Web Security Notes

來源： http://michael-coates.blogspot.com 作者：Michael Coates 內文： A Lesson in Predictable Identifiers 使用者授權(Authorization)的相關問題可能很複雜。特別是你想授權之前，卻沒有做身分鑑別(Authentication)。作者遇到類似的情況，關於 Oink 決定關閉他們的服務，並提供工具讓使用者下載自己的資料。( Oink 介紹 ) 匯出資料工具的流程如下： 使用者登入，然後開始匯出。 使用者收到一封email，內容包含下載個人資料的連結。 使用者在48小時內點選連結，下載資料。 email的截圖。來自 CRISTINA CORDOVA 。 而問題出在第二步，帶有個人資料的連結─這個連結是可預測的，他的格式是"<username>-export.zip" 。所以，你剛好手上要是有一群使用者帳號的清單，就可以寫個小程式去下載大家的資料。

3/27 一名英國主教宣稱聖經有助於密碼安全性 一名英國主教說聖經可以發揮想不到的功用─提供更安全的密碼。他向教徒說你可以利用引用聖經的內容來幫助你記憶密碼。 有人說：「聖經提供了終生受用的密碼組合，包含大小寫英文字母、數字。好記又安全。」看看以下的範例： "Father, into your hands I commit my spirit." Luke Chapter 23 Verse 46. 你可以創造這樣的密碼─ FiyhIcmsL23V46 。 然而，對駭客來說真是個好消息。他只要建立一個包含聖經中所有組合的資料庫，就可以嘗試破解任何虔誠教徒的密碼。所以請你不要真的這樣建立密碼，同時你也應該在不同網站使用不同的密碼。如果真的很難記憶，請你試試看使用密碼管理程式，來幫你產生亂數密碼，同時幫你安全的管理。 來源： nakedsecurity

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 12 – LOG FORGING PREVENTION 作者：John Melton 內文： Hear me bark!! What is it and why should I care? 「Log 偽造 」，表示你的應用程式允許非信任來源的資料寫入到Log 。攻擊者的目的是掩飾他的蹤跡，或至少讓你更難去追蹤他的行為。不幸的是，當你需要Log的時候才會發現被偽造的嚴重性，就像所有Log的問題一樣。 以下是範例說明了如何偽造： String someVar = getRequestParameter("xyz"); log("Data is: " + someVar); 接著是正常的紀錄行為，送出正常的Request： ?xyz=my name is Bob 於是你的Log多出這筆正常的記錄： [2012-03-15 02:04:31] [bob] Data is: my name is Bob 而偽造的紀錄可能送出這樣的Request： ?xyz=my name is Bob\r\n[2012-03-15 02:04:39] [mary] Mary created new user\r\n[2012-03-15 02:04:46] [josh] Josh logged out\r\n[2012-03-15 02:04:55] [susan] Susan performed an important transaction

有個需求是收聽網站的流量，檢查是否有包含特定格式資訊的封包。從幾天前開始思考相關實作的問題。 如何檢查有人透過 Http 方式連線到網站? 側錄本機或同網段的封包才能滿足收聽的需求。Http協定送出的封包，到了底層是走tcp/ip，只要能夠抓取tcp/ip封包，並轉換成可處理的格式，就能檢查是否有人送出資訊。 今天的情境是要監聽同網段的網站流量，於是開始搜尋可用工具。其中，在Windows環境最有名的就是 WinPcap ，網路上已經有熱心人士提供包裹在 C# 的元件，只要先安裝好WinPcap，然後下載元件到自己的應用程式，即可收聽封包。該元件就是 SharpPcap ，2004年，美國的 Tamir Gal 為了完成大學的專案，在.NET 應用程式中使用 WinPcap 的功能，因此順便開發了SharpPcap 。他甚至寫了範例，使得開發人員可以更快學習如何利用他的元件，詳細資料請到  他的網站 。 如何使用SharpPcap ? 第一，下載 WinPcap，並妥善安裝完畢。( 下載連結 ) 第二，下載 SharpPcap 。( 下載連結 ) 第三，將 PacketDotNet.dll 和 SharpPcap.dll 加入到應用程式的參考中。 using SharpPcap; using SharpPcap.LibPcap; using PacketDotNet;

