Ã‘ÂÃ‘Â‚ÃÂ¾ÃÂ¼ - Xakep Online

More documents

Recommendations

Info

60 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ ÑÏÅÖ 02-07çàíèìàþòñÿ áåçîïàñíîñòüþ ïðîåêòà ñïóñòÿ ðóêàâà.Â ñèñòåìå äîñòàòî÷íî äîëãî ñóùåñòâîâàëè ðàáî÷èåXSS-óÿçâèìîñòè, î êîòîðûõ àäìèíèñòðàöèÿáûëà îïîâåùåíà.ïðèìåð ýêñïëóàòàöèè ýòîé óÿçâèìîñòè:http://www.link.ru/?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/adv.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/reklama.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/siteowner.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/contact.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/stats.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/faq.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/?sid=%27%3E%3Cscript%3Edocument.location%3D'http://websecurity.com.ua'%3C/script%3Ewww.context.meta.ua. Ïðèìåð ýêñïëóàòàöèèèìåâøåé ìåñòî óÿçâèìîñòè:http://context.meta.ua/?mode=phrase&phrase=%3Cscript%3Ealert(document.cookie)%3C/script%3Eóÿçâèìîñòè â ïàðòíåðñêîì êîäå. Óïîìÿíóòûåâ ñèñòåìàõ êîíòåêñòíîé ðåêëàìû (procontext.ru è context.meta.ua)XSS-óÿçâèìîñòè íàõîäÿòñÿ â èíòåðôåéñàõñàìèõ ñèñòåì. Íî âîçìîæíû åùå è àòàêè íà ñàéòûó÷àñòíèêîâ äàííûõ ñèñòåì ÷åðåç óÿçâèìîñòè â ïàðòíåðñêîìêîäå, — åñëè ñèñòåìû ïðåäëàãàþò ðàçìåùàòüïàðòíåðñêèé êîä íà ñàéòå, îñîáåííî â ñëó÷àå èíòåãðàöèèðåêëàìû ñ ëîêàëüíûì ïîèñêîì íà ñàéòå. (XSSóÿçâèìîñòèâ êîäàõ ñèñòåì Äèðåêòßíäåêñ è Áåãóí).www.begun.ru. Õîòÿ óÿçâèìîñòü áûëà â êîíòåêñòíîìêîäå Áåãóíà, îíà ñòàâèëà ïîä âîïðîñ áåçîïàñíîñòüêîäà ñàéòîâ-ïàðòíåðîâ, â äàííîì ïðèìåðå— ñàéòà Ðàìáëåðà:http://www.rambler.ru/srch?words=%D2%E5%F1%F2%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3EÝòà óÿçâèìîñòü îòíîñèòñÿ ê òèïó XSS â DOM è ìîæåòáûòü îïàñíà äëÿ âñåõ ïîñåòèòåëåé ñàéòà.http://direct.yandex.ru. Â Äèðåêòßíäåêñå èìåëàìåñòî XSS-óÿçâèìîñòü, ïðè÷åì êàê ñîáñòâåííàÿ(â ñàìîé ñèñòåìå), òàê è óÿçâèìîñòü â êîäå, êîòîðûéèñïîëüçóåòñÿ ñàéòàìè-ïàðòíåðàìè (íà ïðèìåðåñàéòà itnews.com.ua):http://itnews.com.ua/s.cgi?page=2'%3Balert(document.cookie)%3Ba='&q=%F2%E5%F1%F2http://itnews.com.ua/s.cgi?page=2'%3Bdocument.location%3D'http://websecurity.com.ua'%3Ba='&q=%F2%E5%F1%F2ÂÈÄÛ XSS-ÀÒÀÊCross-Site Scripting (òàêæå CSS è XSS)óÿçâèìîñòè â êîíòåêñòå âåáà (âåá-ïðèëîæåíèÿè âåá-ñèñòåìû) — óÿçâèìîñòèíà ñàéòàõ, êîòîðûå ìîãóò ïðèâåñòèê âûïîëíåíèþ çàäàííîãî íàïàäàþùèìêîäà â êîíòåêñòå áðàóçåðà ïîëüçîâàòåëÿ,àòàêîâàííîãî çëîóìûøëåííèêîì.