The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.02.2010 21:16  Рейтинг самых опасных ошибок, зафиксированных в 2009 году

Институт SANS (SysAdmin, Audit, Network, Security), совместно с организацией MITRE и ведущими экспертами по компьютерной безопасности, подготовил новую редакцию рейтинга 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей. Ошибки были отобраны с учетом их распространенности, трудоемкости обнаружения и простоты эксплуатации уязвимости. В опубликованном документе подробно разбирается каждый из 25 видов ошибок, приводятся примеры уязявимостей и рекомендации для разработчиков по предотвращению появления подобных ошибок.

Краткое содержание рейтинга (цифра вначале указывает на место в рейтинге):

  • Небезопасное взаимодействие между компонентами, определяет проблемы, вызванные небезопасной отправкой или получением данных между модулями, программами, процессами, нитями или системами.
    • 1: Неспособность сохранения структуры web-страницы, что позволяет злоумышленнику внедрить на страницу свой скрипт или html-блок (XSS, Cross-site Scripting);
    • 2: Неспособность сохранения целостной структуры SQL запроса, что может привести к подстановке злоумышленником SQL запроса (SQL Injection);
    • 4: Cross-Site Request Forgery (CSRF), отсутствие проверки источника запроса, что может быть использовано злоумышленником для незаметного перенаправления авторизированного пользователя для выполнения определенных скрытых действий;
    • 8: Неограниченная возможность загрузки файлов опасного типа, например, когда через форму загрузки картинки на сайт можно загрузить (и затем выполнить) ".php" скрипт;
    • 9: Неспособность корректного формирования структуры запускаемого приложения, может привести к подставке кода злоумышленника при выполнении внешней команды, через определение некорректных значений, используемых в качестве параметров запускаемой программы (OS Command Injection);
    • 17: Утечка сведений о системе при выводе сообщения об ошибке, например, часто в сообщении об ошибке можно видеть текущие пути или имя базы, что может быть использовано злоумышленником.
    • 23: Перенаправление на вызывающий доверие сайт через некорректное использование средств переброса на другой URL в веб-приложениях (например, когда когда в скрипт локального переброса вместо "/redirect?url=form.php" передают "/redirect?url=http://example.com");
    • 25: "Эффект гонки" (Race Condition), проблемы вызванные возможностью одновременного использования одного ресурса несколькими обработчиками, отсутствием атомарных операций или ненадлежащими блокировками;
  • Рискованное управление ресурсами, ситуации когда к проблемам приводит ненадлежащее управление созданием, использованием, передачей или уничтожением важных ресурсов системы.
    • 3: Копирование содержимого буфера без предварительной проверки размера входных данных. Неспособность удержать действия в определенных жестких рамках или в пределах заданного буфера памяти, приводит к классическим уязвимостям вида выхода за допустимые границы и переполнению буфера;
    • 7: Возможность внешнего переопределения путей или имен файлов, например, когда в качестве имени файла используется какой-то передаваемый параметр, используя "../" в котором можно выйти за пределы текущей директории;
    • 12: Доступ к буферу без учета его размера, например, когда осуществляется копирование из одного буфера в другой без проверки, что во втором буфере хватит места;
    • 13: Отсутствие проверки на необычные ситуации, например, при невыполнении проверки результата выполнения функции malloc (разработчик подразумевает, что она никогда не вернет NULL) злоумышленник может инициировать переход на нулевой указатель. Или при выполнении "fgets(buf, 10, stdin); strcpy(cp_buf, buf);" разработчик уверен, что после fgets строка всегда терминирована, но при ошибке ввода/вывода это не так;
    • 14: Некорректная обработки имени файла перед его использованием в PHP директивах Include/Require. Типичный пример: "$dir = $_GET['module_name']; include($dir . "/function.php");", если в передачей "module_name=http://сайт_злоумышленника";
    • 15: Некорректная проверка индекса массива, например, обращение к -23 или 978 элементам массива, когда общий размер всего 100 элементов;
    • 16: Проблемы, связанные с целочисленным переполнением;
    • 18: Некорректный расчет размера буфера;
    • 20: Загрузка исполняемого кода без проверки его целостности через сверку с цифровой подписью, например, в результате взлома сайта или подстановки неверной информации в DNS, злоумышленник может изменить содержимое пакета с программой;
    • 22: Выделение ресурсов без задания максимальных ограничений, например, классическая fork-бомба или забивание всего свободного места на диске;
  • Ненадежная защита, некорректное использование, игнорирование или злоупотребление средствами защиты.
    • 5: Некорректный контроль доступа (авторизации);
    • 6: Доверие к непроверенному вводу при принятии решений, связанных с безопасностью. Например, излишнее доверие к содержимому cookie (кодирование прав доступа или уровня пользователя через cookie);
    • 10: Отсутствие шифрования конфиденциальных данных, например, хранение номера кредитной карты в БД в открытом виде;
    • 11: Задание базового пароля прямо в коде скрипта или в общедоступных файлах конфигурации;
    • 19: Отсутствие аутентификации при выполнении критических действий (например, при смене пароля, отсутствует проверка старого пароля);
    • 21: Небезопасное назначение прав доступа к критически важным ресурсам, например, возможность чтения или изменения другим пользователем конфигурационных или служебных файлов;
    • 24: Использование ненадежных или рискованных криптографических алгоритмов;

