agregator rss

Antyterroryzm w sieci

MSWiA - 2 godziny 4 min. temu
Ruszył portal antyterroryzm.gov.pl. Inicjatorami strony internetowej są Agencja Bezpieczeństwa Wewnętrznego oraz Ministerstwo Spraw Wewnętrznych i Administracji. Portal powstał na bazie rekomendacji przygotowanych na forum zespołu zadaniowego - stałej grupy eksperckiej działającej przy Międzyresortowym Zespole ds. Zagrożeń Terrorystycznych.
Kategorie: Ministerstwa, Polskie RSS

Cyberprzęstępcy wyłudzają dane na "Zespół Goole"

SecurityStandard - 3 godziny 55 min. temu
Posiadacze kont Gmail muszą mieć się na baczności. Cybeprzestępcy rozpoczęli profesjonalnie wykonaną akcję phishingową i próbują wyłudzić dane logowania użytkowników.
Kategorie: Polskie RSS, Security

Cookie Expiration

Ha.ckers.org - 5 godzin 43 min. temu

14 posts left…

Day 1 at the OWASP conference in Irvine. Lots of good people here, and tons of good conversations. Talking with Jeremiah from Whitehat and Sid Stamm from Mozilla reminded me that I wanted to talk about cookie expiration. I’m only talking for myself here, and not the average user - but I really dislike the concept of persistent cookies. If I wanted something to persist, I wouldn’t use sandboxes, and violently and regularly clean my cookies by hand. Yet still - cookies persist way too long. Realistically there’s two types of attacks that involve the persistence of cookies. The first is a drive by opportunistic exploit - let’s say you’re on a porn site and it forces your browser to visit MySpace or Facebook and because you’re probably logged in, boom, your compromised via CSRF or clickjacking or whatever. The second is where the attacker knows you’re logged in because they’re attacking you through the very platform that they intend to compromise (likejacking is a good example).

Although we can’t do much about the second case, the first case it comes down to cookie expiration in large part. Why should a browser hold onto a cookie just because the site told it to? If I’m not actively sending requests to the site in question there’s a good chance I don’t want my browser to send cookies after X amount of time. In my case, X is probably an hour or two max (considering I take lunches). Maybe some people would argue that they don’t want to be hassled by typing their webmail password in more than once per day. Okay, fine, but the point is the magic number probably isn’t once every two weeks, or once a month or once every 20 years, for most security people (I’d hope). So perhaps we need to consider a default mechanism for timing cookies out when they’re not actively being sent to the server, regardless of what the server wants. Incidentally, Sid thinks this would make a good addon. Takers?

Kategorie: Security, WebSec

Historical OSINT: Celebrities Death, Fedex Invoices, Office-Themed Malware Campaigns

Dancho Danchev - śr., 2010-09-08 21:50
As promised, this would be a pretty short historical OSINT post -- catching up is in progress -- detailing the structure of several campaigns that took place throughout July-August, 2010, and (as always) try to emphasize on the connection with historical malware campaigns profiled on my personal blog. Campaigns of notice include: spamvertised "Celebrities death-themed emails", "Fedex shipment
Kategorie: Security

Виявлення похаканих сайтів в логах

Websecurity.com.ua - śr., 2010-09-08 21:46

Свої логи я регулярно досліджую і виявляю атаки (сотні атак щодня), які відбуваються на мій сайт. І з моменту запуску мого сайта в липні 2006 року, кількість щоденних атак постійно зростає. Зокрема відбуваються і RFI атаки. Хоча в мене на сайті немає і ніколи не було RFI дір , але такі атаки щоденно відбуваються.

За звичай для RFI атак (на PHP-додатки) використовуються скрипти, що розміщенні на інших сайтах. І це похакані сайти, які використовуються для атак на інші сайти (в тому числі й на мій). Нападники їх використовують для того, щоб не світити власними сайтами - вони взламують одні сайти, розміщують на них скрипти, а потім атакують інші сайти з використанням цих скриптів.

І в мене в логах таких похаканих сайтів увесь час є чимало. В основному це іноземні сайти, але сьогодні, досліджуючи логи, я виявив і українські сайти. Тому я вирішив почати використовувати свої логи як джерело похаканих сайтів в Уанеті . На додачу до інших джерел, що я використовую для дослідження безпеки Уанету, зокрема до розробленої мною в 2008 році методики пошуку похаканих сайтів.

