четверг, 27 января 2011 г.

Аудит DiafanCMS

Буквально пару недель назад я закончил проводить анализ платного движка DiafanCMS. Вначале, увидев очень низкую стоимость продукта, я решил что уязвимостей здесь должно быть много. Но в последствии оказалось что я ошибся. Разработчикам DiafanCMS удалось создать очень хороший продукт с понятным, хорошо структурированным кодом, и отличной защитой. Но я не был бы собой еслиб мне не удалось найти несколько изъянов :), хоть и не критичного уровня риска. Кстати все баги были исправлены достаточно быстро, чего я от платных продуктов в последнее время перестал ожидать.
Теперь я знаю какую CMS выбрать если встанет необходимость поднятия какого-нибудь сайта в короткий срок. Однозначно Diafan. И документация есть, и внутри всё грамотно устроено, и в защищённости сам убедился.А платность продукта, при их цене, вообще никакой проблемы не делает.


Аудит NgCMS

До нового года удалось познакомиться с проектом NgCMS. Это очень не плохой движок с приличным набором пользовательского функционала. Разочаровало одно - нет документации для разработчиков, из-за чего пришлось разбираться в NgCMS практически с нуля. Код внутри оказался достаточно простым и интуитивно понятным, но только тогда когда я хоть чуть-чуть стал понимать азы устройства этой системы. Кстати, такое положение вещей очень редко встречается в бесплатных CMS. Мне чаще попадается очень запутанный код, который с трудом поддаётся анализу (это если исключить очень популярные движки, хотя тут же на ум приходит WordPress... Вообщем вы меня поняли :) ).
В процессе анализа я был сильно удивлён. Дело в том, что были прикрыты практически все места где была хотя бы малейшая вероятность обнаружения уязвимости. Всё грамотно экранировалось, приводилось к нужному типу и т.д. Видно разработчики NgCMS очень хорошие программисты.
Кончилось всё тем что меня поблагодарили и пригласили провести аудит следующей версии, которая должна выйти в ближайшее время :)

Аудит KasselerCMS

Несколько месяцев назад провёл аудит KasselerCMS. Почему пишут об этом только сейчас? Здесь есть несколько причин. Самая первая - данный блог у меня ведётся по типу портфолио, поэтому заносить я сюда буду сообщения о любых аудитах, переводах и прочем. Вторая - выход исправлений. На самом деле если бы я захотел опубликовать данную информацию сразу, то просто не смог бы т.к. обязался перед разглашением факта проверки ждать выхода патчей. Патчи выпускались довольно долго, потому что некоторые найденные проблемы были достаточно не простыми, и разработчикам пришлось много чего переписать. Но несколько дней назад мне всё же дали добро и вот пишу данное сообщение :)
Вообщем в итоге все остались довольны - я нашёл несколько уязвимостей, как и хотел, а разработчики повысили безопасность своего продукта. 




суббота, 22 января 2011 г.

[Из старого] Контроль файловой структуры сайта


В данной статье я хочу рассказать как веб-мастеру можно достаточно простым способом контролировать целостность файловой структуры всего своего сайта. Вариант подходит практически для каждого хостинга, главное чтоб базировался он не на Windows.

Начнём с главного. Зачем это нужно? Большинство сайтов сейчас состоит из двух основных частей — файловой структуры и базы данных. Первая, в основном, занята внутренней работой сайта, а вторая — хранением информации. Почти во всех случаев при нападении или вирусном инфицировании меняется именно файловая структура. Например, взломщик стремится как можно быстрее загрузить шелл на атакуемый сервер, а вирусы вписывают свои тела почти во все php/html/js-файлы. Для того чтоб таких инцидентов не возникало разработчики и администраторы принимают множество мер — от использования антивирусов до развёртывания WAF. Но что делать если атака уже произошла? Понятное дело, что надо устранять её последствия и причины, но от первого пункта до конечного здесь порой может пройти целый месяц, а то и больше.

[Из старого] WebScarab — инструмент для анализа защищённости веб-приложений


Автор: Кузьмин Антон
Дата: 18-02-2009

Последняя версия на момент написания статьи: 20070504-1631
Ограничения: Написан на Java. Для запуска требуется Java JRE/JDK версии 1.4.2 или выше.
ОС: Проект кросс-платформенный.

пятница, 21 января 2011 г.

[Из старого] Перевод официальной документации к плагинам w3af

Перевёл: Кузьмин Антон
Дата: ~05.06.2009

Плагины аудита

xsrf

Плагин ищет уязвимости категории Cross Site Request Forgeries (XSRF)
Для проведения элементарной проверки на XSRF приложение должно отсылать пользователю cookie и принимать от него же один или несколько параметров.

[Из старого] Перевод официальной документации в w3af


Перевод официальной документации в w3af.

Переводчик: Кузьмин Антон
Версия w3af на момент перевода: 1.0-rc2
Официальные сайты: w3af.sourceforge.net / w3af.sf.net
Дата: ~05.06.2009

Введение
Этот документ является пользовательским руководством к фреймворку для атак и аудита веб-приложений w3af. Здесь будет дана базовая информация о фреймворке, о принципах его работы и возможностях.

[Из старого] Siege - утилита для нагрузочного тестирования web-серверов


Перевёл: Кузьмин Антон (Kuzya)
Дата: ~22.07.2009

Автор: Джеффри Фалмер (Jeffrey Fulmer)
Май 2006
  • Введение
  • Параметры запуска
  • Конфигурационный файл
  • Формат URL
  • Файл ссылок
  • Переменные
  • Логировангие
  • Статистика исследования
  • Распространение
  • Платформы
  • Авторы
  • Информация о лицензии

[Из старого] Перевод официальной документации Nikto 2

Перевёл: Кузьмин Антон
Дата: ~23.03.2009 


Глава 1. Введение.

1. Краткий обзор
Nikto – это инструмент для тестирования веб-серверов. Он занимается поиском стандартных или плохо защищённых файлов и уязвимостей связанных с неправильной настройкой ПО сервера.

[Из старого] Paros - инструмент для тестирования web-приложений


Перевёл: Кузьмин Антон
Дата: 17-02-2009

Домашняя страница: http://www.parosproxy.org/
Последняя версия на момент написания статьи: 3.2.13
Ограничения: Написан на Java. Для запуска требуется Java JRE/JDK версии 1.4.2 или выше.
ОС: Проект кросс-платформенный.

[Из старого] ab – Утилита для нагрузочного тестирования Apache-серверов


Оригинальная версия: http://httpd.apache.org/docs/2.2/programs/ab.html
Перевёл: Кузьмин Антон
Дата: 16-04-2009
 
AB — это утилита для нагрузочного тестирования  веб-серверов Apache. Он специально создан для того что бы Вы могли проанализировать стойкость своего веб-сервера к большим нагрузкам. В частности он может показать сколько одновременных запросов сервер может выдержать.