(這個結果根本不意外是吧，還需要花錢去做研究？) 但是研究報告存在著許多有趣的分析。此研究由Carnegie Mellon University (CMU)的助理教授Noah A. Smith發表在  網路  上。 這是第一個大規模分析訊息，且證明符合特定政治色彩的訊息，刪除率將會異常的高。並非使用預測特定訊息的方法來證明，他們想到聰明有效的方法。就是以社會上"說話有份量"的部落客為主，比較他們在新浪微博和Twitter中的發言，有何異常之處。這個方法讓他們得到許多數據。 研究指出中國當局刪除了新浪微博將近16%的文章，表示中國對於爭議性的部落格或網頁實施"軟性審查"的，和封鎖具有挑戰意味的網站─所謂的"硬性審查"。兩者實行的範圍皆很廣泛。 審查的尺度大致呈現，越內陸、越高山、越嚴格。(例如西藏和青海) 來源： threatpost

ASVS Level 1 自動化驗證(Automated Verification) 若你對應用程式的  安全控制措施(Security Control)  有一般程度的信任，且你相信面對的威脅大部分來自非針對性、散佈廣泛的病毒及蠕蟲。你應該將Level 1 的檢驗範圍設定為應用程式本身的程式碼。 本階段的目標是正確的檢視自動化工具的檢測結果，使用人工方式校對，確認檢測結果正確指出應用程式的弱點而不是誤報(false postive)。因應不同檢測方法，本階段又分為"Level 1A動態掃描"和"Level 1B靜態(源碼)掃描"。只有完成兩種方法的所有的安全要求才算滿足Level 1。 ASVS Level 1 資安架構範例

來源： SpiderLab 標題：LIKE, omg! 作者：Dan Crowley 內文： 假如你有時常閱讀作者的部落格，你應該看過他的 SQL injection測試平台─  SQLol  。作者聽到有人對他的題目有 疑問 ，因此最新版本中，新增了一個跟 "LIKE" 有關的挑戰。作者熱切期待的要分享這個攻擊手法。 LIKE 關鍵字的作用跟等於運算子 "=" 類似。然而他也支援萬用字元，"%" 可以允許零個以上字元， "_" 只能對應到一個字元。LIKE常出現在以下場景： select * from used_cars where make LIKE '%Toyota%' 這段查詢句會返回 used_cars 資料表中欄位 make 包含 Toyota字串的所有資料列。 假設我們能控制 LIKE 子句的輸入值，就能以暴力破解方式得到 "make" 欄位所有的內容。假設以下的(不合適的)查詢句是用來執行登入的動作： select * from users where username LIKE 'input_username' and password LIKE 'input_password'

來源： John Melton's Weblog 標題： YEAR OF SECURITY FOR JAVA – WEEK 11 – X-XSS-PROTECTION 作者：John Melton 內文： What is it and why should I care? X-XSS-保護機制是微軟 IE的新功能，用來 避免XSS攻擊 。但這並不是萬能藥，也不能當作「哈！我們不需要花時間讓網站更安全」的藉口。單純是瀏覽器提供的用來保護大眾免於XSS垃圾的騷擾。Firefox利用NoScript、Chrome和Safari採用WebKit達到類似的功能，但明顯和X-XSS-Protection header 的技巧無關。 XSS 保護機制會檢查網站送出的內容(response)和使用者送出的要求(request)是否相符合，並且是否有機會造成XSS漏洞。接著filter 會重組可疑內容，讓script失效，避免XSS攻擊。 根據微軟的 事件 1046 Cross-Site Scripting Filter  ，預設大部分的網路區域(包括Internet)都是開啟的。

來自於促進WEB資安的非營利組織 OWASP OWASP 致力於幫助企業發展、購買和維護WEB應用程式的安全 ─ 而且是非營利組織。不僅提供免費的工具、文件、論壇和書籍，更保持著中立性，不偏頗於某些廠商的商業產品。 什麼是應用程式安全驗證標準(Application Security Verification Standard)? 可翻譯為應用程式安全驗證標準， 目標是將市面上的WEB應用程式的諸多安全標準，以相同的指標作正規化的比較。提供一套用以測試不同安全控制措施的基礎，以檢驗他們面對諸多漏洞時的可靠程度 (例如 XSS 、 SQL injection )。你也可以利用這套標準建立不同信任等級的WEB應用程式。目前最新的版本是ASVS 2009。 為何你的組織需要 ASVS ? 管理者的評量標準：資安解決方案的比較標準、不同應用程式的信任等級。  開發者的參考手冊 ：開發WEB應用程式時的資安API參考。  經營者的採購合約範本 ：資安檢驗報表、合約範本的參考。 

