存档

‘Web安全’ 分类的存档

Web应用程序漏洞——比看起来更加危险

2013年7月8日 没有评论

原文:PHDays活动资料

翻译:李天星(Leo)

如果计划针对企业的信息基础设施进行攻击的话,网络罪犯会首先研究其web应用程序。这些资源不仅很容易获得,而且存在一系列的漏洞,通过挖掘还有可能访问到企业网络和关键位置。例如,ICS/SCADA或者ERP。

在2012年,作为安全隐患审计和渗透测试的一部分,Positive Technology的专家审查了几十家企业客户和合作伙伴的web应用程序,包括:移动运营商的自助服务门户,网上银行系统,信息资源等等。所获得的信息将作为研究基础,精简版资料会在本文中提供。下一页我们将会分析银行应用程序漏洞,我们将指出最严重的web威胁,其触角伸到了电信公司、企业、IT和IS公司,我们会将结果和2010、2011年的数据进行对比分析。

漏洞排行榜

在所有已检测过的漏洞中,高危漏洞占有45%。

在2012年中,四分之三的资源(73%)包含指纹识别漏洞(软件分析鉴定)。第二个部分就是允许跨站脚本的漏洞,它在已检测的web应用程序中占63%。

在2010年和2011年10大最常见web资源漏洞里,排名第一的是跨站请求伪造(CSRF),它使得61%的被检测的网络资源会被泄露,而三大漏洞SQL注入(47%)、OS命令(28%)和路径穿越(28%)都在漏洞排行榜的前十位里。

高危漏洞所占的比例在2012年中却有所减少:SQL注入影响的网站有38%,路径穿越的占18%,OS命令占16%。

哪一个更加[……]

阅读全文

利用短信劫持Facebook帐号

2013年6月28日 没有评论

原文:http://blog.fin1te.net/post/53949849983/hijacking-a-facebook-account-with-sms

翻译:童进

这篇文章将演示一个简单的漏洞。利用这个漏洞,无须用户交互即可获取任意Facebook帐号的完全控制权。请看下文。

Facebook允许你将自己的手机号与帐号进行关联。这让你可以通过短信接收更新信息,同时也意味着你可以通过手机号而不是邮件地址进行登录。

漏洞位于“/ajax/settings/mobile/confirm_phone.php”。它接受多个参数,但其中有两个最重要:一个是发送到手机上的验证码,一个是profile_id,就是手机号码的关联账户。

关键问题是,虽然profile_id应该设置为你自己的帐号(显而易见的),但把它修改为目标帐号的值竟不会引起任何错误。

为了利用这个漏洞,我们首先给Facebook在英国的短信服务号32665发送字母F。在回复的短信中,我们可以获取8个字符的验证码。

1

我们把这个验证码输入到密码框中(在这里),并且修改fbMobileConfirmationForm表单中的profile_id元素。

tumblr_inline_mnf6281C5k1qz4rgp

请求提交后会返回成功(HTTP 200)。你会发现__user(与AJAX请求一起发送)的值与我们修改的profile_id不同。

tumblr_inline_mnf62pNrnD1qz4rgp

注意:提交这个请求[……]

阅读全文

WordPress v3.5.1拒绝服务漏洞

2013年6月18日 没有评论

原文:http://vndh.net/note:wordpress-351-denial-service

翻译:裴伟伟(做个好人)

因为近几个月来始终没有对博客做任何更新,所以这里先发布一个我最近发现的WordPress(版本 3.5.1)众多bugs中的一个,这是由WordPress自带加密系统导致的拒绝服务漏洞。WordPress安全团队已经收到了该漏洞的通知,由于此后的一个星期我始终未得到他们的任何答复,所以在这里将我的研究公开。

这个bug有一点点隐蔽,请看下面的源码:

/wp-includes/class-phpass.php

/* 111 */ function crypt_private($password, $setting)
/* 112 */ {
/* 113 */     $output = '*0';
/* 114 */     if (substr($setting, 0, 2) == $output)
/* 115 */         $output = '*1';
/* 116 */
/* 117 */     $id = substr($setting, 0, 3);
/* 118 */     # We use "$P$", phpBB3 uses "$H$" for the same thing
/* 119 */     if ($id != '$P$'[......]

阅读全文

Protection against SQL Injection

2013年6月9日 没有评论

原创:Archer

SQL 注入有很严重的后果。在阅读本文之前,请理解SQL的 DML DDL DCL TCL。依据SQL存在这四类功能,简单总结下通过sql 注入可以完成的任务:

  • 对数据库进行描述。通过结构化描述查询指令,入侵者可以彻底了解数据库结构。虽然国际标准对相关的指令没有进行规划,但是每个数据库都有自己的自描述指令。客户端连接服务器端实际上是利用自解释命令查询数据库结构的。而SQL文件本身就是利用meta信息自描述、自解释,直接得到SQL存储文件一样可以掌握数据库结构。
    Backtrack上运行的SQLMap是分析mysql数据结构的成熟工具。