Äðóãèìè ñëîâàìè, ýòî óÿçâèìîñòü â âåáïðèëîæåíèÿõñ íåêîððåêòíî ðàáîòàþùèìèôèëüòðàìè âõîäÿùåé èíôîðìàöèè,êîòîðàÿ íå ïðîâåðÿåòñÿ äîëæíûìîáðàçîì ïåðåä òåì, êàê âåðíóòü ðåçóëüòàòïîëüçîâàòåëþ.Ñðåäè âîçìîæíûõ àòàê íà ïîëüçîâàòåëåéðåêëàìíûõ èíòåðíåò-áðîêåðîâñ ïðèìåíåíèåì XSS ìîæíî âûäåëèòüñëåäóþùèå: ïàññèâíûé XSS, àêòèâíûéXSS è XSS â DOM. Êàæäàÿ èìååò ñâîèîñîáåííîñòè è ïîçâîëÿåò çëîóìûøëåííèêóïðîâåñòè àòàêó íà ó÷àñòíèêà ñèñòåìû,âïëîòü äî çàõâàòà àêêàóíòà.Ïàññèâíûé XSS. Ñàìûé ðàñïðîñòðàíåííûéâèä XSS. Äëÿ óñïåøíîé àòàêèó÷àñòíèê äîëæåí áûòü â ñèñòåìå (è â åãîêóêèñàõ äîëæíà õðàíèòüñÿ èíôîðìàöèÿîá àâòîðèçàöèè). Ïîñëå ýòîãî çëîóìûøëåííèê,ïîäãîòîâèâ ñîîòâåòñòâóþùèéðàáî÷èé XSS-êîä äëÿ óÿçâèìîé ñòðàíèöû,äîëæåí êàêèì-òî îáðàçîì çàñòàâèòüïîëüçîâàòåëÿ ñèñòåìû èñïîëíèòüåãî. Ýòî âîçìîæíî êàê ïóòåì ñîîáùåíèÿæåðòâå (ïî òîé æå àñüêå) «ññûëêè»íà ñòðàíèöó (îñòàíåòñÿ òîëüêî óáåäèòüïîëüçîâàòåëÿ çàéòè íà ýòó ñòðàíèöó),òàê è ðàçìåùåíèÿ «ññûëêè» íà êàêîìòîñàéòå (ïðè ýòîì ìîæíî ñïðÿòàòü èñòèííûéàäðåñ, ÷òîáû ïîëüçîâàòåëü íè-÷åãî íå çàïîäîçðèë). Ïîñëå òîãî êàêæåðòâà, íè÷åãî íå ïîäîçðåâàÿ, ïîïàäåòâ ëîâóøêó, ñðàáàòûâàåò «çëîáíûé»êîä è íàïàäàþùèé ïîëó÷àåò êóêèñ æåðòâûñ àâòîðèçàöèîííîé èíôîðìàöèåé.Ïðè ýòîì æåðòâà ïðîïóñêàåò âñå ìèìîãëàç è óøåé.Ïîñëå ïîëó÷åíèÿ êîíôèäåíöèàëüíûõäàííûõ ñ êóêèñàìè ó÷àñòíèêà ñèñòåìûçëîóìûøëåííèê ìîæåò èñïîëüçîâàòüèõ äëÿ âõîäà â ñèñòåìó ðåêëàìíîãîèíòåðíåò-áðîêåðà îò åãî èìåíè ñ ïîñëåäóþùèìíàíåñåíèåì óùåðáà êàê «îáâîðîâàííîìó»ó÷àñòíèêó, òàê è ñàìîìóèíòåðíåò-áðîêåðó.Àêòèâíûé XSS. Ýòî ìåíåå ðàñïðîñòðàíåííûéâèä XSS. Íî äàííàÿ óÿçâèìîñòüîïàñíåå, òàê êàê ìîæåò íàíåñòèâðåä áîëüøåìó êîëè÷åñòâó ó÷àñòíèêîâè ïðîöåññ òàêîé àòàêè áîëåå óïðîùåííûéïî ñðàâíåíèþ ñ ïàññèâíûì XSS.Çëîóìûøëåííèê, èñïîëüçîâàâ àêòèâíóþXSS-óÿçâèìîñòü, çàíîñèò ïðèãîòîâëåííûéXSS-êîä â áàçó äàííûõñèñòåìû ðåêëàìíîãî èíòåðíåò-áðîêåðà.È äàëåå åìó íå íóæíî ìîðî÷èòü ñåáå ãîëîâóçàìàíèâàíèåì æåðòâû â ëîâóøêó,òàê êàê îíà ïîïàäàåòñÿ ñàìà, ïðîñòîçàéäÿ â àêêàóíò ñèñòåìû è ïîñåòèâ òóñòðàíèöó, ãäå îòîáðàæàþòñÿ äàííûåèç ÁÄ (âìåñòå ñ êîäîì çëîóìûøëåííèêà).Ïîëó÷àåòñÿ, æåðòâà ñàìîñòîÿòåëüíîîòäàåò ñâîè êóêèñû, îïÿòü æå, íè÷åãîíå çàìåòèâ.