В заключение можно отметить интересную статистику, опубликованную в блоге Марка Кокса (Mark Cox), возглавляющего подразделение Red Hat, занимающееся выявлением и исправлением проблем безопасности. Марк проанализировал число устраненных в Red Hat уязвимостей по каждой из позиций вышепредставленного рейтинга Top25. Особый акцент сделан на уязвимостях, которые удалось предотвратить благодаря использованию таких технологий, как SELinux, ExecShield, защищенных вариантов malloc/free и активации FORTIFY_SOURCE опции glibc (дополнительная внутренняя проверка выхода за пределы буфера для функций, таких как strcpy). Например, дистрибутив оказался заведомо невосприимчив к серии уязвимостей, связанных с разыменованием NULL указателя.

  1. Главная ссылка к новости (http://cwe.mitre.org/top25/...)
  2. OpenNews: 25 самых опасных ошибок при создании программ
  3. OpenNews: Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux
  4. OpenNews: Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: security, bug
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Zenitur (?), 23:13, 17/02/2010 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Анализ был составлен по данным статистики обновлений безопасности MS Windows XP-7.
     
     
  • 2.2, XoRe (ok), 23:22, 17/02/2010 [^] [ответить]     [к модератору]
  • +/
    Угу А установка SElinux делает Windows намного безопаснее Там немалая часть уя... весь текст скрыт [показать]
     
     
  • 3.5, Zenitur (?), 00:56, 18/02/2010 [^] [ответить]    [к модератору]  
  • –2 +/
    Вы забыли про сотни обновлений для IE, WMP и .NET. Достаточно окинуть взглядом список исправленных уязвимостей в версии 3.5 SP1, чтобы невольно вздрогнуть от ужаса
     
     
  • 4.18, XoRe (ok), 10:08, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    С этим я не спорю Я просто хочу указать ваше внимание, что все эти уязвимости н... весь текст скрыт [показать]
     
  • 4.64, Трухин_Юрий_Владимирович (ok), 12:19, 20/02/2010 [^] [ответить]     [к модератору]  
  • +/
    И какие сотни обновлений была для поддерживаемых на сегодня ОС MS В 2009 году V... весь текст скрыт [показать]
     
     
  • 5.65, Аноним (-), 20:18, 20/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Вы тогда либо в поиске только ядро Linux выбирайте с минимальными GUI, либо все ... весь текст скрыт [показать]
     
     
  • 6.67, Трухин_Юрий_Владимирович (ok), 22:09, 20/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Только по ядру Linux 38 уязвимостей только в ядре за 2009 год Это без всяк... весь текст скрыт [показать]
     
     
  • 7.70, Глеб В (?), 23:49, 20/02/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    Посмотрите на усердно вами цитируемом secunia степень опасности этих уязвимостей... весь текст скрыт [показать]
     
  • 5.66, Глеб В (?), 20:22, 20/02/2010 [^] [ответить]    [к модератору]  
  • +/
    28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр в web-приложениях это вы мощно сравнили.
     
     
  • 6.68, Трухин_Юрий_Владимирович (ok), 22:10, 20/02/2010 [^] [ответить]    [к модератору]  
  • +/
    >28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр
    >в web-приложениях это вы мощно сравнили.