Похакані сайти в Уанеті:

  • http://injek.at.ua (хакером Casper_Kae) - 10.08.2010
  • http://www.stomatformula.com.ua (хакером FeeLCoMz) - 04.09.2010

Файли, що використовуються для RFI атак:

http://injek.at.ua/e107id1.txt
http://www.stomatformula.com.ua/includes/domit/a

Проблема з перевіркою сертифікатів у багатьох браузерах

Websecurity.com.ua - śr., 2010-09-08 19:35

Виявлена проблема з перевіркою сертифікатів у багатьох браузерах.

Уразливі продукти: Microsoft Internet Explorer 6, 7 і 8 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server та Windows 7, Mozilla Firefox 3.6, Nokia QT 4.7.

Дозволено маски в сертифікатах по IP-адресам.

  • Multiple Browser Wildcard Cerficate Validation Weakness (деталі)

Konferencja: Wiedza - władza!

Vagla - śr., 2010-09-08 19:20
» 2010-09-28 10:00 « 2010-09-28 14:00 strefa czasowa:Etc/GMT+2

Pozarządowe Centrum Dostępu do Informacji Publicznej zaprasza na konferencję „Wiedza - władza! Aktywne informowanie - doświadczenia i perspektywy”. Konferencja ta będzie podsumowaniem Tygodnia Informacji Publicznej 2010. Rzeczywiście: Termin konferencji zbiega się z pracami Ministerstwa Spraw Wewnętrznych i Administracji dotyczącymi wdrożenia Dyrektywy o ponownym wykorzystaniu informacji publicznej, co znacząco wpłynie na kształt nowelizowanej ustawy o dostępie do informacji publicznej.

czytaj dalej

Kategorie: Ministerstwa, Polskie RSS, Prawo

GUS zbiera dane do spisu rolnego przez swoje Call Center

Publicstandard.pl - śr., 2010-09-08 17:30
Dzisiaj (8 września br.) rozpoczął się kolejny etap Powszechnego Spisu Rolnego 2011. Wywiadami telefonicznymi, uzupełnieniem ankiet i udzielaniem informacji zajmą się ankieterzy centrum kontaktowego GUS. Zakończyło się właśnie wdrożenie specjalistycznego systemu wspomagającego pracę ankieterów w call center Głównego Urzędu Statystycznego.
Kategorie: Polskie RSS, Prawo

Добірка уразливостей

Websecurity.com.ua - śr., 2010-09-08 17:24

В даній добірці уразливості в веб додатках:

  • Multiple Remote Command Execution vulnerabilities on Avaya Intuity Audix LX (plus some client-side bugs) (деталі)
  • XSS vulnerability in Scribe CMS (деталі)
  • XSS vulnerability in Scribe CMS (деталі)
  • CMS RedAks 2.0 - SQL injection vulnerability (деталі)
  • XSS vulnerability in Scribe CMS (деталі)
  • Check Point Connectra R62 Login Script Injection Vulnerability (деталі)
  • Stored XSS vulnerability in synType CMS comment text field (деталі)
  • XSS vulnerability in the search module of synType CMS (деталі)
  • CSRF in PHPWCMS 1.4.5 (деталі)
  • Apple Safari 4.0.3 null pointer reference (деталі)

Ofiary cyberprzestępców czują się winne. I słusznie

SecurityStandard - śr., 2010-09-08 14:12
65% internautów z całego świata padło ofiarą jakiejś odmiany cyberprzestępstwa - wynika z raportu przygotowanego przez firmę Symantec. Co ciekawe, ponad połowa poszkodowanych przyznaje, że stało się to przynajmniej częściowo z ich winy.
Kategorie: Polskie RSS, Security

Rozmowy o mniejszościach narodowych i etnicznych w Polsce

MSWiA - śr., 2010-09-08 14:00
15 września br. w Lublinie rozpoczyna się międzynarodowa konferencja o mniejszościach narodowych i etnicznych w Polsce i w Europie. Potrwa trzy dni. W otwarciu konferencji udział weźmie Jerzy Miller minister spraw wewnętrznych i administracji. W trakcie konferencji zostaną poruszone kwestie mniejszości narodowych i etnicznych z perspektywy prawa, historii, socjologii i kulturoznawstwa.
Kategorie: Ministerstwa, Polskie RSS

