Blog eName
Category: "Securitate"

Una din metodele folosite de "baietii rai" pentru a sparge conturi se bazeaza pe injectarea de cod JavaScript in paginile atacate (XSS) si culegerea unor date private (cum ar fi identificatorul de sesiune stocat in cookie).

In 2006 Microsoft a inventat httpOnly, un cuvant trimis in header care specifica faptul ca un cookie setat de server nu poate fi accesat din JavaScript sau alte scripturi care ruleaza in browser. Ideea, foarte buna de altfel, a fost implementata in IE6 SP1 si ulterior in FireFox 2.

Totusi a aparut repede o problema: Ajax, la moda in ultima vreme, mai exact XmlHttpRequest, permitea trimiterea unei cereri catre server si prelucrarea headerelor returnate, inclusiv a cookie-urilor, in cazul in care erau setate in mod repetat de server (si se pare ca in PHP ar fi comportamentul implicit). In felul acesta, toata protectia introdusa de httpOnly era compromisa. Rezolvarea a venit in decembrie 2008 pentru Internet Explorer si luna asta pentru Firefox (testat pe versiunea 3.1 beta) Ambele browsere au eliminat posibilitatea de a citi cookie-urile setate cu httpOnly din XmlHttpRequest. Probabil, in cateva luni, multi vor face upgrade la browsere si internetul va deveni un loc mai sigur :) Doar pana cand se vor inmulti atacurile bazate pe Flash (care ofera tot timpul posibilitati nebanuite).

O simpla linie de cod PHP poate proteja aplicatia de atacuri XSS:

ini_set("session.cookie_httponly", 1); 

Referinte:

• https://bugzilla.mozilla.org
• http://ha.ckers.org/blog
• http://www.owasp.org
• http://www.microsoft.com/technet/security/

Postat in Securitate

La o analiza sumara, cel putin 11 din cele 41 (?) de site-uri inscrise la Gala Premiilor eCommerce 2008 au probleme de securitate care le-ar putea afecta activitatea. Asta inseamna peste 25% .. destul de mult. Tehnic, e vorba despre XSS, aka Cross-Site-Scripting, care inseamna injectarea de cod (de obicei javascript) intr-un site prin intermediul unor variabile nesecurizate (sau in cazul unora din site-uri, insuficient securizate). Din fericire, o astfel de vulnerabilitate e destul de usor de depistat si reparat, dar ar fi mult mai bine daca autorii site-urilor ar evita din start astfel de probleme. Prin XSS se poate de exemplu manipula sesiunea (asta inseamna ca, in anumite conditii, cineva sari peste autentificare). Sau, daca datele sunt salvate in site si accesibile si altor vizitaori (de ex: "ultimele cautari"), li se pot fura datele de acces ale acestora din urma, ii pot infecta cu diversi virusi/etc. Nu-i nevoie decat de putina atentie pentru a evita astfel de probleme.

Postat in Securitate

FTP, unul din cele mai vechi protocoale pentru transferul de fisiere intre client si server, sufera pe partea de securitate. Mai exact, parola este trimisa in clar intre client si server si poate fi interceptata de rauvoitori. Din fericire, solutii sunt mai multe. Toate conturile de FTP din cPanel permit conectarea la server printr-un protocol securizat numit FTP over SSL explicit (care foloseste o conexiune SSL). Avantajul unei conexiuni SSL este dublu: pe de-o parte se stabileste o conexiune criptata intre computer si server iar pe de alta parte se autentifica serverul (pentru a evita atacurile de tip man-in-the-middle). Am testat aceasta conexiune in doua programe (clienti) FTP: FileZilla, disponibil gratuit (poate fi descarcat de aici) si SmartFTP (comercial + licenta de evaluare). Filezilla are un sitemanager care permite setarea FTP over SSL explicit: Dupa conectare va apare o fereastra de notificare in care se prezinta datele din certificat. Este nevoie sa acceptati certificatul SSL ca fiind de incredere (chiar daca certificatul SSL folosit de server este emis de o autoritate de certificare recunoscuta, numele de domeniu difera de cele mai multe ori de cel de pe certificat). In SmartFTP exista o iconita in bara de adresa, langa numele hostului, de unde se poate selecta protocolul (implicit este FTP): Odata problema conexiunii pana la server rezolvata mai ramane doar sa va protejati propiul calculator impotriva virusilor (in special a troienelor sau a keylogg-erelor care va pot fura parola stocata respectiv introdusa).

Postat in Securitate

Acunetix ofera gratuit un program pentru detectarea problemelor de securitate ale unui site web. Se scaneaza doar posibilele vulnerabilitati XSS (cross-site-scripting) - cauzate de programarea defectuoasa a site-urilor.
 
L-am testa pe un site care stiu sigur ca are astfel de probleme dar fara niciun rezultat. De aceea e recomandata o verificare a site-ului inainte de lansarea in productie - macar minimala, prin inlocuirea unor valori din URL cu un javascrip alert(1); pus frumos intre taguri.

Postat in Securitate

Înapoi