Kilka prezentacji z tegorocznej konferencji OWASP AppSec, które moim zdaniem warto przejrzeć:
Aktualizacja (17 maja): Wbrew temu, co twierdzi większość serwisów informacyjnych, raport pracowników Google nie stwierdza, że 10% stron internetowych zawiera malware. Liczba ta dotyczy 450 tysięcy z 4,5 miliona stron, które zostały wybrane jako podejrzane podczas wstępnej selekcji. Faktyczna liczba badanych stron była znacznie większa - a więc szkodliwe jest nie 10%, ale ułamek promila.
Na stronie HotBots udostępnione zostały materiały z tegorocznych warsztatów poświęconych botnetom. Na szczególną uwagę zasługuje The Ghost In The Browser. Analysis of Web Based Malware, przygotowany przez pracowników Google. Przedstawia on najpopularniejsze metody rozprzestrzeniania złośliwego oprogramowania poprzez strony internetowe:
Zwłaszcza ostatni punkt jest niepokojący, ponieważ tego typu narzędzia skryptowe są bardzo powszechne. Jako ciekawostkę autorzy podają fakt, że jeden z obserwowanych skryptów statystyk funkcjonował poprawnie przez cztery lata, zanim przekształcił się w złośliwy kod. To cenne ostrzeżenie dla wszystkich serwisów wykorzystujących jakiekolwiek skrypty z zewnętrznej domeny, a zwłaszcza te mniej zaufane niż Gemius czy Google Analytics.
Złośliwe strony wykorzystują JavaScript również do rozpoznania oprogramowania stosowanego przez ofiarę, i serwowania na tej podstawie odpowiedniego exploita. Demo narzędzia realizującego podobne zadanie można znaleźć tutaj
Zainteresowanym tą tematyką polecam pełny tekst: The Ghost In The Browser. Analysis of Web Based Malware.
Od niedawna na Amazon można zamówić niedostępną jeszcze książkę Cross Site Scripting Attacks: Xss Exploits and Defense, poruszającą tematykę zaawansowanych ataków XSS. Spis treści i próbny rozdział można ściągnąć z ha.ckers.org.
Lista autorów jest imponująca:
Spis treści wygląda znajomo dla każdego, kto zagląda na sla.ckers.org, chociaż pojawia się też kilka tematów nie poruszanych na tym forum. Zaskoczyło mnie, że tak skromna część poświęcona jest obronie przed XSS - moim zdaniem to temat wart przynajmniej kolejnych pięćdziesięciu stron.
Dostępny do ściągnięcia rozdział został wybrany nieprzypadkowo. Zawiera opis kilku z najciekawszych metod ataków: anti-DNS-pinning, wykorzystanie mhtml-redirect, ataki z wykorzystaniem innych protokołów - tematy jeszcze niedawno bardzo gorące w “społeczności XSS”.
Książka zapowiada się bardzo ciekawie, ale przypuszczam, że w Polsce się nie ukaże, podobnie jak wiele równie wartościowych pozycji. Zainteresowanych zapraszam do serwisu Amazon.
Przykład do Holes in most preg_match() filters Stefana Essera:
Praktyczne wykorzystanie tego typu błędu, jeśli nie korzystamy z modyfikatora “m”, jest mało prawdopodobne, ale w pewnych okoliczościach może prowadzić do poważnych konsekwencji. Dla pewności warto wykorzystać modyfikator D (mało znany, bo nieobecny w Perlu) lub \A i \z zamiast ^ i $.