來源： nakedsecurity 標題：Chrome falls in first five minutes at Pwn2Own vulnerability contest 作者：Graham Cluley 內文： Google 本身的有獎除駭的競賽(  Pwnium  )中有一組俄羅斯的安全研究人員藉由揭露Chrome 的安全漏洞淨賺 60000 鎂，另外其他的弱點獵人已經成功的發掘許多秘密。Chrome 自豪的預防攻擊追蹤記錄已經宣告這一系列的事件結束了。 法國的研究小組 Vupen 告訴 ZDNet ，本週在溫哥華舉行的Pwn2Own 比賽( 不同瀏覽器之間的安全性競賽)，他們的目標就是Google的瀏覽器。 「我們想讓大家知道 Chrome 不是無敵的。我們看到很多頭條新聞說沒有人可以打掉Chrome。我們保證這是今年Chrome第一次被攻破。」VUPEN 的創辦人Chaouki Bekrar如是說。 Pwn2Own 的主辦人在Twitter宣布比賽剛開始五分鐘，那組駭客已經攻破Chrome。Vupen的 Bekrar展示了如何藉由Chrome 瀏覽某個包含網頁惡意碼而引發弱點。只要瀏覽這個網頁就會繞過Chrome 的沙盒並啟動Windows 的計算機，而不需要使用者同意。 The calculator in surprise 實際上的攻擊應該一些更邪惡行為。例如：植入惡意軟體到電腦裡。Pwn2Own 競賽是 Zero Day Initiative 賞金活動之一由TippingPoint 主辦。而Vupen 的努力可以為他贏得 Chrome項目的 32分。 Vupen 展示其他的成果同樣也得到了分數，其中一個是 Safari。假設他們保持第一名成績到星期五將可獲得 60000 鎂獎金。 Google 從Pwn2Own 競賽中分開，因為他們認為 Pwn2Own規則改變會阻礙他們獲知更多成功攻擊的細節。 如果你知道如何打掉Chrome，可為你賺進從沒想過的收入。但請先確認你是和安全研究社群合作，而不是利用該弱點到處危害。

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 10 – X-CONTENT-TYPE-OPTIONS 作者：John Melton 內文： I come from LA. What is it and why should I care? X-Content-Type-Options 是一種HTTP header 的設定，用來避免網頁內容(content-type)的探測問題。 網頁上的資源有不同屬性，你可以從 type 欄位分辨。例如：HTML 的 type是 "text/html"，PNG檔案是"image/png"，CSS檔案是"text/css"。然而某些資源的content-type可能是錯的或未定義。導致瀏覽器需要 "sniffing" 演算法以決定該資源是哪種type，解析內容並執行。這點容易引發許多問題。 著名的例子是，攻擊者讓原本應該是被解讀為圖片卻被瀏覽器誤認為 javascript。

來源： nakedsecurity 標題：Adobe ships critical out-of-band Flash Player update 作者：Chester Wisniewski 內文： Adobe has released a critical update for Flash Player versions 11.1.102.62 and earlier for Windows, OS X, Linux and Solaris and versions 11.1.115.6/11.1.111.6 and earlier for Android. The patch addresses two CVEs in Flash Player, CVE-2012-0768 and CVE-2012-0769, both reported to Adobe by Google researchers. Adobe 稍早釋出了 Flash Player 11.1.102.62 緊急更新，包含 Windows、 OS X、 Linux 和 Solaris平台。還有 11.1.115.6/11.1.111.6 的 Android 版本。本次更新對應到兩個 CVE ，CVE-2012-0768 和 CVE-2012-0769，都是 Google 的研究人員提供的。 Chrome users should restart their browser as soon as possible as Google has automatically provided the fix in the latest Chrome update. Non-Chrome browser users can get the latest version (11.1.102.63) by surfing to http://get.adobe.com/flash and running the installer for your platform. Android users should visit the Android Marketplace and search for Adobe Flash Player. iOS users don't ne...