  • 类似的,可以直接毁坏数据库数据。例如使用DDL的Drop指令,DML的Delete指令。这种情况下,如果被渗透方依赖信息系统、没有备份或application firewall等中间件进行保护,他们就直接可以关门了。

  • 当然最著名的是“脱库”,即database dump。使用select语句就可以进行dump。EMC的RSA机构因为bbs dump和社工的双重攻击(当然离不开爆破),各服务器的管理密码、以及RSA的根证书都被匿名组织盗取。美国数家银行、电商也因为保护不当,用户信用卡资料被dump出来,而被直接罚款到关门。这些都不是虚构的故事。
    可能有人想起上个时代伊朗伪造CA根证书的故事,不过那是个假消息;伊朗历史上发生的伪造CA和银行证书的故事,是典型的碰撞型[……]

阅读全文

分类: Web安全 标签:

如何渗透PayPal(贝宝)用户交易记录系统

2013年6月5日 没有评论

原文:http://www.breaksec.com/?p=6285

翻译:裴伟伟(做个好人)

今天我来介绍一下我之前是如何攻入PayPal记录系统的,这个BUG已经被反馈给了Paypal安全团队并立即得到了修补。

利用这个漏洞,攻击者可以完全访问PayPal的用户交易记录。在这些记录里,你可以找到如下的用户信息:

  • 购物地址
  • 电子邮箱
  • 电话号码
  • 商品名称
  • 购买数量
  • 用户全名
  • 交易号
  • 发票号
  • 交易主体
  • 账户名
  • Paypal参考编号

等等……

首先,在PayPal的用户界面,这里有一个“交易记录”的选项:

reportsopton

通常,用户可以通过这个选项来访问自己购买过的商品记录。

当我点击了交易记录时,我发现程序发送了一个post请求,大概是这个样子 (POST /acweb/iportal/activePortal/viewer/viewframeset.jsp):

businessrequestpost

接下来我又看到了一个路径 (/acweb/iportal/activePortal/viewer/),其中有些部分引起了我的兴趣 (iportal, activePortal)。随即我就谷歌了一下:[……]

阅读全文

分类: Web安全 标签: , ,

叙利亚电子军攻击《洋葱报》启示录

2013年5月27日 2 条评论

原创:裴伟伟(做个好人)

以下是叙利亚电子军(Syrian Electronic Army)攻击《洋葱报》的手记,简而言之,就是叙利亚电子军针对《洋葱报》员工Google Apps账户发起的三次钓鱼攻击。

今年5月3号左右,叙利亚电子军(SEA)通过钓鱼邮件对美国《洋葱报》发起了一次攻击。邮件截图如下:

phish1

图中看似来自华盛顿的链接实际上会链接到“http://hackedwordpresssite.com/theonion.php”,而该链接又会重定向至下面的链接:

http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/

这个链接在跳转到Gmail收件箱时会要求用户输入Gmail账户信息。

这封邮件由《洋葱报》之外的陌生邮箱发送给员工,其中有些员工将这封邮件作为垃圾邮件处理而未点击查看,但仍有至少一名员工被成功钓鱼。

攻击者在获取到这名员工的帐号信息后以该员工的邮件发送同样的钓鱼邮件给更多的员工,发送时间大约是5月6日凌晨2点30分。由于收到来自同事的邮件,许多员工点击了邮件中的链接,其中多数人并未输入自己的账户信息。但仍有两名员工点击链接并授权给该链接,其中一名员工的账户甚至有报社所有人的社交账户信息[……]

阅读全文

黑客技术&非技术趋势报告

2013年5月7日 1 条评论

 原文:http://www.imperva.com/docs/hii_monitoring_hacker_forums_2012.pdf

翻译:章典

一、概述

Imperva分析了最大的著名黑客论坛之一,它拥有大约250000名成员,以及其他小的论坛。我们使用关键词搜索分析了每个主题的内容。发现以下信息:

  • SQL注入攻击与DDoS攻击是现在同样热门的话题,二者皆占到了19%的讨论量。去年SQL注入攻击以19%排名第二,而DDoS以22%位列第一。讽刺的是,我们有理由相信,在软件安全花费的250亿中只有5%的安全预算用到了那些甚至无法识别SQL,更别说阻止其攻击的产品上。我们认为这种不平衡将会纵容黑客们继续学习和部署这种攻击。

  • 如今社交网络成为了黑客们的藏宝洞。社交网络正在成为一种特别突出和丰富的信息源、图片源以及收入源。Facebook是讨论最多的社会媒体平台,占到了39%的话题,而Twitter以37%屈居次席。

  • E-whoring正在成为网络罪犯初学者用来轻松赚钱的最常用方法之一。在一个专门的论坛,我们看到了超过13,000个帖子。E-whoring是一种通过假装成现实的人,用女性图片售卖色情内容的做法。

二、研究方法

Imperva分析了已知最大的黑客论坛之一,其人数将近250000名。Imperva利用论坛成熟的搜索功能,使用大家熟知的“内容分[……]

阅读全文