好久没学习技术了,也没怎么研究新的技术了,之前做了几个sql通用注入的版本更新,一直想方法来如何通过脚本来对跨站进行监控。刚才洗澡的时候,突然想起来了点什么,先记录下,随后写点东东测试一下来。^_^。
Archive for 六月, 2008
BY:刺
最近看到又有老外讲到这一点,先扯扯我的体会。
minimize attack surface就是要尽量减少可能被攻击的点。
从战略上来讲,就是解决或者隐藏自己的弱点。
要做到这点,首先需要的就是一个好的架构。
好的架构,可以节省很多事情,从服务器部署方式,网络拓跋结构,使用什么语言,使用什么平台框架,使用什么DB,ACL如何做,如果统一发布、升级、回滚、监控。
在设计一个系统之初,如果能够考虑到这些因素,对minimize attack surface是非常有帮助的,能够起到最佳的效果。
简单来说,比如流程上的逻辑漏洞(就是类似那种step1直接跳到step3的),可能就涉及到了页面控制、webflow等,如果采用spring框架,用配置文件来管理页面流程,就有了一个可控的途径。
虽然框架是死的,不能说用了spring就能完全杜绝这种漏洞;但人是活的,如果有良好的制度保证每个流程都是规范的,都有人review,那么就能把这种漏洞杜绝掉。
再比如说注射,如果数据持久层设计的好,那么注射的风险是可以在人的控制下杜绝掉的。比如使用ibatis,使用sqlmap等,有人来review是否有做变量绑定。
好的架构是缩小攻击面的第一步,那么有的系统已经设计好了,你很难去改变架构,这时候该怎么办呢?
失去最有效率的方法后,只能从别的方面补救。
我们需要尽可能利用科学的方法,做到没有遗漏攻击途径。
首先,要明确需要保护的是什么,什么才是最重要的东西。
这个最重要的东西不一定是BOSS说的,因为很多时候BOSS对于安全的嗅觉不够敏感,这时候就需要安全人员去引导,去访谈。
确定好要保护好的东西后,再分析数据流图。
可能很多人会觉得这样太麻烦了,但我这里讲的是一套科学的方法,而不是拍拍脑袋就能够得出结论的“经验流”,这样得出的结论才有信服力。所以,如果你想让你的老板觉得你足够严谨,那么还是老老实实的分析下数据流图吧!
根据数据流图,你就可以看到正常的、非正常的可以接触到你需要保护的资产的途径了。
你保护的资产可能是一个db,可能是一个vlan,也可能是你BOSS电脑里的小电影。根据不同的资产种类,和到达资产的途径,你就可以开始设计你的安全体系了。
首先根据你的分析结果,看看结合现在的架构,有什么是可以做到彻底杜绝的,有什么是可以慢慢控制收敛的。
比如你担心“员工电脑被木马控制“,那么是否可以让员工只拥有user权限,是否可以升级办公PC到vista,是否可以要求只能使用内部代理上网,是否可以限制办公环境的PC只能上指定网站,是否需要把客服部门单独孤立出来。
这些,就是可以让”员工电脑被木马控制“这一个威胁得到收敛的有效措施。
可以根据你设计的深度防御体系,从各个层面来加以保护。如果要我起个名字,我可以把这种多层次防护叫做: Defense-Stack
Defense-Stack 和 Attack-Surface 是可以正交的,正交的那些点,就是以后工作的焦点和重点。
最后需要注意的是,制度是需要有人维护的,加入了人的因素,才能真正做到minimize attack surface,让你的防御体系转起来。
想法都比较零碎,还没系统的整理过,先讲到这里,以后再补充。
六月 30th, 2008
Microsoft IE location及location.href绕过跨域安全限制漏洞
No Comments, 安全防护, by Neeao, 1,259 views.发布日期:2008-06-26更新日期:2008-06-27
受影响系统:
Microsoft Internet Explorer 6.0 – Microsoft Windows XP SP2
描述:BUGTRAQ…
AntiVir是Avira公司推出的杀毒软件,功能很全面,杀毒迅速准确,获过很多奖项.Avira Premium Security Suite是Avira推出的面向个人用户的收费版本.上次的KEY还没有用完,这次又送开了,红伞和PC Advisor给S版的活动.一样,填写一下联系方法就等着收KEY了.
申请地址:https://license.avira.com/en/promotion-cj0ptfb6eh8cmw6a101r
PS.小红伞现在有V8版本了欢迎大家测试~
原来我总是很自信地以为:你有本事找到 MD5 的碰撞又如何?你难道还有本事让两个可执行文件的 MD5 一样,却又都能正常运行,并且可以做完全不同的事情么?答:还真的可以.
http://www.win.tue.nl/hashclash/SoftIntCodeSign/HelloWorld-colliding.exe
http://www.win.tue.nl/hashclash/SoftIntCodeSign/GoodbyeWorld-colliding.exe
这两个程序会在屏幕上打印出不同的字符,但是它们的 MD5 都是一样的。
通读其论文后摘要如下:
这几位密码学家使用的是“构造前缀碰撞法”(chosen-prefix collisions)来进行此次攻击(是王小云所使用的攻击方法的改进版本)。
他们所使用的计算机是一台 Sony PS3,且仅用了不到两天。
他们的结论:MD5 算法不应再被用于任何软件完整性检查或代码签名的用途。
另:现在,如果仅仅是想要生成 MD5 相同而内容不同的文件的话,在任何主流配置的电脑上用几秒钟就可以完成了。
这几位密码学家编写的“快速 MD5 碰撞生成器”:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip源代码:http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5_source.zip
from:cnbeta
安全专家警告称,IE 6中被发现存在新缺陷.据国外媒体报道称,美国计算机应急小组表示,该缺陷与IE 6处理跨站点脚本攻击的方式有关.恶意代码被嵌入在一个经过特别设计的HTML文档中,安全保护机制就不会正常作用,用户就可能受到攻击.美国计算机应急 小组认为,黑客可以在用户毫不知情的情况下发起跨域名脚本攻击,窃取用户计算机上的cookie和安全证书.
