И снова о SQL инъекции. Сегодня получил по почте очередной вопрос по SQL Injection и PHP. Автор письма интересовался, базовыми вопросами этой темы, о чем уже много раз писалось. Например, на своем англоязычном блоге я описывал эту тему в заметке SQL Injection and PHP, которую написал уже давным давно.
В принципе, инъекция ведь не принадлежит языку программироваиня сценариев, это больше проблема SQL языка. Код, который пишет программист, в данном случае на PHP, только определяет какие-то механизмы защиты от инъекции злобного кода. И это тоже было описано в вышеобозначенной статье. Если нет проблем с английским и кто-то забыл эту тему, то следует обязательно прочитать. Пусть там в основном общие слова, но это необходимые основы безопасности.
Кстати, там же на блоге я описывал и реальный пример ошибки в заметке про SQL Injection на сайте newspaperads.com
Сегодня нашел интересное высказывание на форуме сикула.ру:
Знаю лично одного хакера Михаил Фленов ( бывал на его на конференциях когда он в Москву приезжал презентовать свои книги, ну молодой ешо, а знает до хера, все распространеные хакинг атаки). в общем как я понял , надо быть больным на голову шоб посвятить всю жизнь только ОБУЧЕНИЮ ХАКИНГУ.
Я в Москву никогда не приезжал презентовать свои книги, интересно, кто это сделал за меня? :) Надеюсь, что презентация прошла удачно. Единственная презентация была в Питере почти три года назад и после этого ни разу нигде я не появлялся для продвижения книг. Интересно узнать, действительно ли были такие конференции в Москве или других городах, где лично был Фленов Михаил? Может у кого фотки сохранились?
Где-то месяц назад мой хостинг взломали и настроили перенаправление на явно вредоностное ПО под меткой антивируса. Оказывается, что не я один был таким и взломов было множество, даже на Microsoft.com. Вот отрывок новости с секлаба за сегодна:
Например, по запросу «Microsoft Office 2002 download» поисковик Google разместил на первое место ссылку на механизм перенаправления на сайте Microsoft. Пользователи, которые выбрали первую ссылку из результатов поиска, были перенаправлены на злонамеренный сайт, где злоумышленники пытались заставить пользователей скачать и установить поддельный антивирус.
ОС и Софт стали надежнее и безопаснее. Именно к такому заключению пришли аналитики недавно и безопасный софт теперь встретить намного проще. Не могу не согласиться, тем более, что безопасность стала намного выше, потому что это уже не просто слова или дань моде, а это необходимость и серьезное конкурентное преимущество. Если раньше основным преимуществом была простота и это прочувствовали в Microsoft, благодаря чему и захватили большую часть домашнего рынка, то теперь главным преимуществом становится безопасность, а на простоту пользователи готовы закрыть глаза. Именно безопасностью теперь компания пытается удержать завоеванные позиции.
И вот тут примечательным является движение компаний. Корпорация Майкрософт мало чего изобрела революционного, но она делает свое дело хорошо, стремясь стать лучшей. Не всегда получается, но тенденция есть. Не знаю, кто и кого побуждает к безопасности, но все сейчас стремятся к защите.
Благодаря вспышке от TechNet я наткнулся на следующую заметку одного из сотрудников Microsoft. Новый взгляд на уязвимости. Я не буду говорить, что кто-то кого-то обманывает и не хочу, чтобы сейчас здесь начались выяснения, кто безопаснее - Linux или Windows. В заметке приводятся цифры и цифры независимого источника, на которые Microsoft не влияла, поэтому просто смотрим и делаем выводы каждый для себя.
А вот о чем я хочу поговорить - так это о методе учета и аналитики безопасности. Как же такой авторитетный сайт, смог до этого времени вести аналитику по пакетам обновлений? Это же глупо и абсолютно пустые цифры. Всем ясно, что Microsoft для каждой дыры чаще всего выпускает отдельный патч. Тогда нужно было сравнивать патчи обновлений Linux с сервис паками Windows, тогда MS победила бы безоговорочно, потому что выпускает всего по три сервис пака для ОС.