    какие веб-приложения в настольных системах... читайте внимательно

     
     
  • 7.69, Трухин_Юрий_Владимирович (ok), 22:11, 20/02/2010 [^] [ответить]    [к модератору]  
  • +/
    это все я пишу в ответ на заявления человека о многих сотнях дыр в виндах в 2009 году...


     
     
  • 8.71, Глеб В (?), 23:52, 20/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Вы ссылались на статистику по числу дыр в Red Hat, а не только в настольных прил... весь текст скрыт [показать]
     
  • 1.3, Tav (ok), 23:39, 17/02/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься).
     
     
  • 2.4, Cobold (??), 00:51, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    хорошо сказано :)
     
     
  • 3.8, vbv (ok), 02:49, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    А Oracle не хочет приобрести php???
     
  • 2.7, Deffic (?), 02:48, 18/02/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    которая связанна с использованием непоследовательного и непродуманного языка ... весь текст скрыт [показать]
     
     
  • 3.12, polymorphm1 (ok), 03:40, 18/02/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    самая больная проблема в PHP -- это mod_php , который ПООЩРЯЕТ помещщение (и выполнение) php-файлов в тойже самой директории что и статические media-файлы..

     
  • 3.22, Tav (ok), 10:42, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Проблема не в SQL Все нормальные API для работы с SQL работают так запрос с па... весь текст скрыт [показать]
     
     
  • 4.26, Cobold (??), 11:50, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    эта норма пришла скорее от mysql, потому что там изначально небыло компиляции за... весь текст скрыт [показать]
     
  • 4.29, Deffic (?), 12:19, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    А если логика запроса посложнее и состоит из 100 вложений инъекций и поведен... весь текст скрыт [показать]
     
     
  • 5.38, Tav (ok), 14:22, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Это значит, что вам следует пересмотреть модель данных Если подобные запросы вс... весь текст скрыт [показать]
     
  • 4.35, thirteensmay (?), 13:25, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Все бы было хорошо если бы плейсхолдеры можно было применять в любой части запро... весь текст скрыт [показать]
     
     
  • 5.39, Tav (ok), 14:27, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Имя таблицы 8212 это данные пришедшие из вне Если такое часто нужно, у вас к... весь текст скрыт [показать]
     
     
  • 6.41, thirteensmay (?), 14:50, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Нет никаких проблем с моделью данных, есть необходимость динамического построени... весь текст скрыт [показать]
     
     
  • 7.43, Tav (ok), 15:34, 18/02/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    Это все-таки не обычное использование БД, исключение, а не норма Речь о том, чт... весь текст скрыт [показать]
     
     
  • 8.45, thirteensmay (?), 16:03, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Вот с этим не могу не согласится Моя же речь про то что эти исключительные случ... весь текст скрыт [показать]
     
  • 8.51, Deffic (?), 18:25, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Позвольте не согласиться - это как раз НОРМА Если у Вас база нормализована, то ... весь текст скрыт [показать]
     
  • 8.73, AlexAT (ok), 13:47, 12/05/2010 [^] [ответить]     [к модератору]  
  • +/
    Ошибаетесь Это давно уже норма Время, когда все можно было сделать запросами в... весь текст скрыт [показать]
     
  • 5.42, Cobold (??), 14:57, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    А вот смотрите, не в защиту перла а просто как сравнение на перле с базой работ... весь текст скрыт [показать]
     
     
  • 6.44, thirteensmay (?), 15:40, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    И на перл можно каждый раз собирать строку запроса, препарить ее а потом исполня... весь текст скрыт [показать]
     
     
  • 7.47, Cobold (??), 17:29, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    я не о том что на перле это невозможно, я о том что там в отличии от php при раб... весь текст скрыт [показать]
     
     
  • 8.52, thirteensmay (?), 18:35, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    а я вам про то что я например, при освоении DBI был весьма озадачен таким подход... весь текст скрыт [показать]
     
  • 7.49, Cobold (??), 17:39, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    а по поводу безопасности - всё зависит от вашей клиентской группы, в некоторых м... весь текст скрыт [показать]
     
     
  • 8.50, thirteensmay (?), 18:04, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    это всеже не мэйнстрим, в основном то ПО впаривается, посмотрите на туже винду или офис, куча красочных перделок, мало кому нужных и зачастую даже бесплатных.
     
