В даній статті розглянемо методи захисту від такого типу вразливості Веб-додатків як XSS ін’єкція. Що ж таке XSS ін’єкція?

XSS - (англ. Сross Site Sсriрting) - міжсайтовий скриптинг, тип вразливості комп’ютерної системи. Особливістю даного типу атак є те, що замість безпосередньої атаки сервера, використовується вразливий сервер в якості засобу для атаки на клієнта.

Cross-site scripting - це одна з найбільш поширених вразливості Веб-додатків. При такому типу атаки, атакуючий розміщує шкідливий JavaScript або інший вміст на Веб-сторінці (наприклад повідомлення на форумі), який пізніше може бути виконаний цим Веб-додатком. Тут ми говоримо про скрипти, які можуть бути вставлені в HTML-код, і потім виконані браузером користувача.
Розрізняють п’ять найбільш поширених таких скриптів:

• <script>: часто використовується для вставки JavaScript або VBScript;
• <object>: часто використовується для вставки Flash, ActiveX-компонентів та ін;
• <applet>: використовується тільки для Java applets; все частіше замінюється на <object>;
• <iframe>: використовується для вставки фреймів;
• <embed>: використовується для програвання медіа файлів; все частіше замінюється на <object>;

Варто зазначити, що картинка обробляється браузером з використанням тегу <img>, і є особливою формою <object>, а отже теж може використовуватися для XSS-ін’єкції.

Цього разу я спробую провести короткий огляд біометричних систем.

На перше місце я б поставив сканери сітківки ока. Інфрачервоний промінь малої інтенсивності скеровується на зіницю для фотографування малюнку, який утворюють кровоносні судини. Коштує така цяця біля 500 дол. Сканери такого типу вважаються найкращими. З цього ж класу можна придбати трохи таньші системи (десь 300 дол), але менш надійніші. Такі системи записують картинку плям та прожилок поверхні ока. Вони є менш надійними. Якщо зробити фотографію ока з високим розширенням, то такий сканер можна обійти. Пригадується, як у якомусь фільмі для того, щоб обійти сканер злочинцю довелось виколупати очі авторизованій особі.

Все більшого розголосу набуває справа простого директора сільської школи в російській глубинці, якого "злий майкрософт" хоче засадити на 5 років за використання в комп'ютерному класі неліцензійного Віндовса.
Чим раз, тим ця історія стає вже драматичнішою, уже розгорнуто масовий суспільний рух за врятування Поносова, "правильні" політичні сили та молодіжні рухи Росії пікетують американську компанію, освітяни проклинають авторське право і терміново переставляють софт по школах і ВУЗах.
Проте, усе це чим раз тим більше починає нагадувати якусь комедію, де почесна роль "офірного козла" відведена Майкрософту.

Якось вже дуже нелогічно виглядає наїзд за неліцензійність на дуже глубоку сільську школу в Пермській області.
От у мене і народилася інша версія подій. Хтось у Росії вирішив підготувати ідеологічний грунт для певних змін у питанні інтелектуальної власності, можливо і в питанні регламентації використання ліцензійного програмного забезпечення у сенсі поступового переводу держави на вільновживане ПЗ.
От і "зробили людську жертву". Зверніть увагу на вибір – директор сільської школи на просторах колишнього союзу – постать майже сакральна (заледве не заміна священнику). Та й прізвище у нього таке "народне", що саме по собі викликає співчуття. А тут злі "америкоси" заганяють його в тюрму, залишаючи сільських діток без освіти, державу без майбутнього… Жах…
А тепер зверніть увагу на російські форуми та блоги. Вони всі переповнені благородним гнівом дописувачів, зазвичай дуже недурних і передових людей в сторону Майкрософта, і того всього, що фірма символізує.
А тут ще і Путін нарешті висловився. І висловився однозначно на підтримку Поносова, але як і слід було чекати – набагато ширше: "работа по защите интеллектуальных прав «не должна проводиться формально". Розумій як хочеш – чи не повинна така робота проводитися взагалі, чи повинна проводитися "неформально"…