Ïîëó÷èâ êîíôèäåíöèàëüíûå äàííûåñ êóêèñàìè ó÷àñòíèêà ñèñòåìû,çëîóìûøëåííèê, êàê è â ïåðâîì ñëó÷àå,ìîæåò èñïîëüçîâàòü èõ äëÿ âõîäà â ñèñòåìóðåêëàìíîãî èíòåðíåò-áðîêåðà îòèìåíè þçåðà ñ ïîñëåäóþùèì çàõâàòîìàêêàóíòà.XSS â DOM (DOM Based XSS). Îòäåëüíûéè âåñüìà îïàñíûé âèä óÿçâèìîñòåéìåæñàéòîâîãî ñêðèïòèíãà —ñòàíäàðòíûå ôèëüòðû ïðîòèâ êëàññè-÷åñêèõ XSS â ýòîì ñëó÷àå íå ïîìîãóò.Ìåòîäèêà àòàêè ïîäîáíà ìåòîäèêåâ ñëó÷àå ïàññèâíîãî XSS. Òî÷íî òàê æåçëîóìûøëåííèê ïîäãîòàâëèâàåò çëîíàìåðåííûéêîä äëÿ óÿçâèìîé ñòðàíèöûè çàìàíèâàåò â ëîâóøêó ïîëüçîâàòåëÿñèñòåìû. Ïîñëå ÷åãî ïîëó÷àåò åãî êóêèñè êîíòðîëü åãî àêêàóíòà. Ïðèíöèïèàëüíàÿðàçíèöà — â îñîáåííîñòÿõ ðàáîòûXSS â DOM — ôèëüòðû, íàïðàâëåííûåíà êëàññè÷åñêèå XSS, íå ïîìîãàþò (ê ïðèìåðó,ôèëüòðàöèÿ óãëîâûõ ñêîáîê),è çàäàííûé êîä âûïîëíÿåòñÿ íà óÿçâèìîéñòðàíèöå.Ïîäîáíûå óÿçâèìîñòè ìîãóò âñòðå-÷àòüñÿ êàê â êîäå ñèñòåì ðåêëàìíûõ èíòåðíåò-áðîêåðîâ,òàê è â ïàðòíåðñêîìêîäå ñèñòåìû êîíòåêñòíîé ðåêëàìû.Ýòà óÿçâèìîñòü òàê æå îòíîñèòñÿ ê òèïó XSS â DOMè ìîæåò áûòü èñïîëüçîâàíà ïðîòèâ âñåõ ïîñåòèòåëåéñàéòà. Ñåé÷àñ âñå ýòè óÿçâèìîñòè óæå íåéòðàëèçîâàíû.çàêëþ÷åíèå. Ê ñîæàëåíèþ, è ñåé÷àñ ñèòóàöèÿñ óÿçâèìîñòÿìè XSS íà ñàéòàõ íåêîòîðûõ èíòåðíåòáðîêåðîâñêëàäûâàåòñÿ íå ëó÷øèì îáðàçîì. À ñèäåòüíà «ïîðîõîâîé áî÷êå» è æäàòü, êîãäà ðâàíåò,— íå ñàìûé ëó÷øèé âûõîä. Íî ñ êàæäîé èñïðàâëåííîéXSS äûðîé ñèòóàöèÿ óëó÷øàåòñÿ. Ïîýòîìóïðèçûâàåì àäìèíèñòðàòîðîâ ñåðüåçíåå îòíîñèòñÿê ïðîáëåìå áåçîïàñíîñòè è ïðîâåðèòü ñâîè ïðîåêòû,êàê ìèíèìóì, íà íàëè÷èå îïèñàííûõ âûøåóÿçâèìîñòåé.http://en.wikipedia.org/wiki/Cross_site_scriptingÑross-Site Scriptingwww.securitylab.ru/analytics/275087.phpìåæñàéòîâûé ñêðèïòèíã ÷åðåç DOMhttp://websecurity.com.ua/127/õàêèíã ñàéòà ÷åðåç óÿçâèìîñòè â êîäå âíåøíèõ ñèñòåìhttp://websecurity.com.ua/9/æóðíàëû BugsWeekhttp://websecurity.com.ua/90/óÿçâèìîñòü íà mainlink.ruhttp://websecurity.com.ua/109/óÿçâèìîñòü íà mainlink.ruchttp://websecurity.com.ua/137/óÿçâèìîñòü íà adbroker.ruhttp://websecurity.com.ua/250/óÿçâèìîñòü íà adbroker.ruhttp://websecurity.com.ua/323/óÿçâèìîñòü íà www.link.ruhttp://websecurity.com.ua/260/óÿçâèìîñòü íà www.link.ruhttp://websecurity.com.ua/17/óÿçâèìîñòü íà Ðàìáëåðåhttp://websecurity.com.ua/398/óÿçâèìîñòè â Äèðåêòßíäåêñåhttp://websecurity.com.ua/397/óÿçâèìîñòè íà itnews.com.ua
http://www.gameland.ru/ Dark Fall: The Journal / Divine Divinity 2 / Elevator Action Old & New / Dorabase / Con-----
Page 1:
02(75)ÔÅÂÐÀËÜ 2007ÅÆÅÌÅ
Page 4 and 5:
ÅÆÅÌÅÑß×ÍÛÉÒÅÌÀÒÈ
Page 6 and 7:
timeline2000{çàðîæäåíèå}
