Pisaliśmy kilka dni temu o tym, że błędy zdarzają się największym, najlepszym i najprzedniejszym firmom i instytucjom oraz o tym, że bardzo ważne jest podejście do znalezionego błędu i jego szybkie poprawienie. Dwa dni temu na stronie NSA.gov, która jest oficjalną witryną Amerykańskiej Agencji Bezpieczeństwa został odkryty błąd typu XSS. Błąd działał także podczas bezpiecznego połączenia SSL i co najśmieszniejsze jest z niewiadomych przyczyn obecny w oprogramowaniu Oracle’s PeopleSoft Enterprise w wersji 8, które to oprogramowanie nie wykazuje tego błędu na innych witrynach je wykorzystujących! Najpewniej jakiś dodatek tudzież modyfikacja chłopaków z NSA sprawiła, że możliwe było wykrycie błędu. Warto przypomnieć, że nie cały rok temu wykorzystując błąd SQL Injection zostały wstrzyknięte obce treści do tejże witryny.
Archiwum (tag: xss
)
-
Błąd typu XSS na stronie amerykańskiej agencji bezpieczeństwa NSA
- Data dodania:
- 26 6.10
- Kategorie:
- newsy
-
Błedy typu XSS na stronach firm F-Secure oraz Symantec
- Data dodania:
- 23 6.10
- Kategorie:
- newsy
Drobne wpadki zdarzają się jak wiadomo nawet największym jak mieliśmy się okazję przekonać niedawno na przykładzie firmy IronPort. Tym razem na ruszt XSSowych błędów wskoczyła firma F-Secure, która bardzo szybko zareagowała na odkrycie (i dodatkowo zdrowo zareagowała opisując problem na swoim blogu) oraz firma Symantec ze stroną Norton Update Center. Jak widać o pozytywny PR trzeba dbać we wszystkich zakamarkach swojego świata, zwłaszcza gdy jest się firmą zajmującą się bezpieczeństwem :]
-
Marka IronPort firmy Cisco zapomniała swoimi własnymi urządzeniami bronić własnej witryny
- Data dodania:
- 15 6.10
- Kategorie:
- newsy
Trochę to zabawne, że firma produkująca pudełka, których zadaniem jest między innymi przeciwdziałanie atakom wykorzystującym web, zapomniała ochronić własnej witryny firmowej tymi urządzeniami :]. Jak ładnie możemy przeczytać w biuletynie reklamowym „IronPort’s web reputation filters are protecting users from known and unknown exploits (including adware, Trojans, systemmonitors, keyloggers, malicious/ tracking cookies, browser hijackers, browser helper objects and phishing attacks) delivered through cross-site scripting (XSS), cross-site request forgery, SQL injections or invisible iFrames.” złe prezenty dostarczane z użyciem technik XSS są rzekomo blokowane przez profesjonalny system filtrów. Nie jestem pewien czy firma, która na swojej stronie posiada błędy typu XSS o czym możemy przeczytać na stronie xssed.com, potrafi zadbać o bezpieczeństwo swoich klientów, nawet z użyciem bezpiecznego połączenia SSL ;]] Na szczęście błąd został bardzo szybko poprawiony! Pozostaje jednak delikatny niesmak w ustach przyszłych i aktualnych klientów świadomych tej drobnej wpadki.
-
Raport dotyczący bezpieczeństwa serwisów internetowych
- Data dodania:
- 19 1.10
- Kategorie:
- analizy, statystyki
Firma zajmująca się bezpieczeństwem serwisów internetowych – Cenzic wydała raport dotyczący tendencji i liczb ataków na serwisy WWW w pierwszym jak i drugim kwartale 2009 roku. W wielkim skrócie przedstawia się on następująco:
-
Renomowane witryny internetowe kierują użytkowników do zarażonych zakątków z użyciem błędu XSS
- Data dodania:
- 15 1.10
- Kategorie:
- newsy
Standardowo dostało się serwisom o odpowiedniej popularności (choć zapewne nie w Polsce). Witryny takie jak na przykład lawyers.com czy appleinsider.com (ranking Alexa na poziomie 5174) zostały zaatakowane aby finalnie kierować oglądających je użytkowników na niebezpieczne witryny, które zawierały fałszywe oprogramowanie antywirusowe nakłaniające do zakupu oprogramowania dezinfekującego – oczywiście wyświetlające także fałszywy komunikat o zarażeniu wirusem. Co ciekawe do samego ataku zarażającego została wykorzystana podatność zwana XSS czyli Cross-Site Scriptingiem, a tym razem został użyty mechanizm braku filtrowania wartości wprowadzanych do wyszukiwarki witryn. Zapewne mechanizm wyświetlania ostatnio wyszukiwanych wartości lub wartości najczęściej wyszukiwanych w wyniku błędnej walidacji, doprowadził do wyświetlania kodu, który kierował użytkowników na odpowiednio przygotowane strony. Pamiętajmy, że era zaufanych stron internetowych już dawno odeszła w niepamięć i nigdy nie wiemy co czaić się może na naszych ulubionych stronach erot…^H^H^H^H komputerowych :}