За повідомленням zdnet.ru Oracle спробувала придбати MYSQL. Генеральний директор Мартен Мікос підтвердив цей факт, але не повідомив коли це було і за скільки. Він бажає, щоб компанія залишилась незалежною.
Зараз пішла якась масова тенденція до впрвадження open-source projects. ІВМ запропонувала безкоштовну DB2, WebSphere community edition . Зараз ведуться розробки компаніями Ingres та EnterpriseDB над створенням СУБД з відкритим кодом.
СУБД MYSQL поповнює свій арсенал більш потужнішими функціями, але твердженням її шефа вони не хочуть конкурувати із Oracle. Як відомо MYSQL є безкоштовною для не комерційних проектів і 200 долярів треба заплатити за використання у комерційних цілях. СУБД широко використовується у масових та дешевих проектах. СУБД Oracle закорінилось у потужних та великих системах. Компанія Oracle у 2005 році вже придбала InnoDB та Sleepycat (компанії СУБД з відкритим кодом). Зараз вони ще й хочуть купити сервер JBoss. Правильно говорить народне прислів’я – краще переспати, ніж недоїсти.

Як сказав свого часу Тарас Бульба свому сину: «Чим я тебе породив – тим я тебе і вб’ю». Це я про Microsoft та Vista. Аліса Шевченко на http://www.viruslist.com у своїй статті «Microsoft Vista против вирусов: кто кого?» ставить під сумнів всю безпеку середовища цієї ОС. Слід зауважити, що кубіта працює на Лабораторію Касперського. Ясна річ, що якби вона написала, що Vista така хороша ОС, що їй не потрібно ані антивіруса, ані файєрвола її стаття була б підписаною вже як «Аліса Шевченко. Шукаю роботу». Оскільки Касперський також хоче урвати шмат грошей від Vista. І якби я належав до працедавців, то на роботу я б її взяв.
Свого часу я вже згадував про технологію захисту ядра від модифікацій у Vista – PatchGuard. Правда тоді я забув добавити, що технологія ця працює тільки для 64-розрядної машини та цю фігню можна відключити. При чому, як її відключити та використовувати – написано до мене.

Що це таке?
OpenID (http://openid.net) – це відкрита розподілена безкоштовна інфраструктура для користувацько-орієнтованої ідентифікації у Вебі.

Чому це потрібно?
Сукупність нових технологій та підходів до розробки й експлуатації Веб-ресурсів (Веб 2.0 - http://it.ridne.net/web2-overview) диктують учасникам великої гри під назвою "WWW" нові правила. Якісним проривом, наприклад, стало переведення рядового користувача Інтернету зі споживача інформації у ранг повноцінного он-лайн видавця контенту – від коментарів до чужих статей і дописів на форумах до величезних авторських опусів у власному блозі. Веб еволюціонував від read до read/write, що внесло принципові зміни до самої його структури і логіки побудови.