  • 2.9, Deffic (?), 02:51, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    "..смешивание html-кода и программной логики.."
    Можете это хот как-то обосновать, кроме того, что так удобнее для CMS?


     
     
  • 3.10, Ян Злобин (?), 03:34, 18/02/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    >"..смешивание html-кода и программной логики.."
    >Можете это хот как-то обосновать, кроме того, что так удобнее для CMS?

    Ну ведь действительно так и есть.  Смешивание неправильно по сути.

     
     
  • 4.13, Deffic (?), 03:50, 18/02/2010 [^] [ответить]     [к модератору]  
  • –2 +/
    Неправильно - смешивание данных и кода А смешивание кода и кода - это вопрос вк... весь текст скрыт [показать]
     
     
  • 5.15, polymorphm1 (ok), 04:06, 18/02/2010 [^] [ответить]     [к модератору]  
  • +3 +/
    код коду рознь txt-файл это тоже своего рода КОД программа например при печ... весь текст скрыт [показать]
     
     
  • 6.16, Deffic (?), 04:35, 18/02/2010 [^] [ответить]     [к модератору]  
  • –1 +/
    Текстовый файл не содержит инструкций, которые нужно выполнить в идеале t ... весь текст скрыт [показать]
     
     
  • 7.17, Аноним (-), 09:30, 18/02/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    > \t \n и др. это не код, а просто невидимые символы

    http://ru.wikipedia.org/wiki/Управляющий_символ

    сюрприз? :)

     
     
  • 8.24, Deffic (?), 11:25, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    >> \t \n и др. это не код, а просто невидимые символы
    >
    >http://ru.wikipedia.org/wiki/Управляющий_символ
    >
    >сюрприз? :)

    Специалисты меня порвали. ))

     
  • 7.20, XoRe (ok), 10:26, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Ваше imho нам понятно В качестве точки зрения могу указать на темы skins , шаб... весь текст скрыт [показать]
     
     
  • 8.32, thirteensmay (?), 12:42, 18/02/2010 [^] [ответить]     [к модератору]  
  • –2 +/
    Есть мнение что впендюривание новых шаблонов и тем - туфта гламурных домохозяек,... весь текст скрыт [показать]
     
  • 3.23, Tav (ok), 11:00, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    Это противоречит архитектурному шаблону Model–View–Controller, затрудняет модификацию кода и контроль его корректности.
     
     
  • 4.27, Cobold (??), 12:03, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    а сколько господ даже здесь рассуждают о языке без намёка на MVC в своих текстах?
     
     
  • 5.30, Deffic (?), 12:23, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    >а сколько господ даже здесь рассуждают о языке без намёка на MVC
    >в своих текстах?

    MVC никто не отменял.

     
     
  • 6.33, thirteensmay (?), 12:51, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    НеMVC тоже ;)


     
     
  • 7.34, Deffic (?), 12:57, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    >НеMVC тоже ;)

    Согласен.
    Фанатизм - Зло!

     
  • 6.40, Cobold (??), 14:29, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    > MVC никто не отменял.

    я скорее о том что очень многие php программисты или о нём совсем не знают, или не понимают зачем он им нужен (или не нужен). В большинстве дискуссий это заметно.

     
     
  • 7.74, AlexAT (ok), 13:50, 12/05/2010 [^] [ответить]     [к модератору]  
  • +/
    А вы даже для HelloWorld готовы юзать MVC ... весь текст скрыт [показать]
     
  • 2.14, polymorphm1 (ok), 03:57, 18/02/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    это верно причём код на PHP можно писать довольно надёжно, но выглядеть такой... весь текст скрыт [показать]
     
     
  • 3.21, XoRe (ok), 10:34, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален php name_arg stripslashes _GET name href h... весь текст скрыт [показать]
     
     
  • 4.25, Deffic (?), 11:47, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Смешиваем код с html ... весь текст скрыт [показать]
     
  • 4.62, polymorphm1 (ok), 03:20, 20/02/2010 [^] [ответить]     [к модератору]  
  • +/
    не потомучто смотрите как вы называете свои переменные href -- это например ... весь текст скрыт [показать]
     
  • 1.11, polymorphm1 (ok), 03:35, 18/02/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    больше всего нанавижу что люди (разработчики функциональных web-страниц) -- недооценивают возможность Cross-Site Request Forgery (CSRF) при разработке своих страничек ...

