Pull to refresh

Как начать заниматься багхантингом веб-приложений

Positive Technologies corporate blog Information Security *IT systems testing *Web services testing *Mobile applications testing *

Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест, и редтиминг, и bug bounty. Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей. В этой и следующих статьях мы подробно пройдемся по теме bug bounty и расскажем о том, как прокачаться в багхантинге веб- и мобильных приложений.

Первая статья будет особенно интересна самым маленьким начинающим багхантерам. Но и те, кто уже зарабатывал на этом, смогут найти для себя что-то новое.

Под кат
Total votes 2: ↑2 and ↓0 +2
Views 442
Comments 0

У некоторых пользователей Gmail очистились почтовые ящики.

IT-companies
19 декабря в Google Groups некто запостил сообщение о том, что его аккаунт полностью очистился. К разговору подключились другие пользователи, которые сказали, что такая же история приключилась и с ними.

Многие заметили, что пользователи Firefox 2.0, а в момент очистки почтового ящика, их браузер был открыт как раз на gmail.com.

Причина проблемы не ясна. Один из пострадавших утверждает, что сразу после удаления почты он получил письмо, в котором говорилось: « Это не ошибка. Вся ваша почта с контактами были специально удалены. Это атака, а не ошибка. Удачного дня. =)» Другой пользователь указал на уязвимость в Firefox 2.0, которую устранили в Firefox 2.0.0.1

22 декабря, через 4 дня после трагедии, представитель Google оставил сообщение в ветке форума:
Спасибо всем за то, что дали знать о проблеме. Мы приносим свои извинения. В настоящий момент мы разбираемся в проблеме и дадим знать каждому пользователю из этой ветки о результатах.


Кстати, по официальной политике Google, удалённая почта восстановлению не подлежит.

Взято отсюда
Total votes 18: ↑15 and ↓3 +12
Views 1K
Comments 7

Google Hacking Database

Information Security *
В обсуждении недавно опубликованной мною ccылки на поиск по коду, сожержащему пароли доступа к MySQL базам промелькнула ещё одна интересная ссылка.

Google Hacking for Penetration Testers
Некто Джонни оказывается ведёт целый каталог подобных ссылок, именуемый Google Hacking Database (GHDB). Там же представлена книжка по использованию возможностей Google. Просто праздник какой-то :)
Total votes 21: ↑19 and ↓2 +17
Views 11K
Comments 0

«Диггеры» взломали Netscape.com

Lumber room
Вчера сайт Netscape.com был взломан. Хакеры использовали уязвимость Cross Site Scripting (XSS) в свежем движке новостной службы, которая нагло копирует сайт Digg.

Как известно, портал Netscape.com открылся в обновленном виде в июне 2006 г. После своего «второго рождения» он стал почти точной копией Digg и полностью изменил собственную концепцию. Это вызвало массовое недовольство пользователей и возмущение фанатов Digg. Тем более что директор Netscape.com в весьма наглой манере предложил самым активным пользователям Digg сумму $1000 в месяц за то, что они перейдут к нему.

Хакеры (очевидно, это фанаты Digg) через уязвимость XSS внедрили собственные скрипты на страницы Netscape.com, в том числе на главную страницу. Эти скрипты выводили на экран пользователя системное сообщение с каким-нибудь комичным текстом и переправляли его на сайт Digg.com. Скриншоты можно увидеть здесь, здесь и здесь.
Rating 0
Views 425
Comments 3

Хакеры взломали один из сайтов РБК

Lumber room
30 сентября аналитикам «Лаборатории Касперского» поступило сообщение о непонятном поведении веб-браузеров при открытии страницы top.rbc.ru: Internet Explorer со всеми выпущенными «заплатками» аварийно завершал свою работу; Firefox работал, но при этом «съедал» около 400 МБ оперативной памяти.

В процессе анализа страницы аналитики «Лаборатории Касперского» обнаружили в её коде ссылку, ведущую на сайт, зарегистрированный в домене pp.se. По этой ссылке обнаружился скрипт, содержащий эксплойт уязвимости, описанной в Microsoft Security Advisory (926043).

Эксплойт скачивает на атакуемый компьютер новую версию троянца Trojan-PSW.Win32.LdPinch — ayj, которая затем отсылает все отчёты с паролями злоумышленникам через «гейт», расположенный на том же сайте.
Rating 0
Views 422
Comments 6

Подмена URL в IE 7: новая уязвимость в браузере от Microsoft

Lumber room
Компания Secunia сообщает об обнаружении новой уязвимости в недавно вышедшей финальной версии Internet Explorer 7 от Microsoft.