Ціль яку ставить автор висвітлюючи даний матеріал полягає у організації кращого захисту розроблених веб проектів, а не способів їх взлому .
Це вразливість, яка існує через недосконалість чи відсутність механізму провірки даних отриманих від користувача. Наприклад, маючи наступну адресу http://site.ua/site.php?id=01 повинна завантажитись якась сторінка. Але якщо після знаку рівності користувач вкаже будь-які символи (наприклад ...php?id= test, .php?id=01’, .php?id=10 …) і в результаті все одно завантажиться дана сторінка, то сайт на 90% може бути взломаний через sql ін’єкцію, оскільки не проводиться фільтрування отриманого від користувача параметру. В гіршому випадку отримаєте повідомлення про помилку, в кращому - пустий результат. Наприклад, .php?id=10 – повинно би повернути пустий sql запит, а .php?id=10” – помилку. В основному, ціль яка ставиться при використанні sql ін’єкції полягає у отриманні доступу до бази даних (зазвичай це MYSQL, безкоштовна для не комерційних проектів та надійна СУБД). Для розуміння наступних дій необхідні деякі знання із побудови запитів до БД. Так для визначення який номер стовпця виводить на сторінку інформацію достатньо виконати запит типу /test.php?id=10+union+select+’test’,null,null/* чи /test.php?id=10+union+select+null,’test’,null/*. Якщо з бази читається кілька параметрів то необхідно знайти той, що має тип text . А ці запити потрібно виконувати доки не побачимо слово test у потрібному місці. Одною із цікавих властивостей MYSQL є перетворення числового типу даних до будь-якого іншого, без породження при цьому помилки. Це майже як у РНР, змінній не присвоюється певний тип даних, що можна можна використати при взломі сайту, простим перевизначенням цієї змінної ( наприклад, присвоїти їй якусь адресу скрипта) . Цю властивість можна використати при такому запиті, де лапки можуть фільтруватися .php?id=10+union+select+1,2,3/* . Ім’я таблиці можна отримати наступним запитом .php?id=01+union+select+null,null,null+from+table1/* . Так можна часом знайти таблицю з ім’ям users, passwords etc і працювати вже безпосереньо з нею. Назви стовпців в таблиці вичисляються так .php?id=10+union+select+null,row1,null+from+table1/* . Якщо користувач має права на select то в результаті запиту .php?id=10+union+select+null,mysql.user.password,null+from+mysql.user/* можна отримати хеш пароля, який потім розшифровується.

А почалося все із проекту StopBadware.org власником якого є Berkman Center for Internet and Society (входить у склад Гарвардської школи права) і Internet Institute (Оксфордський університет), а також компанії Google, Sun Microsystems и Lenovo. Суть проету полягає у виявленні шкідливого ПЗ в інтернет. Коли користувач, в результаті пошуку, отримав у Google перелік сайтів, то декотрі з них можуть бути помічені як небезпечні. І додатково юзеру з’являється повідомлення про те, що відвідини цього сайту може спричинити шкоду вашому комп’ютеру. Адреса сайту не блокується, але щоб туди попасти в браузері адресу потрібно набирати руцями. От і посипався шквал протестів на Google Groups, за те що алгоритм виявлення цих сайтів є не ефективний. Занадто часто звичайні сайти помічались як небезпечні. Google Groups проблему коментувати відмовилась, проте зголосився StopBadware.org . Хлопці пообіцяли переглянути свої рішення. Дослівно це прозвучало десь так. "Ми розуміємо на скільки це може бути неприємно і часто власники сайтів самі і не знають, що їх сайт містить чи якось пов’язаний із шкідливим ПЗ". Якщо хтось попав в цю категорію, пишіть заявки за адресою appeals@stopbadware.org .

Ну вже зовсім нещодавно на конференції CES 2007 Microsoft представила Windows Home Server (WHS). Ця операційка це гібрид всіх версій Windows, де в основі все таки лежить Windows Server 2003. Основне призначення – бути їй вдома і керувати мультимедіа та клієнтськими машинами.
Цікаво, що простий смертний не зможе прийти до магазину і купити собі цю ОС. При розробці Microsoft співпрацювала із НР( до цього вони мали HP MediaSmart Server) і коли ви будете купувати сервер НР то до нього і додасться WHS. А вихід планується на кінець літа.
Перше, що мене вражає так це МІНІМАЛЬНІ системні вимоги : 1ГГц процесора, 512 Мб операційки, 80Гб вінчестер, Ethernet .
В Home Server забрали Active Directory хоча сама синхронізація користувацьких облікових записів та паролей є. Клієнти зможуть зберігати свої файли за рахунок технології WHS Drive Extender (звичайнісіньке добавляння дисків ATA/SATA, USB/Firewire, тільки тепер цей процес ось так називається ). Дані від збоїв захищені за рахунок зазеркалювання (не RAID). Розподіл файлів здійснюється SMB протоколом (слава Linux). Присутньою є також технологія Single Instance Store, що використовується для зберігання даних. Суть полягає в тому, що виключно зміни добавляються до backup, зменшуючи його в розмірі та пришвидшуючи архівування. Це той самий інкрементальний backup, тільки знову назвали це по іншому. Коли Home Server помре, то в комп’ютер потрібно запхати пілюлю у вигляді компакт диску ( але не чистий, а той що додається до ОС) і чисто теоретично всі дані можна відновити. Є реалізований Remote Administration через ІЕ.

