03 Sep 07 Google Hacking: wyszukiwanie nietypowych plików

Metoda na wyszukiwanie nietypowych zasobów w określonej domenie:
site:example.com filetype:* -filetype:htm -filetype:html

Na pierwszej stronie wyników pojawia się zazwyczaj sporo plików .php, więc te również można usunąć:
site:example.com filetype:* -filetype:htm -filetype:html -filetype:php

Jeśli teraz w wynikach przeważają pliki pdf, wówczas:
site:example.com filetype:* -filetype:htm -filetype:html -filetype:php -filetype:pdf
…i tak dalej.

Nic rewolucyjnego, ale efekty są czasem ciekawe.

19 Aug 07 Framework niekoniecznie bezpieczniejszy

Wielokrotnie słyszałem opinię, że korzystanie z gotowych frameworków PHP rozwiązuje podstawowe problemy z bezpieczeństwem aplikacji. Jest w niej dużo racji, zwłaszcza jeśli chodzi o proste projekty tworzone przez niekoniecznie zaawansowanych programistów. Trzeba jednak pamiętać, że wykorzystanie obcego kodu wiąże się z jego jawnością dla potencjalnych atakujących, oraz że nie każdy framework jest tworzony z myślą o bezpieczeństwie.

Nie korzystam na co dzień z takich rozwiązań, zetknąłem się jedynie z Cake, Symfony i CodeIgniter - a okazję, by przyjrzeć się dokładniej, miałem tylko przy tym ostatnim. Z trzech wspomnianych CodeIgniter jest zresztą (moim zdaniem) najbardziej czytelny i najłatwiejszy do analizy. Efektem tego przeglądu było kilka poprawek, które trafiły do wersji 1.5.4.

W trakcie bardzo krótkiej korespondencji na temat zgłoszeń odniosłem wrażenie, że twórcy CodeIgnitera nie przypisują frameworkowi odpowiedzialności za bezpieczeństwo aplikacji. Ma on być ułatwieniem, ale programista nadal musi sam wprowadzić odpowiednie dla danej funkcjonalności zabezpieczenia. Ciekaw jestem, czy to podejście jest podobne w przypadku innych popularnych frameworków. Tak czy inaczej, warto przeanalizować taki kod przed zastosowaniem w poważniejszym projekcie.

13 Aug 07 MKS atakuje

Mniej więcej pół roku temu ktoś wymachiwał w sieci próbą ataku XSS o takiej treści: <script src=”http://download.mks.com.pl/lab/test.js”></script>:

Dzisiaj przeglądając korespondencję (66 dni offline - koszmar), trafiłem jeszcze raz na informację o tym skrypcie. Z ciekawości zajrzałem: http://download.mks.com.pl/lab/, mając nadzieję na więcej informacji na temat ataków sprzed pół roku. Zamiast tego - niezbyt porywające statystyki, i mały bonus:

Ups, nie wyszło… To może w ten sposób?

19 May 07 OWASP AppSec 2007

Kilka prezentacji z tegorocznej konferencji OWASP AppSec, które moim zdaniem warto przejrzeć:

• Testing Flash Applications - Stefano Di Paola nt. Cross Site Flashing
• Advanced Web Hacking - Petko D. Petkov
• ModSecurity Core Rule Set - Ofer Shezaf

17 May 07 XSSed.com

XSSed.com to serwis, którego użytkownicy mogą rywalizować w poszukiwaniach podatności na XSS w popularnych serwisach. Ciekawy jest sposób punktacji - każda załatana luka jest premiowana, co prawdopodobnie ma zachęcić do zgłaszania swoich odkryć twórcom dziurawych stron.