    ..каждые 9/10 сайтов подвержены "межсайтовой подмене запроса" , и ПОДСТАВЛЕНЫМИ таким образом оказываются ПОЛЬЗОВАТЕЛИ таких сайтов .

    ...например напишут от твоего имени сообщение на форуме opennet.ru оскорбительного содержания, а ты потом доказывай кому хочешь что просто-навсего opennet.ru не проверяет испочник (HTTP_REFERER) POST-запроса , а следовательно запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip :-( ...

    # p.s.: про Opennet -- сказал чисто гипотетически . на самом деле может он и проверяет HTTP_REFERER при принятии POST запроса , этого я не проверял ещё покачто :-)

    # p.p.s.:
    хорошо хоть "window.XMLHttpRequest" [при использовании XML или JOSN] уже ПОУМОЛЧАНИЮ ЗАЩИЩЁН от CSRF , и web-разработчику не нужно прилогать дополнительные усилия для фильтрования запросов в зависимости от источника (а можно лишь наоборот приложить дополнительные усилия -- чтобы создать дыру в безопасности :-) , но так делать врядли кто захочет ) .
    ...
    ...в отличии от статических HTML POST "<form ...></form>" , где если не написать дополнительной строчки кода [проверяющщей HTTP_REFERER] -- то ДЫРА СУЩЕСТВУЕТ какбы ПОУМОЛЧАНИЮ...

     
     
  • 2.28, thirteensmay (?), 12:15, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    А чем перехват и подмена кук и ip отличается от подмены HTTP_REFERER ?
     
     
  • 3.31, Аноним (-), 12:35, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    От подмены IP защитит протокол TCP IP если вы не внедрились в канал связи Пер... весь текст скрыт [показать]
     
     
  • 4.36, thirteensmay (?), 13:31, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ? И для этого даже не придется прослушивать канал связи ?
     
     
  • 5.46, Аноним (-), 16:36, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Нет Или это дыра в браузере Может быть запрос любой страницы или любого действ... весь текст скрыт [показать]
     
     
  • 6.48, thirteensmay (?), 17:36, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    Какая дыра в браузере ? Запрос отправляется не из браузера а с сайта злоумышленника. Я не понимаю почему человек считает что если у него перехватили куку то он сможет защититься реферером, он же в плане безопасности по сравнению с куками сопля полная, светиться всем.
     
     
  • 7.53, Аноним (-), 19:04, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Нет Из браузера Referer сайт злоумышленника Куку не перехватили Всё работае... весь текст скрыт [показать]
     
     
  • 8.54, thirteensmay (?), 19:33, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    > Куку не перехватили

    Цитирую:
    > например напишут от твоего имени сообщение на форуме opennet.ru оскорбительного содержания, а ты потом доказывай кому хочешь что просто-навсего opennet.ru не проверяет испочник (HTTP_REFERER) POST-запроса, а следовательно запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip

    Referer может подменить клиент, все правильно, но не клиент обычного пользователя а клиент установленный на сайте злоумышленника, когда пользователь попадет на злосайт он засветит там свой referer, да вобщем то его и так легко подставить, мы же знаем какой сайт атакуем, тогда referer ничего не даст, запрос от злоклиента придет с правильным реферером, а вот у честного пользователя он поменяется и его запросы будут отвергнуты.

    или чего я непонимаю ?

     
     
  • 9.55, Аноним (-), 19:57, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Не нужен Засветит откуда пришёл Злосайту это не важно Referer может подменить... весь текст скрыт [показать]
     
     
  • 10.56, thirteensmay (?), 20:44, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    > Referer может подменить клиент, но не другой сайт
    > клиент установленный на сайте злоумышленника Не нужен

    За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным реферером
    > запрос от злоклиента придет с НЕ правильным реферером

    Почему ? мыж его ручками подправим
    > Реферер даст адрес страницы злосайта, на которой пользователю предложили/заставили совершить действие.

    Реферер пользователя после посещения злосайта да, но он нас уже не интересует, пользователь отработан, со злосайта из злоклиента уже ушел запрос на атакуемый сайт с "правильными" параметрами
    > Пользователь всегда честный

    Да, но его честь можно украсть

    Какой сути я не понимаю ? что именно не сработает в предложенной схеме ?