„Razem bezpieczniej” w Tarnobrzegu

MSWiA - śr., 2010-09-08 09:00
Ministerstwo Spraw Wewnętrznych i Administracji organizuje dzień pełen atrakcji dla dzieci z dwóch tarnobrzeskich szkół podstawowych, które ucierpiały podczas majowej i czerwcowej powodzi. Dodatkowo w mieście zostanie otwarte kolejne w Polsce Miasteczko Ruchu Drogowego.
Kategorie: Ministerstwa, Polskie RSS

Уразливості на bezpeka.kr.ua

Websecurity.com.ua - wt., 2010-09-07 22:54

У квітні, 18.04.2010, я знайшов Insufficient Anti-automation, Denial of Service та Full path disclosure уразливості на сайті http://bezpeka.kr.ua (це онлайн магазин, що продає секюріті товари). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на citycom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Пошкодження пам’яті в Google Chrome

Websecurity.com.ua - wt., 2010-09-07 21:46

Виявлена можливість пошкодження пам’яті в Google Chrome.

Уразливі версії: Google Chrome 6.0.

Пошкодження пам’яті при обробці подій пов’язаних з фокусом.

  • Google Chrome Focus Processing Memory Corruption Vulnerability (деталі)

Deklaracja WD12 w sprawie ACTA zyskała większość w Parlamencie Europejskim

Vagla - wt., 2010-09-07 18:54

W tekście Zakończono szwajcarską rundę negocjacji ACTA sygnalizowałem fakt "zbierania" wśród eurodeputowanych podpisów pod "Oświadczeniem pisemnym w sprawie braku przejrzystego procesu i potencjalnie budzącej zastrzeżenia treści w odniesieniu do umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi (ACTA)". To oświadczenie funkcjonuje w świadomości niektórych internautów jako "Deklaracja WD12". Zainteresowani tematem prawdopodobnie chętnie odnotują, że pod oświadczeniem zebrano 369 podpisów, co oznacza, że deklaracja będzie uznana za przyjętą przez Parlament Europejski.

czytaj dalej

Kategorie: Ministerstwa, Polskie RSS, Prawo

Інфіковані сайти №43

Websecurity.com.ua - wt., 2010-09-07 18:28

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://beesoft.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://skachat-besplatno.com.ua - інфекція була виявлена 14.07.2010. Зараз сайт не входить до переліку підозрілих.
  • http://goodgirlsbadguys.com - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://minus-mp3.ucoz.ua - інфекція була виявлена 28.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://grandlog.com.ua - інфекція була виявлена 06.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт skachat-besplatno.com.ua також хостить в себе Укртелеком.

Уразливості на cuckoosegg.com

Websecurity.com.ua - wt., 2010-09-07 14:04

19.05.2009

У травні, 17.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://cuckoosegg.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

07.09.2010

SQL Injection:

http://cuckoosegg.com/akmaagb/index.php?action=jump&id=-1%20union%20select%20version()

Full path disclosure:

http://cuckoosegg.com/akmaagb/config.inc.php

Information Leakage:

http://cuckoosegg.com/akmaagb/index.php

В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.

Дані уразливості досі не виправлені.

Зазначу, що в той же день, як знайшов уразливості, я лагідно похакав даний сайт, щоб безпосередньо на сайті повідомити адміна про дірки на його проекті. Але він проігнорував мої повідомлення і до сих пір їх не виправив.

PDF XSS (CVE-2010-0190)

Billy Rios - wt., 2010-09-07 04:57

In April of this year, Adobe patched a couple of bugs I reported to them.  One was a code execution bug (CVE-2010-0191) and the other was a PDF based XSS (CVE-2010-0190).  I’ll cover the code execution bug in a future post (as Adobe is still fixing a variant I reported), but for now I’d like to touch on the PDF XSS.

PDF based XSS isn’t a new concept, even Adobe considers PDFs to be active content.  With that said, I’m surprised at the number of web applications that allow users to upload PDFs and then serve those PDF’s inline as opposed to an attachment (although there are some gotchas with content-disposition attachment).  Serving a user supplied PDF inline essentially allows that user to execute arbitrary client side code from the domain serving the PDF.  The safer way to handle PDFs is to serve them with the content-disposition set to attachment.  An even better method is to serve the user controlled content from a separate domain.  This can be difficult for web content portals that are deployed internally like SharePoint, Outlook Web Access (OWA) and Oracle Web (all of which were affected by this bug) where the organization would have to write custom code and employ custom configurations to protect themselves from PDF based XSS exposures.  Serving PDFs with a content disposition set to attachment also creates usability issues as an ugly download warning will appear instead of the more friendly PDF content in the browser window behavior.