Сайт с вредоносным кодом можно выдать за надёжный, используя сформированную особым образом веб-страницу. Пользователь, просматривая сайт, будет видеть в адресной строке любой назначенный злоумышленником URL, например, www.microsoft.com.
Проверить наличие уязвимости можно на странице теста от Secunia.

Подобная уязвимость в очередной раз ставит под сомнение встроенную в IE 7 анти-фишинговую защиту. Напомним, что уже через несколько часов после официального релиза браузера в нём была обнаружена первая уязвимость.
Rating 0
Views 324
Comments 7

Microsoft латает дыры

Lumber room
Позавчера, 14 ноября, корпорация Microsoft выпустила ряд обновлений для браузера Internet Explorer и других компонентов ОС, где ранее было обнаружено несколько уязвимостей, позволяющих выполнять код на атакуемом компьютере и поэтому получивших «критический» статус.

Разработчики отмечают, что пользователи седьмой версии Internet Explorer, как и Windows Vista, могут спать спокойно — им ничего не угрожает. Остальным же придется побеспокоиться о своей защите и загрузить соответствующие модули обновления, дабы не стать жертвами хакерской или вирусной атаки.

Ознакомиться с подробным описанием ошибок можно в следующих бюллетенях безопасности: MS06-066, MS06-067, MS06-068, MS06-069, MS06-070 и MS06-071.
Total votes 8: ↑5 and ↓3 +2
Views 291
Comments 3

Microsoft Word опять атакует

Lumber room
Открывать пришедшие по электронной почте файлы в формате MS Word следует открывать с осторожностью. Компания Microsoft сообщила об обнаружении новой уязвимости, которая позволяет хакеру, вставив определенную строку символов в файл с текстом, запустить на атакуемой машине вредоносное ПО, пишет InfoWorld.

Уязвимость получила статус критической, однако загрузить очередное обновление безопасности Microsoft можно будет только 12 декабря. Ошибка затрагивает версии MS Word 2000, 2002 и 2003, Word Viewer 2003 и некоторые версии Microsoft Works.

Специалисты полагают, что в офисных продуктах Microsoft в настоящее время содержится больше ошибок, которые могли бы быть использованы злоумышленниками, чем в самой операционной системе.
Total votes 10: ↑4 and ↓6 -2
Views 310
Comments 8

Windows Vista: шесть уязвимостей за месяц

Lumber room
Шесть серьёзных уязвимостей было обнаружено в операционной системе Windows Vista экспертами по безопасности и простыми хакерами за месяц существования её на рынке, пишет блог Monkey Bites.

В частности, описана ошибка в браузере Internet Explorer 7, позволяющая злоумышленникам скрытно устанавливать вредоносные программы на компьютере пользователя при посещении им инфицированных сайтов. Кроме того, сообщалось о возможности отключения Microsoft Exchange Server при помощи отправки зараженного email-сообщения.

Наконец, совсем недавно российский программист опубликовал информацию об уявимости, обнаруженной им в нескольких операционных системах Microsoft, включая и Windows Vista. Прореха, которую прозевали разработчики, позволяет расширять права пользователя ОС.

Завершает все эти мрачные события сообщение компании Trend Micro, сотрудники которой нашли на японской электронной «доске объявлений» предложение о продаже информации о новой уязвимости в Windows Vista за жалкие $50 тыс.
Total votes 14: ↑14 and ↓0 +14
Views 317
Comments 11

Secunia Software Inspector найдёт «дырки» в вашем компьютере

Lumber room
Проверить, каких именно патчей не хватает на локальном компьютере, можно при помощи онлайновой утилиты от компании Secunia — Software Inspector.

При помощи java эта утилита проверяет, установлены ли последние обновления безопасности в ОС Windows и других продуктах Microsoft, а также то, безопасны ли установленные на локальном компьютере версии таких программ, как Firefox, Opera, Skype, Adobe Reader, QuickTime, iTunes, Macromedia Flash Player, Sun's Java JRE, Winamp и других.

Secunia Software Inspector может провести как стандартную, так и расширенную проверку (thorough system inspection; будут проверены все папки, а не только стандартные типа Program Files). Для использования утилиты необходимо наличие java-машины и одного из браузеров — Internet Explorer (6.x или более новый), Opera 9.x или Firefox (1.5.x или более новый). Проверить на наличие «дырок» можно только последние версии Windows — 2000, XP и 2003.
Total votes 4: ↑4 and ↓0 +4
Views 357
Comments 5

20 «вторничных» патчей

IT-companies
Компания Microsoft во вторник опубликовала 20 обновлений безопасности своих программ. 10 из них «закрывают» критические ошибки.