-
Autorzy złośliwego oprogramowania to też ludzie
- Data dodania:
- 18 3.09
- Kategorie:
- newsy
Kilka dni temu pisałem o firmie, która zajmuje się tworzeniem oprogramowania na potrzeby sieci botnet i nie tylko. Warto pamiętać, że pracujący dla takiej firmy programiści to tacy sami ludzie jak my wszyscy. Jak zauważyli autorzy bloga firmy Sunbelt, jeden z programistów tejże firmy o ksywce LonelyWolf ma pewne problemy i jak inni programiści próbuje je rozwiązać zadając pytania na programistycznym forum internetowym :] Co najzabawniejsze, uzyskał satysfakcjonującą go odpowiedź po zaledwie 19 minutach, jednak już nie raczył pomóc (znając wymagane poprawki do kodu) osobie, która miała podobny problem. Dodatkowo wiadomość z zapytaniem stworzył poza przeznaczonym do tego wątkiem. Ehh egoizm i amatorka… A, że amatorka to zauważył także jeden z naszych czytelników w komentarzach do naszego wpisu dotyczącego tej firmy. Mianowicie na stronie internetowej firmy ProMake znajduje się błąd typu XSS, świadczący o mało PROfesjonalnym podejściu do tworzonego kodu. Nic dodać, nic ująć…
Link do forum: http://extjs.com/forum/showthread.php?t=57003
-
Miód wypity, garnek zbity czyli Pingwinaria pełną gębą
- Data dodania:
- 17 3.09
- Kategorie:
- newsy
Żyję :] Przepięknie spędzone kilka dni na imprezie zrzeszającej fanów systemów Linuksowych i nie tylko. Pingwinaria 2009 oficjalnie się zakończyły i osobiście mogę uznać imprezę za udaną. Pominę mały telewizor do Wii, grzyby na stołowce i brak kandydatek na Miss z obrazków z korytarza. Oczywiście pominę także zagłębianie się szczegółowo w wątki stricte osobiste takie jak wnikliwe testy oprogramowania zwanego miodem pitnym oraz testy stabilności działania żyroskopów w konsoli Nintendo Wii (respekty dla kompanów z parkietu: domelu, adamg, szuwar, white_eyed za tańce do białego rana i dyskusje na tematy około botnetowe :) A uciekając od prywaty i wracając do tematu głównego muszę nadmienić, że dzień piątek 13 stego bardzo wypadł na imprezie znamienicie.
Po pierwsze dzień ten był dniem poruszającym tematykę bezpieczeństwa. Czytaj dalej »
-
Uwaga na portale społecznościowe – luka XSS w portalu FaceBook
- Data dodania:
- 24 5.08
- Kategorie:
- newsy
Po raz wtóry, choć można napisać, że kolejny – największy serwis społecznościowy na świecie www.facebook.com, zajmujący 7 miejsce w rankingu
www.Alexa.com, z Google PageRank równym 9 – był podatny na atak typu XSS (Cross Site Scripting). Ponad 70 milionów aktywnych użytkowników (aktywni to tacy, którzy wrócili do serwisu w przeciągu ostatnich 30 dni) może wygenerować wiele złego, zwłaszcza nieświadomie.Gdyby ktoś nieodpowiedni wykorzystał ten błąd i Czytaj dalej »
-
Ponad 100.000 wyników Google zarażonych…
…IFRAMEm, czyli szybciej, mocniej, więcej, lepiej… Stwierdzeniem, że nastały piękne czasy mógłbym narazić się tym, którzy postrzegają rzeczywistość przez pryzmat naszej polityki lub sytuacji w chinach [vide oxymoron: „pokojowe tłumienie” demonstracji Tybetańczyków… ps: NIE dla olimpiady w chinach :]. Natomiast dla mnie obserwującego świat przez szkiełko botów i władzy ale tej internetowej, już dawno stało się jasne, że w walce o władze ZUO będzie wykorzystywało coraz to bardziej wyrafinowane i skomplikowane metody przejmowania cyberprzestrzeni. Kilka dni temu holenderski researcher Dancho Danchev odkrył, że ponad 100 000 wyników wyszukiwarki Google
(na popularne frazy, choć tym razem nie było to nasza klasa a: jamie presley, mari misato, risa coda, kasumi tokumoto, jill criscuolo – czyli gwiazdy sceny amerykańskiej i japońskiej zarówno branży muzycznej, telewizyjnej jak i porno) wspomaga nas w instalacji złośliwego oprogramowania.
Całość jest o tyle ciekawa, że atak był wielostopniowy i wielowarstwowy, wręcz prekursorski, dodatkowo wykorzystujące działające w ;] dobrej ;] wierze Google. A odbywało się to tak:
Czytaj dalej »