Page 8:
06 /37 ÃËÎÁÀËÜÍÀß ÝÏÈ
Page 11 and 12: 9æåò âûïîëíÿòü íåñê
Page 13 and 14: 11ñåðâåðå åñòü òàáë
Page 15 and 16: 13Ïîïðîáóåì âñàäèòü
Page 17 and 18: ÝÍÖÈÊËÎÏÅÄÈßGamePostÎ
Page 19 and 20: 17ÝÊÑÏËÎÉÒÀ ÏÎÄ ÊÀÊ
Page 21 and 22: 19çíà÷åíèå èìååò $var1
Page 23 and 24: VERSUS4,3 KENTSFIELD SLINVIDIA Ge
Page 25 and 26: 23ïðèòîíûèíòåðíåòà
Page 27 and 28: 255 /5BugTraq.Ruwww.bugtraq.ru3,5 /
Page 29 and 30: 27Òàáëèöà 1Òàáëèöà 2
Page 31 and 32: 29abstract class Decorator extends
Page 33 and 34: 31PHPÑîçäàâ òàêîé ôàé
Page 36 and 37: 34 ÃËÎÁÀËÜÍÀß ÝÏÈÄÅ
Page 38 and 39: 36 ÃËÎÁÀËÜÍÀß ÝÏÈÄÅ
Page 40: 38 /67 ÎØÈÁÊÈÌÎËÎÄÎÑÒ
Page 43 and 44: 41ÁÛÒÜ ÎÁÐÀÙÅÍÈß Ê Ô
Page 45 and 46: 1 ÌÅÑÒÎ 2 ÌÅÑÒÎ 3 ÌÅÑ
Page 47 and 48: 45ïðîèçâîäèì ïðîâåð
Page 49 and 50: 47CyD NET Utilswww.cydsoft.comshare
Page 52 and 53: 50 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ
Page 54 and 55: 52 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ
Page 56: 54 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ
Page 59 and 60: 57Q: Êàê îò SQL injection è X
Page 61: æå ëþäÿì, ïðîñòî îð
Page 65 and 66: 63Íó è, íàêîíåö, Perl î
Page 67 and 68: 65Íåñêîëüêî ñëîâ î Ne
Page 69 and 70: 67http://dm9.ru/cgi-bin/perltest/sc
Page 71 and 72: 69î ïîäëîãå. Îïÿòü æ
Page 73 and 74: 71ñåíêó ïîä íîìåðîì
Page 75 and 76: 73ÊÀÊÈÅ ÑÏÎÑÎÁÛ ÁÎÐ
Page 77: {IT}Ñ ÌÀÐÒÀÂÑÅ ÁÓÄÅÒ
Page 82 and 83: 80 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07È
Page 84 and 85: 82 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07Ï
Page 86 and 87: 84 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07è
Page 88 and 89: 86 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07ì
Page 90 and 91: 88 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07ã
Page 92: 90 ÑÏÅÖ-TOPIC ÑÏÅÖ 02-07Ò
Page 95 and 96: 93DEEPNESS IN THE SKYby MFXAETHERby
Page 97 and 98: îáùåíèÿ äèñêóññèè.
Page 99 and 100: Vista Manager 1.0.3winxp-manager.co
Page 101 and 102: MSI MEGABOOKS430($1199) 6 áàëë
Page 103 and 104: MSI MEGABOOKS430($1199) 6 áàëë
Page 105 and 106: 2Àíäðåé Êàðàìíîââå
Page 107 and 108: 105 |ìÿ îíëàéí, æäåò â
Page 109 and 110: Ðûêîâ áûë óâåðåí: î
Page 111 and 112: ìîæíîãî çàêëàäûâàí
Page 113 and 114:
Õâàëþ. Íàì áû ñ âàìè
Page 115:
Думаешь, что посмот
show all

Ã‘ÂÃ‘Â‚ÃÂ¾ÃÂ¼ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

Ã‘ÂÃ‘Â‚ÃÂ¾ÃÂ¼ - Xakep Online