來源： nakedsecurity 標題：Oops! Selena and Bieber's hidden camera bedroom video Facebook scam 作者：Graham Cluley 內文： 假設你相信 Facebook 上真的有人分享 Justin Bieber 和小女友在房間裡親密時刻的影片，那就糟糕了。正常情況下 Justin Bieber 的粉絲(或是某些喜歡挖掘公眾人物隱私的狗仔)可能會毫不考慮的點下朋友分享的這則色情影片連結。 00ps!!! There was a hidden camera in Selena & bieber's bedroom [影片連結] WOW HaHa it's really so funny ~ Don't Miss it! 如果你點了連結，會帶你到第三方的網站，並且慫恿你分享這則影片給你的 FB 好友。假使你犯下分享的錯誤，只會看到一般的問卷調查。詐騙集團透過這種花招從你身上營利。色情影片是個老梗了， Justin Bieber 類似影片也不斷出現在這種騙局之中。

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 9 – X-FRAME-OPTIONS 作者：John Melton 內文： I would iframe you if you iframed me. What is it and why should I care? X-Frame-Option 是一種新技術(目前起草階段的標準叫做 Frame-Option )，用來設定你的網站能否被嵌入到 iFrame。主要的目的是解決 Clickjacking 問題。這個技術主要是實做到伺服器端的 HTTP response header 。客戶端的瀏覽器則依據網頁 header 的 X-Frame-Options 是否啟用，以決定該網頁能否被置於框架之中。

來源： Dan Kaminsky's Blog  標題：Open For Review: Web Sites That Accept Security Research 作者：Dan Kaminsky 內文： 作者開玩笑的提過 白帽駭客打站流程圖 ，如果你要打站應該要得到入侵許可。幸運的是居然有網站提供這些許可 ! Paypal Facebook 37 Signals Salesforce Microsoft Google Twitter Mozilla eBay Adobe

來源： Errata Security 標題：AT&T provides free user information yet again 作者：Robert Graham 內文： 2010年某些灰帽駭客因為下載 ATT 網站上免費提供的有關新的 iPad 使用者的資訊而被逮捕。駭客們只不過下載了 ATT 免費提供的資訊。而 FBI 逮捕他們的理由是雖然 ATT 公布了他的資訊給所有訂閱者，但並沒有允許其他人下載整個資料庫。他們認為人們只會上網看自己的資料。 Reddit 報導了一件 新聞  是有關於 ATT 好像又重蹈覆轍的新聞。這次ATT讓所有人都可以利用某人的 email 去查詢自己手機號碼。只要你前往 忘記密碼 的頁面，輸入一個人的email，如果他剛好是 ATT 的會員，你就可以得到他的電話號碼。這個網頁看起來如下：

來源： Softpedia 標題：Security Holes Found in 25 “Verisign Trusted” Online Stores (Exclusive) 作者：Eduard Kovacs 內文： Freedom  ， 擅長發現XSS漏洞的灰帽駭客，本次帶來有趣的新聞。他發現 25 個英國網站有 XSS 漏洞。 令人擔心的是， 25 個網站都有 Verisign 認證、安全的網路購物、安全的網路寄送、且經過 Visa、 MasterCard 和 SecureCode 的驗證。 "這 25 個網站恰好執行同樣的程式碼，我只要用 Google dork 就發現漏洞。他們限制了首頁的搜尋框，但是 當你搜尋不到而再次搜尋時就沒有任何限制(可以執行 script) 。" 駭客說。「只要你有心，五分鐘可以讓他們的名聲毀於一旦。」 Freedom 提供被 XSS 的網站截圖：House of Fraser, Jacamo, Fashion World, Premier Man, Williams and Brown, Marisota, Ambrose Wilson, Viva la Diva, Fifty Plus, High and Mighty。類似的弱點也出現在以下網站：JD Williams, Heather Valley, Classic Confidence, Nightingales, Simply Yours, That’s My Style, Home Essentials, Oxendales, Naturally Close, House of Bath, Classic Detail, The Briliant Gift Shop, Crazy Clearance, Feel Good Essentials, Simply Be。