8 патчей предназначены для программ из пакета MS Office: в частности, устраняются проблемы безопасности в Word 2000. Кроме того, выпущены обновления для некоторых версий браузера Internet Explorer: все они устраняют критические уязвимости.

Как всегда, все обновления доступны через систему автоматического обновления и через Microsoft Update. Пользователи старых версий MS Office могут воспользоваться сайтом Office Update.
Total votes 13: ↑9 and ↓4 +5
Views 267
Comments 6

Word снова уязвим

IT-companies
Через сутки после выпуска пакета «вторничных патчей» в MS Office нашлась ещё одна уязвимость.

На этот раз необходимо обновление Word и других программ в пакете Office версий 2000 и XP. Уязвимость связана с возможным выполнением удалённого программного кода. Компания Microsoft уже получила отчёты о проведённых атаках, однако не сообщает о том, когда будет выпущено обновление безопасности. По традиции, пользователей просят не открывать документы Word, полученные от неизвестных отправителей.

За последние месяцы это уже девятая выявленная уязвимость в офисных программах, разработанных Microsoft.
Total votes 7: ↑6 and ↓1 +5
Views 328
Comments 1

Microsoft передумала продавать Windows Vista

Lumber room
После многих потраченных лет и миллиардов долларов, вложенных в разработку своей новой операционной системы Vista, корпорация Microsoft объявила блокаду покупателям, желающим приобрести ее новинку.
Читать дальше →
Total votes 6: ↑2 and ↓4 -2
Views 277
Comments 5

Переводим слово «exlpoit»

IT Terminology
Прошу предлагать наиболее точные и остроумные варианты перевода термина «exploit», в значении «использование уязвимости, недочёта безопасности в системе» на русский язык.

Вариант [а чем плохо «эксплойт»] прошу не предлагать, его уже предложили до вас.
Total votes 12: ↑9 and ↓3 +6
Views 1.4K
Comments 28

В WordPress 2.1.1 встроен эксплоит, нужно обновиться.

WordPress *
Если вы за последние 2-3 дня скачали свежий WordPress 2.1.1, то он с большой вероятностью может включать в себя эксплоит, который встроил туда неизвестный хакер. Каким-то образом он получил доступ к серверу и изменил код. В результате этого атакущий может получить полный контроль над вашим блогом.

Срочно обновитесь до WordPress 2.1.2.

Источник этой новости в официальном блоге WordPress.
Rating 0
Views 799
Comments 2

IE 7: новая версия, новая уязвимость

Lumber room
Компания Microsoft представила обновлённый браузер Internet Explorer. Долгожданная седьмая версия содержит множество новых функций, которых так не хватало пользователям. Важнейшая из них — это, вероятней всего, вкладки.

На данный момент IE — самый распространённый браузер в мире. Обусловлено это скорее тем, что он встроен в ОС Windows, нежели удобством, скоростью работы или дизайном. На новую версию разработчики возлагают большие надежды, надеясь отвоевать аудиторию у набравшего хорошие обороты браузера Firefox.

«Приятно видеть, как Microsoft возвращается на рынок браузеров после 5-летнего отсутствия. Ещё приятней видеть, что в Internet Explorer встроены функции, которые мы популяризировали», — говорит в интервью агентству Reuters Кристофер Бирд (Christopher Beard), вице-президент корпорации Mozilla, напоминая при этом, что через пару недель выйдет Firefox 2.

Западные аналитики говорят, что при выборе операционной системы пользователь большое внимание уделяет браузеру, используемому в ней по умолчанию, именно поэтому конторе Билла Гейтса всё чаще приходится задумываться о качестве предоставляемого продукта. Благодаря свободно распространяемым программам, поддерживаемым основными конкурентами, монополия Microsoft ослабевает, хотя компания и продолжает удерживать лидирующие позиции.

С 1 ноября начнётся распространение IE 7 через службу автоматического обновления Windows. Разработчики говорят, что без согласия пользователя обновление производиться не будет. Для России это — важное уточнение с учётом распространённости пиратских копий операционной системы: IE 7 при установке проверяет легальность Windows. Уже установленный браузер можно будет легко «откатить» при помощи панели управления. При обновлении сохранятся все базовые настройки: домашняя страница, закладки, назначенный по умолчанию поисковый механизм и т.п.