     
     
  • 11.57, Аноним (-), 21:17, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Отправлять запрос злосайт не будет Он показывает страницу Реферер формируется ... весь текст скрыт [показать]
     
     
  • 12.58, thirteensmay (?), 21:39, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    >Отправлять запрос злосайт не будет. Он показывает страницу.
    >Реферер формируется браузером пользователя, а не страницей и не скриптом на ней.

    Да злосайт сайтом называется только ради красоты, обычная машинка с доступом к сети и "специализированными" скриптами, HTTP сервера там может и не быть, главное чтобы он слушал команды злоумышленника и мог формировать произвольные HTTP запросы, это не сложно, ну если уж совсем хочется то можно и HTTP сервер прикрутить и перехватывать рефереры пользователей, но это уже не суть. Вот я и предлагаю чтобы когда надо этот злоклиент отправил запрос с необходимыми параметрами на атакуемый сайт.

    >Злосайт не имеет такого же доступа на сайт, как пользователь
    >Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip.

    В том то и дело что известны, цитирую автора еще раз:

    >с использованием МОИХ Cookie и моего ip

    Он предполагает что куки уже перехвачены, а также имеется возможность подставить ip, и после этого предлагает защищаться реферером, а вот этого я уже не понимаю. И вообще, ведь далеко не каждый сайт подразумевает авторизацию (куки) и уж тем более проверку ip.

     
     
  • 13.59, Аноним (-), 22:13, 18/02/2010 [^] [ответить]     [к модератору]  
  • +/
    Нет Ради определённости Нужны термины для ведения дискуссии Да Нет И то и д... весь текст скрыт [показать]
     
     
  • 14.60, thirteensmay (?), 22:32, 18/02/2010 [^] [ответить]    [к модератору]  
  • –1 +/
    Ооо ! кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, т.е. не их перехват и запрос с подставного сайта, а склонение пользовательского браузера к отправке запроса на оригинальный сайт но с измененными параметрами, не теми что ввел пользователь. Т.е. автор просто неверно сформулировал часть предложения, вместо:

    >запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip

    следовало бы написать чтото типа:

    >запрос мог быть выполнен из моего браузера, но с подставными параметрами, и естественно с моими Cookie и ip

    так ???

     
     
  • 15.61, Аноним (-), 22:40, 18/02/2010 [^] [ответить]    [к модератору]  
  • +/
    >так ???

    Да.

     
  • 15.63, polymorphm1 (ok), 03:37, 20/02/2010 [^] [ответить]    [к модератору]  
  • +/
    > так ???

    да так :-)

    давно меня небыло на этом обсуждении, извеняюсь :-(..


    просто когда я говорил что "запрос придёт с сайта" -- я не конкретизировал кто конкретно его будет посылать (www-browser или www-server) ,

    ....потомучто сайт он же не только на сервере -- но и на моём  [клиентским]компьютере: javascript'ы сайта например обрабатываются моим [клиентским]процессором (чего кстате не делается на сервере) , HTML и CSS рисуются тоже моим [клиентским]процессором , ды даже сама картинка сайта -- показывается на моём [клиентским]мониторе :-)

    ..такчто неподумал что моя формулировка "отправить с сайта" может когото ввергнуть в смуту (что ктото подумает что сайт это ТОЛЬКО то что работает на www-server)

    простите :-(

     
  • 1.37, luzers (?), 14:14, 18/02/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Распечатать и большим плакатом в программерских развесить.
    для альтернативноодаренных - заставлять зубрить.
    потом спросить за отче наш, гимн СССР и гимн России)
     
  • 1.75, gHg (?), 09:15, 04/07/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    админам составьте пожалуйста ПОЛНЫЙ список из инета, обязательно по категорям (языки, назначение программ/алгоритмов,....).
    + >"Отсутствие шифрования конфиденциальных данных, например, хранение номера кредитной карты в БД в открытом виде"
    - полуказанно, так даже шифруя их - они могут быть взломаны, или тупо проданы персоналом или владельцем.
    ----
    + использование скриптов - как формы backdoor под видом ошибок транслятора/JIT или библиотек, тем более если могут выполнять себя динамически(без компиляции/трансляции) вроде интернетовских
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor