Обзорная презентация по уязвимостям Web-приложений

Выложил презентацию по теме "Актуальные угрозы Web-приложений", которая готовилась для вебинара на firmbook.ru, но в том числе попала и на RIW //09.

Вот и дожили до кириллических DNS-имен

Случайно наткнулся на зеркало сайта iso27000.ru по адресу защита-информации.su:


Осознав, что вот и пришло время кириллических DNS-имен, первым делом проверил привычные инструменты:

ВАФ! Kaspersky тоже вроде WAF

Мои Позитивные коллеги тоже любят поиграться с sql injection:) Вот какое сообщение я наблюдал сегодня, когда виртуальная машина с лабораторной работой по sql-инъекциям была запущена на компьютере, где установлен KIS 2009:


Подобное сообщение можно увидеть, когда запрос содержит следующие ключевые слова и именно в такой последовательности:

/?id=1 union select password from users

Advanced SQL Injection lab (full pack)

По полученным просьбам, выкладываю полные оригиналы всех материалов, которые готовились для МИФИ по теме "Внедрение операторов SQL".

Оригинал презентации:

Еще один красивый способ эксплуатации SQL Injection в обход WAF

Метод, который попал мне сегодня на глаза в документации MySQL, поражает своей простотой и тем, что я не замечал его раньше. Раскопанный способ по обходу WAF заключается в следующем. Сервер MySQL позволяет использовать комментарии вида:

/*!sql-code*/ и /*!12345sql-code*/

Как можно догадаться, и в том, и в другом случае sql-code будет выполнен из комментария! Во втором случае конструкция означает, что нужно выполнить "sql-code", если версия СУБД больше этого цифрового значения.

Advanced SQL Injection

Проводил сегодня лабораторную работу в институте МИФИ по теме "Внедрение операторов SQL". Собственно, кастумизированная версия презентации с несколькими 0day методами и самыми актуальными техниками эксплуатации уязвимости SQL Injection представлена ниже.

RIW //09: RUSSIAN INTERNET WEEK

Выступал сегодня на мероприятии под названием "Неделя Российского Интернета (RIW-2009)" на тему "Угрозы ИБ при использовании Web-приложений". Надо сказать, что для многих присутствующих подготовленный мною материал, к сожалению, оказался несколько сложным... видимо, надо было подготовить, что-то "помягче".

Кстати, мероприятие проходило в том же месте, что и INFOSECURITY в далеком 2008 г. Из компаний в индустрии информационной безопасности присутствовала только "Лаборатория Касперского" на стенде которой был замечен Jackee Chan из известного ролика :-)

Позитивные вебинары

Команда Positive Technologies в конце этого и в начале следующего месяца примет участие в бесплатных вебинарах по информационной безопасности. Всем желающим послушать нас - welcome.

В рамках вебинаров, проводимых 1С-Битрикс/Lexton
Аудитория: Менеджеры, CIO, специалисты в области ИТ/WEB

29 октября 2009 11:30 - 12:30 "Актуальные угрозы Web-приложений"
Безопасностью Web-приложений большинство Компаний занимается по остаточному принципу. Такое положение вещей привело к тому, что в настоящее время внимание атакующего в первую очередь направлено на эксплуатацию уязвимостей именно в подобного рода сервисах. Незащищенный сайт является "лакомым кусочком" для злоумышленника. А возможные финансовые потери Компании, в случае успешной атаки, варьируются в широком диапазоне.

На вебинаре будет представлена Российская статистика уязвимостей Web-приложений. Будут озвучены наиболее часто встречаемые проблемы и недостатки при проектировании и использовании Web-приложений, а также возможные пути снижения рисков, связанных с угрозами в отношении Web-сервисов.
Докладчики: Евтеев Дмитрий, Александр Бородин (Lexton)


В рамках онлайн-конференции iCoder
Аудитория: Разработчики, программисты, специалисты в области ИБ

2 ноября 2009 10.00 - 12.00 "Security Development Lifecycle – задачи, методика построения, результаты"
  • Наиболее типичные ошибки программирования. (CWE/SANS Top 25 Most Dangerous Programming Errors)
  • Необходимость внедрения SDL
  • Microsoft Security Development Lifecycle:
    - Основные положения
    - Стадии Microsoft SDL
  • Технические средства, используемые в SDL:
    - Инструменты статического анализа
    - Защищенные версии наиболее опасных функций.
    - Опции компилятора, повышающие стойкость приложений к различным видам атак
    - Инструменты динамического анализа
    - Утилиты Fuzz-тестирования
Докладчики: Сергей Рублев, Андрей Абрамов

5 ноября 2009 12.00 - 14.00 "Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях"
Анализ защищенности Web-приложений – теория и практика.

Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?

Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.

Дополнительно более детально будут рассмотрены современные методы эксплуатации уязвимостей в Web-приложениях, такие как: HTTP Parameter Pollution, HTTP Parameter Fragmentation, Anti DNS Pinning и др.
Докладчики: Дмитрий Евтеев, Александр Анисимов

WASC Announcement: 2008 Web Application Security Statistics Published

Опубликована статистика уязвимостей Web-приложений за 2008 г. консорциума Web Application Security Consortium (WASC). Ознакомиться с ней можно здесь.

Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.

В результате собранных данных было получено 4 набора данных:
  • суммарная статистика по всем видам работ;
  • статистика по автоматическому сканированию;
  • статистика по оценке защищенности методом черного ящика;
  • статистика по оценке защищенности методом белого ящика.

Анализ полученных данных показывает, что более 13% всех проанализированных сайтов может быть скомпрометировано полностью автоматически. Около 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем. Однако при детальной ручной и автоматизированной оценке методом белого ящика вероятность обнаружения таких уязвимостей высокой степени риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом методе работ. В то же время при проведении более глубокого анализа 99% Web-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт.

Cisco Expo 2009: Впечатления от мероприятия


Сразу хочу сказать, что от подобного мероприятия ожидал чего-то большего. И в целом, проходящая в этом году конференция Cisco Expo несколько разочаровала. И кухня была не такой пафосной, как в прошлом году, и стенд Positive Technologies был расположен в трудно отыскиваемом месте под лестницей... выступления, несомненно, были интересными, но видимо я пришел туда в неудачное время. Ну а так, как стенд Positive Technologies был свернут во второй день проведения мероприятия (нас не замечали под лестницей:-(( ), а знакомых лиц по близости не наблюдалось, то и мое пребывание на выставке было недолгим.

Про тонкую грань вредоносности ПО

И вновь столкнулся с примером false positive при определении степени вредоносности ПО. На этот раз – это всеми любимый XSpider:) английская редакция, сборка 2000.


Как вы понимаете, никакого троянца там и в помине нет. Просто файл "http.vsp" является модулем работы с протоколом HTTP. Для интереса ради, провел через Virustotal тот же файл из последней сборки XSpider 3230. Результаты такие.

Использование Null-byte в цифровых сертификатах

Поигрался сегодня с null-byte в SSL/TLS сертификатах по материалам securitylab. Действительно забавная бага. А какие перспективы открываются для MITM атак. Уязвимость до сих пор не исправлена в Microsoft crypto api, следовательно, up to date Internet Explorer уязвим для эксплуатации этой баги:


Phishing

Спецслужбы США и Египта провели совместную операцию Phish Phry, которая стала крупнейшей в истории интернета. В общей сложности в двух странах привлечено к уголовной ответственности 100 человек (53 в США и 47 в Египте), что является новым мировым рекордом по количеству выловленных хакеров за один раз. [1]

Андрей Абрамов (aka Stinger) дал свои комментарии радиостанции BBC в контексте phishing-угроз:



И в продолжение темы, небольшая статистика по фишингу от IBM.

С какой стороны ждать беды

За последнее несколько лет СМИ активно "смакует" угрозу со стороны внутреннего нарушителя. Но насколько реалии соответствуют "страшилкам"?


65% инцидентов – это атака внешним злоумышленником и банальная потеря данных (ноутбука, ленты, etc). Повышенное внимание к собственным сотрудникам, которым "в теории" проще украсть данные, ослабило бдительность в отношении внешних нарушителей. Угроза со стороны внутреннего "нарушителя" (именно нарушителя, как минимум вора, а не простого разгильдяя) несколько преувеличена. Сотрудник подписал множество документов при приеме на работу. Его ознакомили с политикой ИБ, используемой в компании. Пояснили, что все действия контролируются и мониторятся. В здравом уме далеко не каждый, готов будет совершить "подвиг". Его может остановить, простая логическая мысленная цепочка о том, что подобные действия не останутся незамеченными. Кроме того, сдерживающим фактором будет являться то, что разного рода "подвиги" будут отражены в трудовой книжке, что в свою очередь в значительной степени может усложнить дальнейшее существование (примеры есть. говорю не про себя:-)). Чего не скажешь про неуправляемого внешнего нарушителя, скрывающегося за ботнетом на другом континенте...

Анализ паролей пользователей Windows Live Hotmail

И вновь появилась новость о том, что по сети гуляет база учетных записей пользователей. На этот раз "под раздачу" попали пользователи Windows Live Mail. В первоисточнике сообщается, что в сети опубликовано более чем 10.000 паролей пользователей почтовой службы Hotmail. Ваш покорный слуга не мог пройти мимо, и недолгое гугление привело к истинному первоисточнику сего деяния. В настоящее время сервер pastebin.com работает нестабильно, а вот кеш google работает очень даже замечательно:)

Итак, во-первых, список опубликованных и отсортированных (без повторений) учетных записей начинается с буквы "a" и заканчивается буквой "b". Это свидетельствует о том, что полный список пользователей куда больше опубликованного в сети. Если предположить, что на каждую первую букву английского алфавита в списке приходится порядка 4.000-5.000 записей, то не трудно подсчитать, что полный список скомпрометированных учетных записей может достигать 150.000.

Во-вторых, из опубликованного списка в 10.028 записей, только 9.238 являются корректными. Если еще учитывать ограничивающую политику Hotmail, накладываемую при задании паролей (длина паролей не должна быть менее 6-ти символов), то результирующее количество "правильных" учетных записей в опубликованном списке содержится всего 8.250.

Насколько законны действия пентестера?

Катализатором к широким дискуссиям [1,2,3] на эту тему послужила "затравка" в блоге компании Infowatch. И после многочисленных рассуждений никто так и не предоставил конструктивных "выжимок", дающих однозначный ответ по поводу законности осуществляемых действий при проведении тестирований на проникновение. Более того, нашлись и те [4], кто помимо ст. 273 УК РФ (Создание, использование и распространение вредоносных программ для ЭВМ) сумел рассмотреть в действиях пентестера ст. 272 (Неправомерный доступ к компьютерной информации). Являясь непосредственным исполнителем при пентестах, опровергающее утверждение Ильи Медведовского, о том, что "в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным", мягко говоря "режет глаз" (без сбора и анализа информации пентест – не пентест, а лишь инструментальное обследование). Поэтому, проконсультировавшись с malotavr на данную тему, у меня сформировалась вполне объективная позиция относительно законности действий, осуществляемых при проведении пентестов.