Лабораторія iDefense Labs оголосила конкурс на взлом Vista та Internet Explorer 7. Конкурс триватиме до 31 березня. В кінці 6 переможців повинні отримати від 8 до 12 тис. долярів. Експлойт буде оцінюватися за оформленою до нього документацією та якістю коду. Він повинен ломати без допомоги сторонніх та додаткових програм. Хочу сказати, що я не знайшов переконливих гарантій отримання цих грошей. Тут або 8 000$ або 8 років без права переписки. Але те, що на облік поставлять це без сумніву. Проте все ж шанси взлому зараз звісно є великі. За повідомленням аналітика Gartner Майкла Сільвера (Michael Silver) Vista не готова до масового випуску. Нагадаю, що ще не готові тисячі драйверів до різних пристроїв.

Не пройщло повних 2 неділі після офіційного виходу Windows Vista, а активація вже взломана. Хлопаки вирішили назвати програму-активатора – Мелінда, на честь жінки Біла Гейтса. Я собі уявляю як їй було приємно. Нагадаю, що на розробку операційки пішло 5 років і паралельно до неї вийшов Office 2007 . Ще 7 місяця року минулого фірма F-Secure, що займається питаннями комп’ютерної безпеки представила перший в світі вірус для бета версії Vista (ще колись Longhorn). Вірус успішно використовує успішну розроблену дірку у Microsoft Command Shell . Ще тоді висувалися думки що може Microsoft забере цю командну оболонку. А вірус був написаний австрійським хакером і він дозволяє отримати несанкціонований доступ через нестандартний запит до Microsoft Command Shell чи її надбудови Monad.

І знову хотілося б вернутися до казочок. Дослідницька ферма (фірма) Yankee Group вважає, що Windows Server 2003 є більш надійнішою системою, ніж серверний Linux. За їх дослідженнями Windows Server 2003 на 20% випереджують Enterprise Linux від Red Hat по показникам відмовостійкості. Windows є навіть кращою від Unix Sun Solaris та FreeBSD. Неприємним фактом є те, що дослідницька група Yankee вже колись погоріла на махінаціях. Але менше з тим. Хотілося б проаналізувати звідки взялася ця цифра. А відповідь проста, як двері – сервери на базі Windows значно менше використовують, ніж Unix, от і показник надійності вищий. Мій FreeBSD сервер вже рік не перезавантажувався і жодного разу не дав збій. А я знаю де працюють машини з Freebsd вже 5 років без жодного перевантаження. Коли така система обслуговує локалку то перезавантаження не є настільки критичне. Але більшість обслуговують домени Інтернет. Ще й до того діри Unix систем латаються швидше, не так швидко як цього хотілося б ( точно не за 30 годин, читай нижче), але швидше ніж Microsoft.

За кілька годин після того як всі були вже п’яні, 1 січня в Інтернеті з’явився код вразливості Gmail. Вразливість дозволяла викрасти контакт лист цільового користувача. Вона пов’язана із тим, що перелік контактів зберігався в javascript і його можна було викликати через довільний сайт. Gmail не робив провірки, який сайт викликав цю функцію і як результат будь-хто міг прочитати перелік контактів цільового користувача. Єдина вимога використання вразливості полягає у тому, що потрібно мати активну сесію в Gmail. І за 30 годин діру залатали. Хочу ще раз нагадати, що це було 1 січня, коли всі нормальні люди сплять під ялинкою.
Чомусь перше, що спало мені на думку так це Microsoft. Мені стало цікаво, скільки їй потрібно було б місяців для ліквідації дірки такого типу. Якби корпорація навчилась працювати як Google, мені здається кількість ліцензій на їх продукти значно зросла б. Microsoft має значно більші кошти, більше працівників, так чому так повільно працюють? Буде справедливе народне прислів’я – маленька рибка краща від великого таргана.

Цікавий матеріал розмістила робоча група Південно-Каліфорнійського Університету. ЦЕ документ, який описує суттєві зміни в глобальній аудиторії Мережі в 2006 році. Документ (безкоштовна версія) є тут:
http://www.digitalcenter.org/pdf/2007-Digital-Future-Report-Press-Release-112906.pdf
з головного:
Користувачів Інтернету є понад 1 млрд., з них 7% мають власні блоги, а 12% власні сайти, 26% - онлайн-фото(підозрюю, що цифри завищено, хоча хто зна?).
США уже практично вичерпали людський ресурс приросту аудиторії Інтернету. 72% жителів країни користаються Мережею. Причому жінки користають Інтернетом більше за чоловіків.
Відзначається тенденція до перетворення онлайн-спільнот в реальні співтовариства та витіснення Інтернетом традиційних форм спілкування і підтримання товариських стосунків. Відзначається також поступове витіснення Інтернетом традиційного ТВ.

За повідомленням Securityfocus.com, веб-проекти, написані мовою РНР, становлять 43% всіх проблем, пов’язаних із безпекою інформаційних мереж. Минулого року цей показник становив 29%. На даний момент РНР використовують у 20 млн. доменах і 1,3 млн. ІР-адрес (цифра ця точна, сам перераховував).
Такі цифри свідчать про масовий наплив прибиральниць та сантехніків (без образи на ці професії, без цих людей ми ніхто) у веб-технології. Зараз модно сказати, що я займаюсь розробкою веб-ресурсів-технологій-проектів. Але не всі розуміють, що коли взломали якийсь сайт, то проблема полягає не у недосконалості РНР чи іншої мови, а у особі, що це написала. Люди, які вивчають веб-проектування, написавши маленький непотрібний скрипт, відразу намагаються викинути його у Інтернет. І так мільони. Як результат мережа перенасичується таким сміттям. Якщо розпочати вивчати мову РНР, то відразу захоплюєшся її можливостями. Але отримавши десь роботу завжди чомусь бракує часу на поглиблення своїх знань і не тільки функціональних можливостей мови, а й середовища, що оточує використання цієї мови( наприклад MYSQL, Apache etc) . Вирішити проблеми такого типу можна, наприклад максимально адаптувавши мови для створення сайтів для чайників, що на мою думку не є правильним підходом, оскільки це тільки збільшить кількість таких чайників у всесвітній мережі. Є ще другий спосіб, але його ніхто не знає...

Як повідомляє Consumer Sentiel Федеральна торгова комісія США минулого року 12% з 431 тис. скарг належить Інтернет-аукціонам. Скарги були подані в основному на продавців, що втекли з грошима, не виславши товар, чи на пересилання неякісного товару. І дослідники університету Карнегі Мелон (CMU) взялися за розробку програми, котра дозволить виявити правопорушників на аукционі eBay. Схема обдурювання клієнтів працює за наступним чином. Кілька осіб реєструються на eBay та продають товар самі собі і цим самим виставляють найбільш високий рівень задоволення. І відповідно наївні клієнти вірять цьому рівню та замовляють товар. Фахівці проаналізували біля 1 млн. транзакцій вияснили закономірність – деякі операції були проведені між двума зареєстрованими записами з ціллю підняти свій рейтинг.

Компанія Digital Security (www.dsec.ru) представила Digital Security ScreenSaver. Цей програмний продукт (скачати: www.dsec.ru/downloads/ds_screensaver_demo.zip, 1,2 Mb) це періодично обновлювальна серія скрінсейверів, що допомагає користувачам закріпити деякі правила з області інформаційної безпеки. Пропонується 3 версії програми : стандартна – сюжет та дизайн універсальні, логотип компанії заміняється на логотип вашої компанії; корпоративний дизайн – сюжет універсальний, дизайн за замовленням; корпоративна – сюжет та дизайн за замовленням.
В сумі кожен випуск містить 10 різних сюжетів, а обновлення відбувається один раз на два місяці. Програма дуже нагадує звичайнісіньку презентацію.
Річ ця звісно хороша, проте на мою думку – малоефективна. Скрінсейвер вмикається коли користувач зазвичай відходить від свого комп’ютера і інформацію, яка з’являється на моніторі можуть побачити хіба інші особи. Форма представлення такої важливої інформації, мені здається – занадто дитяча. Слід зауважити, що я оцінюю демо-версію. Наведу живий приклад. Я не користуюсь антивірусними програмами, хоч і мій комп’ютер-клієнт працює в локалці на 150 компів під’єднаних до Інтернет (зовсім віднедавна. Слава адміну!!!). І в цьому скрінсейвері з’являється картинка із малим щеням і внизу написано, що так беззахисно виглядає мій комп’ютер без антивірусного програмного забезпечення. І навіть після побаченого я не встановив навіть Касперского. Можливо було б ефективніше, якби мені показали ілюзію краху операційки та внизу написали, що таку каку може зробити мені вірус і обов’язково треба захищатися. Антивірус від побаченого я б все одно собі не поставив, але це могло б спонукати до більш рішучіших дій користувачів. Доки їх не настрашиш – не перехрестяться. А настрашити вірусами їх треба так, щоб вночі не спали і думали якби то від них відбитися.

Оптимізація форумів та інших форм спільнот користувачів WWW
Дана стаття була написана і лише зараз опублікована у науковому віснику “Львівської Політехніки”. З організаційних причин вона пролежала 2 роки у видавництві. Тому в цій статті ви не знайдете терміну Веб 2.0, який тоді це просто не існував. Проте, про своїй суті стаття саме про це – як керувати та оптимізовувати Інтернет-спільноти, базове поняття для Веб 2.0
Стаття публікується зі спрощеннями та скороченнями, зокрема без формул, зі спрощеними заголовками, та без деяких ілюстрацій.

www.securitylab.ru чемно нам повідомляє про вихід російського перекладу британського стандарту BS 7799-3:2006 “Системы управления информационной безопасностью – Часть 3: Руководство по управлению рисками информационной безопасности”. Експерти передбачають, що до кінця наступного року даний стандарт ISO затвердить як міжнародний з індексом 27005 . Стандарт містить інформацію про основні фактори ризику, процеси керування ризиками, описує взаємозв’язок між ризиками інформаційної безпеки та іншими ризиками, вимоги та рекомендації щодо вибору методології та інструментів для оцінки ризиків. Зараз проводиться робота над стандартами по застосуванню та вимірюванню ефективності систем керування інформаційною безпекою які повинні отримати індекси 27003 та 27004. Їх випуск запланований на 2007 рік. Буде доступною і російськомовна версія.

За повідомленням www.lenta.ru у Скотланд-Ярд виникли проблеми. 16 листопада було викрадено 3 лептопи у яких містилась інформація про банківські реквізити, номера соціальних страхівок, адреси проживання та розмір зарполатні 15 тис. сівробітників Скотланд-Ярду. Керівництво закладу наказало своїм працівникам прослідковувати стан своїх рахунків і про несанкціоновані зміни відразу повідомляти.
Перше, що мене здивувало так це чому така інформація зберігалась на лептопах, які не були захищені відповідним чином (хоч би до стіни цвяхами поприбивали). Така подія може свідчити про недотримання (незнання, небажання дотримуватись) політики безпеки. Адже тільки коплекс фізичних та програмних засобів захисту може гарантувати збереження такого роду інформації. Вони просто повинні були передбачити можливість підкупу працівників, випадок ядерної війни і що найгірше – планового відключення електроенергії. І на кожен з випадків повинна існувати інструкція по протидії цьому. Не спрацювала служба безпеки Служби безпеки. А може то хтось із трудоголіків-працівників просто взяв ці комп’ютери додому, щоб трохи більше попрацювати і забув про це сказати ...