+Ç[È]+ª](Å)

($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''
+$)[_/_]+$_[+$])])()[__[_/_]+__[_+~$]+$_[_]+$$](_/_)

За этим, казалось бы, беспорядочным набором символов кроется всем известный javascript:alert(1);. Кроме того, показаны примеры XSS, которые могут возникнуть в будущем с внедрением HTML5, а также уязвимость в PHP-функции utf8_decode(), позволяющая эксплуатировать неправильную обработку UTF-8. В целом, доклад, если не инновационный с точки зрения способов обхода, то уж точно приносящий много пищи для размышления, как разработчикам, так и взломщикам.

XSS Rays – браузер как сканер XSS

Небезызвестный Gareth Heyes сегодня опубликовал свою новую утилиту для сканирования сайтов на наличие XSS. Особенность его разработки заключается в том, что процесс сканирования производится браузером атакующего при помощи javascript. Алгоритм довольно прост: javascript-код рекурсивно собирает все ссылки и формы со страниц сайта и проводит различные тесты, используя встроенную базу векторов. XSS Rays способен совершать кроссдоменные вызовы благодаря использованию тэгов iframe вместо AJAX. Для логирования результатов сканеру требуется локальный веб-сервер с PHP. Реализация сканера в контексте браузера, по словам разработчика, способствует повышению точности и качества конечного результата, хотя ложные срабатывания не исключены. Для использования XSS Rays необходимо лишь открыть страницу http://localhost/XSS_Rays/helpers/bookmarklet.html и сохранить ссылку в закладки. Сканирование сайта производится по клику на букмарклет и нажатию на CTRL+SHIFT+X.
XSS Rays

Опубликован Browser Security Handbook

Компания Google в лице известного эксперта по веб-безопасности Michal Zalewski опубликовала 60-страничный документ, описывающий все тонкости современных браузеров с точки зрения их безопасности. Вся информация очень удобно скомпанована в виде наглядных таблиц, в которых отражены характеристики браузеров по тому или иному критерию. Помимо специалистов по веб-безопасности работа также представляет интерес для веб-разработчиков, которым постоянно приходится подстраиваться под множество браузеров.
Книга на английском, ссылка ниже.
Browser Security Handbook.

P.S. обновил wordpress до 2.7, радуюсь новой фишке “Опубликовать это!”, реализованной в виде букмарклета. Очень удобно публиковать свеженайденный интересный контент, не покидая сайт.

Опубликованы подробности атаки Clickjacking

Последние две недели в среде специалистов по веб-безопасности не утихали разговоры по поводу готовящейся публикации деталей новой атаки, позволяющей незаметно для пользователя “украсть” его клики. Первоначально предполагалось, что Robert Hansen, известный под ником “RSnake” и Jeremiah Grossman опубликуют доклад о найденной ими новой уязвимости, получившей название Clickjacking, на конференции OWASP в Нью-Йорке 24 сентября 2008 года, однако их выступление было отменено по просьбе компании Adobe, которая была крайне заинтересована в этой атаке, так как основной ее продукт, а именно Adobe Flash, был уязвим перед Clickjacking. Свою просьбу Adobe мотивировал желанием устранить уязвимость еще перед тем, как ее только начнут применять, тем самым обезопасив пользователей Flash. Разглашение подробностей произошло лишь недавно, после того, как на обозрение широкому кругу лиц был выставлен первый PoC от третьих лиц, которые самостоятельно провели собственное исследование, опираясь на ту небольшую информацию, которая все-таки просочилась в публичные блоги и сайты. Честно говоря, я ожидал большего и вся шумиха, которая была поднята по поводу Clickjacking, не сопоставима со значимостью угрозы самой атаки. Тем не менее, определенная степень опасности все же существует и исключать возможность проведения Clickjaсking разработчикам не стоит.

Read more »

Памяти rgod’а…

Сегодня, зайдя на персональный сайт rgod’а, обнаружил это сообщение:

I am not rgod. I’m a friend of his named Daniel.rgod died two days ago at that hospital in Catania. It was a surprise and a shock…to all of us who knew him. rgod was suffering of a rare bony marrow
disease, leading to paralysis during his last days.It just took me a while to figure out how to have access to rgod’s website, searching the key on his laptop
(with permission from those close to him) to post this…I don’t know what the future of this site will involve but I’d sure like to see these posts, and some of the
others about rgod posted across the Internet, preserved on the web indefinitely. Just so that when folks google the name of rgod in years to come, they’ll be able to read it all.

Read more »

Я открылся!

Всем привет! Вот совсем недавно задался вопросом: “Почему бы не создать свой собственный блог, посвященный веб безопасности?” Действительно, наступило подоходящее время, так как у меня появилось достаточное количество знаний и опыта, и я подумал, что пора бы этим добром поделиться =) Нет, я не открываю свой блог, потому что это модно – я лишь хочу объеднить свое творчество и мысли в едином месте, так как считаю, что блог – это, действительно, подходящая и наиболее удобная платформа для реализации моих идей. Так что в ближайшем времени ждите от меня интересных постов – у меня есть, что рассказать =)
P.S. а ты подписался на мой блог? 😉