微软还没有发布修正该缺陷的补丁软件,Firefox和IE 7不会受到该缺陷的影响.
安全厂商McAfee和美国计算机应急小组建议IE 6用户升级到最新版本的IE,以避免受到攻击.它们还建议不希望升级的用户关闭脚本功能.
Date:2008-5-15Author:Yamato[BCT]Version:Oblog 4.5-4.6 sql
代码分析:
文件In/Class_UserCommand.asp :
strMonth=Request("month") //第63行
strDay=Request("day")
……
Case "month" //第84行
Dim LastDay
G_P_FileName = G_P_FileName & "month&month=" & strMonth
strDay=Left(strMonth,4) & "-" & Right(strMonth,2) & "-01"
mYear=Left(strMonth,4)
mMonth=Right(strMonth,2)
If…
漏洞说明:http://www.80sec.com/360-sec-browser-localzone-xss.html
文档来源:http://www.80sec.com/release/The-world-browser-locale-zone-xss-POC.txt
漏洞分析:世界之窗浏览器在起始页面是以res://E:\PROGRA~1\THEWOR~1.0\languages\chs.dll /TWHOME.HTM的形式来处理的,而由于缺乏对res协议安全的必要控制,导致页面的权限很高,而该页面中存在的一个xss问题将导致本地跨域漏洞,简单分析如下:
<script language="JavaScript">var nOldCount = 0;for( i = 0; i < g_nCountOld; i ++ ){str_url = g_arr_argUrlOld[i];str_name = g_arr_argNameOld[i];
str_td =…
By:茄子宝
XSS漏洞一般是基于WEB程序的输入输出问题,但最近80SEC开始发现了一系列以IE为内核的第三方浏览器的漏洞,在评估其中的XSS漏洞,我们发现了基于浏览器软件自身设计造成的XSS漏洞所暴发的威力有多么大!
通过类似的漏洞我测试了一个功能十足的浏览器木马,这个“木马”可以控制浏览器所有的行为,甚至包括读取本地任意文件和运行本地任意可执行文件。其实这个木马的权限相当于一个本地直接打开的HTML文档的权限,在这里AJAX没有域的限制,可以对任意域发送请求,window.open弹窗不再被浏览器拦截等等~
下面我就大概描叙下这类攻击的特性:
1.攻击的本质:
实际上这是一小段JAVASCRIPT,我们只是通过漏洞把这段JS感染到每一个用户的浏览器,但是他不再受系统的限制,任何一个有漏洞的浏览器访问了类似页面都会受到攻击。
2.传播的途径:
从传播方式上来说它和传统的网页木马攻击方式没有区别,由于这种攻击对于HTTP请求包括AJAX都没有域的限制,能使用浏览器本地保存的COOKIE,所以可以劫持用户所有WEB应用的身份,它完全能够让已感染主机配合任何网站的应用做蠕虫式的传播。
3.攻击的危害:
我们可以像传统的僵尸网络一样控制大量的浏览器肉鸡,控制浏览器做任意的访问行为和动作。
同时也能针对单个用户做渗透攻击,劫持他所有WEB应用的身份,读取运行本地的任意敏感文件。
4.攻击的展望:
当Active X等溢出漏洞不再风光的时候,以后利用XSS漏洞针对浏览器进行劫持攻击将是一个大的趋势。
产品官方:360安全浏览器是全球首款采用“沙箱”技术的浏览器,能够彻底避免木马病毒从网页上对你的计算机发起攻击。360安全浏览器完全突破了传统的以查杀、拦截为核心的安全思路,在计算机系统内部构造了一个独立的虚拟空间—— “360沙箱”,使所有网页程序都密闭在此空间内运行。因此,网页上任何木马、病毒、恶意程序的攻击都会被限制在“360沙箱”中,无法对真实的计算机系统产生破坏,真正做到百毒不侵。360安全浏览器只有1.6M,小巧轻快、功能丰富,适合快速安装。除独家采用的“沙箱”技术外,360安全浏览器还集成了恶意代码智能拦截、下载文件即时扫描、恶意网站自动报警,广告窗口智能过滤等强劲功能,是目前市面上最安全的浏览器。
漏洞成因:360在软件被关闭时,如果有未关闭的标签,为了实现用户友好,该标签会在360的起始页面中被显示出来,但是360浏览器在处理用户输入上存在一点问题,导致软件中产生一个跨站脚本漏洞。该跨站脚本漏洞运行的上下文是在res://协议中,也就是在本地域中,所以拥有完全的访问权限,可以读取敏感文件甚至执行命令。
漏洞利用:在厂商修补该漏洞前,80sec不会发布利用细节
漏洞影响:最新版本360安全浏览器,其他浏览器也可能有类似漏洞:)
漏洞来源:http://www.80sec.com
漏洞状态:已经通知厂商本站内容均为原创,转载请务必保留署名与链接!360安全浏览器本地xss跨域漏洞:http://www.80sec.com/360-sec-browser-localzone-xss.html