(снова) Взломан сайт MySQL.com

Какая-то нездоровая тенденция наблюдается в последнее время. То и дело ломают крупные проекты, безопасность которых по идее должна быть примером для подражания. Kernel.org, Linux.com, SourceForge.net, PHP.net в далеком 2009 Apache.org. Хорошо, если по результатам инцидента делаются правильные выводы и адекватные действия, так ведь нет! Не все учатся с первого раза.

Меньше полугода был взломан сайт MySQL.com и вот снова, проект подвергся той же напасти.

Может быть уже пришло время учиться на ошибках других и уже что-то делать обеспечивать адекватную безопасность информационным активам?

CoreSecurity.com defaced

Вчера оф. сайт известной компании в области информационной безопасности, разработчика профессионального инструмента для проведения тестирований на проникновение CORE IMPACT, подвергся дефейсу. Примечательно, что на странице дефейса злоумышленник оставил ссылку на свой аккаунт в твиттере. Судя по дефейсу, взлом был осуществлен из побуждений мести...


P.S. Ярко выраженный представитель хакерского сообщества.

Хроники пентестера #4: безопасность внешних веб-приложений

Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для нарушителей всех мастей. Тут всегда хватит места и для матерых SEOшников, и для желающих нести свои мысли в массы путем подмены содержимого страниц, и, разумеется, веб-приложения являются первоочередной мишенью при преодолении внешнего периметра компаний, как в тестированиях на проникновение, так и в суровой жизни.

Повсеместно низкая безопасность веб-приложений обусловлена множеством факторов: от качества разрабатываемого кода и выбранного языка программирования, до используемых конфигураций на стороне веб-сервера. Масло в огонь добавляет еще тот факт, что безопасность веб-приложений держится особняком относительно общей стратегии безопасности. Менеджеры структурных подразделений инициируют процессы развития бизнеса, которые в свою очередь, так или иначе, базируются на веб-технологиях. При этом служба управления информационной безопасностью в среднестатистической компании как бы закрывает глаза на то, что приобретаемое решение может содержать уязвимости. Более того, из опыта проводимых работ, больше половины ИБ подразделений в российских компаниях даже не подозревают, кто ответственен за внешний, официальный сайт компании, не говоря уже о том, кто занимается его безопасностью. Потому веб-приложения и взламывают на потоке.

Позитивный ASV



Как Positive Technologies миксуя пентесты сканирование PCI DSS ASV проходил. Подробности - http://ptresearch.blogspot.com/2011/09/asv-vulnerabilities.html

Уязвимости Web - сложные случаи


Продолжая позитивные вебинары, на этой неделе Юрий Гольцев, эксперт по ИБ компании Positive Technologies затронет тему уязвимостей в веб-приложениях. Будут рассмотрены следующие темы:

  • уязвимость HTTP Verb Tampering;
  • фрагментированные SQL инъекции;
  • уязвимость HTTP Parameter Pollution;
  • использование обратимого шифрования.
Вебинар будет проходить в формате мастер-класса с практическими заданиями и расширенной теоретической частью. Участник получит навыки обнаружения и эксплуатации сложных уязвимостей веб-приложений.

Зарегистрироваться

LFI over PHPinfo


Где-то с год назад парни с форума rdot.org раскручивали самый красивый вектор проведения Local File Including (LFI). Суть метода заключается в пробросе нагрузки в теле загружаемого файла и обращении к нему в момент, когда файл еще содержится во временном каталоге PHP, пути к которому обычно заранее известны. Таким образом предложенный вектор LFI может использоваться даже в тех случаях, когда другие методы не работают. Если бы не одно НО!

Изучая энтропию возможных значений при генерации имени временного файла исследователи пришли к выводу, что вероятность подбора этого имени стремиться к нулю и не может быть использована на практике. После этого, было предложено вполне логичное решение. Раз подобрать случайное имя файла не удается, его можно подсмотреть. А где его можно увидеть? Например, в тестовом выводе информации об окружении phpinfo(). И понеслось...

Ознакомиться с первоисточником можно по этой ссылке. Исследования Brett Moore (благодаря которому эта информация спустилась в паблик) доступны здесь.