Между тем уже через несколько часов после официального анонса IE 7 компания Secunia предупредила, что браузер содержит уязвимость, позволяющую злоумышленникам получить конфиденциальную информацию пользователя. Данная уязвимость не отнесена к разряду критических. При просмотре страницы с особым кодом удалённый пользователь может получить данные, которые локальный пользователь использовал при аутентификации на другом сайте. Компания Microsoft уже отреагировала на это сообщение, утверждая, что возможные атаки будут направлены на компоненты Windows, которые, в свою очередь, открывают доступ к данным в браузере. Подобное оправдание, тем не менее, не убеждает в том, что Internet Explorer 7 — действительно самый безопасный браузер.
Rating 0
Views 274
Comments 5

Девять причин повременить с апгрейдом Firefox

Lumber room
Феерический выход второй версии Firefox, конечно, не мог пройти незамеченным для всех пользователей этого замечательного браузера. Они начали в массовом порядке скачивать дистрибутив еще до официального релиза, обеспечив рекордную нагрузку на серверы Mozilla. Спустя 24 часа после официального выпуска дистрибутив Firefox 2.0 скачали более 2 млн раз, что является новым рекордом не только для Firefox прежних версий, но, пожалуй, и для всех остальных браузеров. По крайней мере, недавно вышедший Internet Explorer 7 показал заметно худший результат.
Читать дальше →
Total votes 2: ↑0 and ↓2 -2
Views 281
Comments 47

Социальные сайты становятся опасней

Lumber room
Собственные «пространства» на MySpace, свои видео-клипы на YouTube, персональные блоги на LiveJournal… Социальные сайты, где каждый пользователь может самостоятельно создавать веб-контент, выбирать своё окружение – становятся исключительно популярными. Но их незащищённость вызывает всё большее волнение.

Именно повышенное внимание пользователей к тем сервисам, где аудитория самостоятельно формирует содержание сайта, привело к тому, что всё большее количество злоумышленников хотят «воспользоваться» этими же сервисами – как из хулиганских побуждений, так и с целью наживы. Примеров тому становится всё больше.

В прошлый уикэнд немалая часть пользователей MySpace «подарили» доступ к своим аккаунтам: страницы сервиса были заражены вирусом, который подменил ссылки на страницу, обычно используемую для ввода логина и пароля. В результате на страницах жертв появились видео-материалы непристойного содержания и ссылки на сайты, распространяющие в том числе и детскую порнографию. От имени жертв также рассылаются письма с приглашениями посетить порно-сайты. Злоумышленники использовали как уязвимости самого MySpace, так и недоработки в QuickTime Player компании Apple. В результате заражению подвергаются и «друзья» пострадавших пользователей, которые просматривают в своей «френд-ленте» содержание заражённых страниц.

В прошлом месяце компания Websense сообщила, что на MySpace появились видео-ролики, при просмотре которых на локальный компьютер устанавливается «рекламное программное обеспечение» – adware. Злоумышленники использовали уязвимость в системе управления лицензиями Windows Media Player.

MySpace является «любимой целью» злоумышленников – что неудивительно: его популярность позволяет «охватить» максимальное количество «жертв». К примеру, год назад по страницам пользователей «гулял» java-скрипт, добавлявший в «друзья» пользователя Samy. Тогда администрация сервиса просто удалила пользователя – и отказалась комментировать ситуацию.

Конечно, не только MySpace остаётся уязвимым для подобных атак. Онлайновая энциклопедия, добавлять и редактировать содержание которой может любой желающий – Википедия также сталкивается с подобными проблемами. В ноябре на странице немецкой версии Вики была размещена ссылка на сайт, якобы содержащий «лекарство» от вируса MSBlast. Злоумышленники не ограничились «ссылочным вандализмом»: они разослали электронные письма с приглашением посетить вики-страницу. Пользователи, которые вряд ли поверили бы прямой ссылке на неизвестный сайт, воспользовались данными известной сетевой энциклопедии – и заразили свои компьютеры.

А виртуальный мир сетевой игры Second Life однажды оказался покрыт «серой слизью». В различных частях «мира» начали появляться непонятные золотистые кольца, размножающиеся с большой скоростью. Через некоторое время сервера игры просто перестали справляться с таким количеством новых объектов – и игра приостановилась примерно на полчаса. Опасность была достаточно быстро устранена – но эксперты говорят, что написание нового скрипта для подобного заражения не займёт много времени. Стоит отметить, что только осенью на Second Life уже проведено три атаки, в частности, в сентябре хакеры смогли взломать более 600.000 аккаунтов игроков.

