runic.pl
Bezpieczeństwo aplikacji internetowych

Cross Site Scripting Attacks: Xss Exploits and Defense

[04-05-2007]

Od niedawna na Amazon można zamówić niedostępną jeszcze książkę Cross Site Scripting Attacks: Xss Exploits and Defense, poruszającą tematykę zaawansowanych ataków XSS. Spis treści i próbny rozdział można ściągnąć z ha.ckers.org.

Lista autorów jest imponująca:

  • Jeremiah Grossman (były oficer bezpieczeństwa Yahoo, obecnie CTO WhiteHat Security)
  • Robert Hansen (RSnake z ha.ckers.org)
  • Petko D. Petkov (pdp z gnucitizen.org)
  • Anton Rager (autor XSS-Proxy)
  • Seth Fogie

Spis treści wygląda znajomo dla każdego, kto zagląda na sla.ckers.org, chociaż pojawia się też kilka tematów nie poruszanych na tym forum. Zaskoczyło mnie, że tak skromna część poświęcona jest obronie przed XSS – moim zdaniem to temat wart przynajmniej kolejnych pięćdziesięciu stron.

Dostępny do ściągnięcia rozdział został wybrany nieprzypadkowo. Zawiera opis kilku z najciekawszych metod ataków: anti-DNS-pinning, wykorzystanie mhtml-redirect, ataki z wykorzystaniem innych protokołów – tematy jeszcze niedawno bardzo gorące w „społeczności XSS”.

Książka zapowiada się bardzo ciekawie, ale przypuszczam, że w Polsce się nie ukaże, podobnie jak wiele równie wartościowych pozycji. Zainteresowanych zapraszam do serwisu Amazon.

0 Comments

Wstrzykiwanie \n w preg_match()

[03-05-2007]

Przykład do Holes in most preg_match() filters Stefana Essera:

Praktyczne wykorzystanie tego typu błędu, jeśli nie korzystamy z modyfikatora „m”, jest mało prawdopodobne, ale w pewnych okoliczościach może prowadzić do poważnych konsekwencji. Dla pewności warto wykorzystać modyfikator D (mało znany, bo nieobecny w Perlu) lub \A i \z zamiast ^ i $.

5 Comments

Uwaga na grafikę i MP4

[01-05-2007]

W ciągu ostatnich kilku dni w sieci pojawiły się exploity wykorzystujące niezałatane dotąd luki w Winampie (pliki MP4), Photoshopie (BMP/DIB/RLE i PNG), GIMPie (RAS) oraz IrfanView (IFF). Pliki te mogą być ukryte pod innymi rozszerzeniami, więc warto zachować ostrożność przy otwieraniu niezaufanych plików graficznych i dźwiękowych.

2 Comments

Jak radzić sobie z zapomnianym hasłem

[01-05-2007]

Logujemy się po kilku tygodniach przerwy do jakiegoś serwisu społecznościowego. Chyba pamiętamy hasło. Okazuje się, że przy pierwszej próbie nie udało się zalogować. Pewnie zrobiliśmy literówkę, więc próbujemy ponownie – ale nadal nic. Może to jednak było inne hasło? Próbujemy kolejne: z bloga, z konta pocztowego, z banku… Przesyłamy je w nieszyfrowanej postaci, a na dodatek do niezaufanego serwisu.

Jak uniknąć tej sytuacji?

  • Jeżeli zapomnieliśmy hasła, lepiej wykorzystać mechanizm przypomnienia dostępny w serwisie, niż próbować wszystkie hasła po kolei. Nie dotyczy to kont pocztowych – w ich przypadku warto już przy rejestracji zablokować przypomnienie, a hasło dobrze zapamiętać.
  • Nie używać w niezaufanych serwisach takich haseł, które są dla nas istotne. Hasła do banku czy konta pocztowego powinny być unikalne. Jeśli mamy problem z zapamiętaniem wielu haseł, możemy niektóre zapisać na karteczce schowanej np. w portfelu lub dokumentach – są to miejsca dobrze przez nas strzeżone. Najlepiej nie zapisywać haseł na papierze w czystej postaci, ale zamiast tego podpowiedź lub pierwsze kilka znaków. Można też dorzucić parę nadmiarowych liter, jeśli będziemy pamiętać, że nie należą do hasła (np. co drugi znak).
  • Warto wykorzystywać mechanizmy automatycznego zapamiętywania haseł w przeglądarce, ale wyłącznie do mniej ważnych serwisów. Nie należy zapisywać w przeglądarce istotnych haseł. W ten sposób odciążymy swoją pamięć, nie zmniejszając jednocześnie bezpieczeństwa konta pocztowego lub bankowego.
  • Jedną ze sztuczek, która pozwala szybko zapamiętywać nowe hasło, jest ustawienie go na kilkanaście dni w logowaniu do domowego komputera (lub w wygaszaczu ekranu).
2 Comments

XSS Warning

[30-04-2007]

XSS Warning to rozszerzenie do Firefoxa chroniące użytkownika przed atakami XSS typu reflected. Projekt dopiero raczkuje, ale może być interesujący. Znacznie bardziej rozbudowane możliwości daje NoScript. Chociaż wymaga przynajmniej kilku dni oswajania się z nowym zachowaniem przeglądarki i odwiedzanych stron, to jednak zdecydowanie warto.

0 Comments
« Poprzednie
Następne »

Blog