Первая бета версия CyD Network Utilities (Сетевые утилиты) теперь доступна для скачивания. Если тебе скучно, грустно или просто нечего делать, то можешь потратить их, протестировав мой новый проект. Я сам еще не сильно много тестировал, потому что еще не было особо времени и ближайший месяц буду отлаживать и постоянно обновлять проект. Если найдешь какой-то глюк или ошибку, буду рад узнать об этом в комментариях. Буду так же благодарен любым предложениям по улучшению программы, новым возможным функциям и просто пожаланиям удачи, а она в нашем деле конечно же пригодится
Сейчас я перевожу свои проекты на .NET и именно в данный момент полным ходом идет работа над сетевыми утилитами CyD Сетевые утилиты и безопасность. Основная часть модулей перенесена, и сейчас работа кипит над самым сложным и самым интересным модулем - автоматизированной системой поиска уязвимостей на WEB сайтах. Самым интересным тут будут автоматический поиск на SQL инъекцию, XSS уязвимости и инклуд. Работа уже движется к своему завершению, и к концу года я планирую выложить программу в открытый доступ. Те, кто уже купил CyD Network Utilities получат новую версию бесплатно, и окажутся в двойной выгоде, потому что смогут использовать программу на старом движке и на новом. В принципе, тех, кто зарегестрируется до выхода .NET варианта я не смогу лишить такого же удовольствие, так что у всех еще есть время получить этот приятный бонус.
Но я бы не стал писать заметку, только из-за этой новости, потому что она будет висеть на сайте CyD Software Labs, где ей и место. Я завел этот разговор потому, что вчера я завершил написание нового модуля автоматического тестирования на SQL инъекцию и результат мне понравился. Но обо всем по порядку, потому что сам процесс разработки уже был интересным. Автоматизация поиска уязвимостей достаточно интересный процесс и в ближайшее время я перепишу модули поиска файловой инъекции (PHP Include) и поиска XSS уязвимостей.
В интернете появилась информация о том, что найден эксплоит (exploit) для .NET Framework. Я использую этот фреймворк почти каждый день и возлагаю на него большие надежды, поэтому сразу же заинтересовался вопросом. Поски эксплоита меня привели к эксплоиту и его описанию. Достаточно прочитать только это: "The 'exploit' starts with the modification of a framework dll (assembly) from outside the runtime using administrative privileges".
Ну и кто дадумался поднимать панику? Какой же это нафиг эксплоит, который требует административных прав? Тогда и format C: это тоже супер гениальный эксплоит для файловой системы! С правами администратора я могу горы свернуть, они бы еще написали эксплоит, который требует системных прав или уровня ядра!!! Товарищи пытаются создать что-то, при этом абсолютно не понимая, что это такое и как должно выглядеть.
Я думаю, эта проблема связана с слишком доступной информацией. Можно абсолютно не зная даже основ какой-то области хакинга, взламывать сайты с помощью чужих программ. Скрипткидисы наносят наибольший урон серверам и самое страшное - не изучают науку. Я уважаю хакеров, которые пытаются что-то создать, а не только взломать. Я уважаю всех, кто пытается привнести в наш электронный мир что-то новое. Но не могу понять тех, кто только взламывает и не пытается разобраться в сути вопроса.
Недавно на books.ru оставлял комментарий на какую-то книгу и случайно обратил внимание на каптчу (Captcha). В глаза бросилось то, что она нарисована в виде банального текста. Я сначала протер глаза и очки, в надежде, что мне это кажется. Кликаю дважды по каптче, а она выделяется как банальный текст. Я снова не верю глазам и лезу в исходник страницы. Не может быть!!! Captcha действительно лежит в открытом виде и передается от формы к сценарию банальным параметром.
Для чего это делали? Хакеры могут без проблем взломать каптчу и написать программу, которая будет программно загружать страницу, анализировать в поисках секретного кода и передавать его серверу. Так как это легко реализовать программно, то можно без проблем организовать флуд на сервер.
Единственное, от чего спасает такая каптча - от ручного флуда. Пользователь не сможет ручками флудить банальным обновлением страницы. Нужно каждый раз вводить код. Зато любой хакер, который может написать программу, сможет зафлудить сервер по самую крыжечку.
Шли, шли к свободе и пришли к великой русской стене ради нашей безопасности. В Интернете пошли разговоры о том, чтобы построить шлюз между рунетом и остальной сетью. И это предложил президент отечественной ассоциации разработчиков ПО. Для этого за 10 лет может быть написан сетевой экран, а разработка обойдется в несколько сотен миллионов долларов.
Первое, что меня смущает – срок возведения стены. Сколько человек будет заниматься этим? Если бы Agnitum писала свой сетевой экран с такой же скоростью, то она никогда бы не стала одним из заметных игроков на рынке безопасности. Это что же можно разрабатывать и внедрять столько времени? Это не просто уже шлюз, защита или безопасность, это великая Китайская стена в интернете получается.
Расходы тоже как всегда с размахом. Допустим, что потратят всего 200 миллионов на разработку и внедрение. Если один сотрудник (программист, администратор, внедренец и другие) будет получать 5 000 долларов в месяц, то один человек скушает за 10 лет 600 тысяч долларов. А что вы хотели, программирование очень дорогое удовольствие даже в нашей стране, поэтому компании любят использовать сообщества OpenSource программистов в своих целях для удешевления разработки.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