Бесплатные площадки для блогов также легко становятся «разносчиками» мошеннической информации. Специалисты по безопасности компании Microsoft в ходе своих исследований обнаружили целую сеть сайтов, которые при помощи спама (как по email, так и с помощью трэкбеков) заманивали посетителей на сайты, продававшие нелегальное программное обеспечение. Порядка 17.000 таких сайтов располагается на сервисе Blogger. Впрочем, этот сервис компании Google не раз попадался на уязвимостях: пользователи время от времени обнаруживают на своих страницах чужие посты, а однажды злоумышленники смогли разместить ложную информацию в официальном блоге Google.

Разработчики, похоже, не сильно задумываются над вопросом: как контролировать то, что раньше контролировать не требовалось? Контент, размещаемый пользователями, может нести гораздо большую опасность, нежели предполагают владельцы MySpace или Blogger. Уязвимости социальных сайтов приносят убытки не только их владельцам, но и пользователям. Кроме того, они могут принести убытки и сторонним компаниям, поэтому однажды News Corp. или Google вполне могут стать ответчиками в громком судебном процессе, если не начнут действительно серьёзно подходить к вопросам безопасности на своих социальных сервисах.
Total votes 16: ↑14 and ↓2 +12
Views 333
Comments 0

Уязвимостей — больше, статистика — лучше

Lumber room
Координационный центр Computer Emergency Response Team (CERT)
опубликовал отчёт, содержащий статистику выявленных уязвимостей за 2006 год. Сбор статистики группой CERT осуществляется на основе публичных источников и тех отчётов, которые присылают пользователи. Всего выявлено 8064 уязвимости, что на 35% больше, чем в 2005 году.

Другие «сборщики» также зафиксировали существенный рост количества уязвимостей: данные Vulnerability Database, Open-Source Vulnerability Database и Symantec Vulnerability Database говорят о росте на 20-35%.

По мнению Арта Маниона, представителя CERT, причина такого скачка в данных статистики обусловлена, прежде всего, тем, что появилось достаточное количество качественных сервисов и программ, которые облегчили выявление «слабых мест» в ПО. Ощутимый вклад вносят и сообщества пользователей, достаточно активно информирующих о тех или иных проблемах безопасности.

Простой поиск с помощью Google Code Search помогает специалистам и просто опытным пользователям выявлять потенциальные уязвимости. «Большое количество отчётов о возможных уязвимостях специалисты компаний, специализирующихся на вопросах безопасности ПО, получили от пользователей, которые использовали этот поисковый механизм», — говорит Стивен Кристи, редактор CVE Project. В этой связи он также отмечает активное использование grep — утилиты для Unix-систем.

Повышение количества уязвимостей не означает, что интернет стал намного опасней для пользователей по сравнению с 2005 годом. К примеру, многие веб-приложения, в которых были обнаружены уязвимости, создаются и используются относительно небольшими сообществами, а не крупными игроками сетевого рынка. Однако в то же время приложения, написанные на PHP, занимают особо «почётное» место в статистических отчётах: доля этих приложений в списке «незащищенных» составляет 43%. PHP используют не только небольшие сетевые проекты, но и крупные компании вроде Yahoo и Google.

Доля уязвимостей, обнаруженных в операционных системах, за 2006 год снизилась, особенно на фоне доминирования в этом вопросе веб-приложений. Однако это вовсе не означает, что безопасность тех или иных ОС возросла. «Вредоносные приложения по-прежнему пытаются атаковать системы, просто сейчас они реже используют для этого уязвимости ядра ОС», — говорит Оливер Фредрикс, директор по вопросам безопасности компании Symantec.
Total votes 11: ↑6 and ↓5 +1
Views 285
Comments 0

Хакеры заинтересовались расширениями Firefox

Information Security *
Расширения Firefox — самое слабое место в системе безопасности этого свободного браузера. В момент запуска каждое расширение инициирует соединение с удалённым сервером, чтобы проверить обновления. Проблема в том, что эти обновления могут находиться на «левом» хостинге и передаваться по незащищённому протоколу. По мнению некоторых экспертов, злоумышленник может легко перехватить такое соединение, например, внедрившись в беспроводной канал передачи данных от публичного хотспота.
Читать дальше →
Total votes 17: ↑12 and ↓5 +7
Views 1.1K
Comments 5