Although this particular bug was patched by Adobe a few months ago, there were a few things I learned that could possibly be used in other PDF bugs.  I’d like to share some of the more interesting items.

PDFs Support Octal Encoding

PDFs support  JavaScript from within the PDF.  Unfortunately, the script executed from within the PDF will not have access to the browsers DOM.  In order to gain access to the browser’s DOM, we have to use the PDF to redirect the browser to a JavaScript URI.  Normally, redirection to JavaScript URIs are blocked by the PDF security routines, however I discovered an easy bypass using octal encoding.  I place the JavaScript payload into an OpenAction for the PDF, using an octal encoded value (\72) for the “:” character.  An example of the OpenAction is presented below:

%PDF-1.1
1 0 obj
<<
/Type /Catalog
/OpenAction <<
/S /URI
/IsMap false
/URI (javascript\72alert(“FTW – “+document.domain))
>>

A super simple XSS with PDFs.  When the PDF is opened in the browser, it redirects the browser to a JavaScript URL allowing for XSS.  Mailing out a rigged PDF as an attachment to some friends using OWA would have been an interesting exercise as certain versions of OWA open PDF attachments inline.  Although I encoded the “:” character in the example above, any character in passed to the OpenAction can be encoded and Adobe Reader will handle it.  In fact, octal encoding can be used throughout the PDF in various scripts and actions.  For example, you could encode the entire protocol handler and it would still work:

/URI (\112\101\126\101\123\103\122\111\120\124\72alert(document.domain))

You can even mix and match the encoding, making it extremely difficult for any signature based IDS to detect malicious payloads.

/URI (j\101v\101s\103r\111p\124\72alert(document.domain))

If you’re up against a security blacklist when attempting to exploit a PDF bug, try passing an octal encoded value for your payload.  This was the bug Adobe fixed with CVE-2010-0190

Security models are different for local and remote PDFs

Like most browser plug-ins Adobe has implemented different security mechanisms for PDFs opened from the local file system and PDFs opened remotely.  It can be useful to determine whether the PDF was opened remotely or locally.  The following script returns an indication as to how the PDF was loaded.

//In the browser or loaded locally
if ( this.external )
{
// Viewing from a browser
}
else
{
// Viewing in the Acrobat application.
}

This can be useful if your exploit only works for locally loaded PDFs or maybe if your exploit only works for remotely loaded PDFs.

PDFs can be used to call the default browser

There can be situations where the user browses certain websites with one browser, but uses another browser as their default browser.  Adobe Acrobat Reader actually provides an API (I’m not sure if it’s intentional) to pass a URI to the default browser.

app.launchURL(“http://xs-sniper.com/”,true);

If a user calls app.launchURL and passes the “true” flag, the default browser is opened and handles the passed URI.  This can provide a bridge between two different browsers and can increase the reachable attack surface in some circumstances.  If the user is using the default browser to open the PDF, this can help bypass pop-up blockers.  You can test this by setting your default browser to IE and browsing the following PDF in FireFox.  PDF HERE

There was an excellent presentation at PacSec that covered a ton of PDF bugs and Didier Stevens always has interesting PDF stuff.  I hope this helps someone out there!  Happy hunting.

Kategorie: Security, WebSec

Krótko: MSZ będzie miało elektroniczny obieg dokumentów

Publicstandard.pl - pon., 2010-09-06 18:18
System będzie wspierał wszystkie procesy działające w Ministerstwie i podległych mu placówkach dyplomatycznych na całym świecie Projektem i wdrożeniem systemu zajmie się firma Comarch. Wartość podpisanego kontraktu wynosi ponad 15 mln zł.
Kategorie: Polskie RSS, Prawo

Apple miał dwa miesiące na załatanie krytycznego błędu

SecurityStandard - pon., 2010-09-06 15:58
Ruben Santamarta, hiszpański specjalista ds. bezpieczeństwa, opublikował kilka dni temu informację o poważnym błędzie w zabezpieczeniach aplikacji Apple QuickTime. Niektórzy komentatorzy skrytykowali go za to, że nie dał producentowi aplikacji czasu na usunięcie błędu - teraz jednak okazało się, że Apple wiedział o problemie już od co najmniej dwóch miesięcy.
Kategorie: Polskie RSS, Security
Subskrybuj zawartość