Стреляем в ногу, обрабатывая входные данные
Связующее звено сегодняшней статьи отличается от обычного. Это не один проект, для которого был проведён анализ исходного кода, а ряд срабатываний одного и того же диагностического правила в нескольких разных проектах. В чём здесь интерес? В том, что некоторые из рассмотренных фрагментов кода содержат ошибки, воспроизводимые при работе с приложением, а другие – и вовсе уязвимости (CVE). Кроме того, в конце статьи немного порассуждаем на тему дефектов безопасности.
Топ самых интересных CVE за январь 2024 года
Всем привет! Первый месяц года выдался богатым на любопытные CVE. Так, шуму наделала критическая уязвимость в Jenkins, к которой быстро опубликовали ворох эксплойтов. Также засветились CVE на GitLab на запись произвольных файлов и RCE в продуктах Cisco с потенциальным root-доступом. Критическими уязвимостями отметился GitHub Enterprise Server, и, конечно же, не обошлось без экстренного исправления россыпи багов в Google Chrome. Об этом и других интересных CVE января читайте под катом!
Топ самых интересных CVE за февраль 2024 года
Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт которой шёл в феврале. Несколькими критическими уязвимостями смогли похвастаться продукты от Microsoft, включая RCE в Outlook и повышение привилегий на Exchange Server. А CMS Joomla выбила сразу пять XSS-уязвимостей за месяц. Об этом и других интересных CVE февраля читайте под катом!
Топ самых интересных CVE за октябрь 2023 года
В этой подборке представлены самые интересные уязвимости за октябрь 2023 года.
Подведем вместе итоги второго месяца осени, поехали!
Mercury — вестник android-багов
Здравствуйте, дамы и господа. Сегодня мы рассмотрим, с помощью чего и как можно находить уязвимости в своих и чужих android-приложениях. Также увидим, что благодаря этим уязвимостям может сделать атакующий. Помимо этого, я приведу примеры уязвимостей, которые были найдены в рамках конкурса «Охота за ошибками» от компании Яндекс.
Как PVS-Studio может помочь в поиске уязвимостей?
Уязвимость в терминах компьютерной безопасности — недостаток в системе, позволяющий намеренно нарушить её целостность или вызвать неправильную работу. Как показывает практика, даже, казалось бы, незначительный баг может являться серьёзной уязвимостью. Уязвимостей можно избежать, используя различные методики валидации и верификации программного обеспечения, в том числе — статический анализ. О том, как с задачей поиска уязвимостей справляется PVS-Studio, и пойдёт речь.
Что не так с уязвимостями в C# проектах?
Эта небольшая заметка является промежуточным итогом на тему поиска уже известных уязвимостей в open source C# проектах. Я хотел посмотреть на примеры кода, который бы являлся уязвим и был причиной появления очередной CVE, но оказалось, что не всё так просто…
Security of mobile OAuth 2.0
Popularity of mobile applications continues to grow. So does OAuth 2.0 protocol on mobile apps. It's not enough to implement standard as is to make OAuth 2.0 protocol secure there. One needs to consider the specifics of mobile applications and apply some additional security mechanisms.
In this article, I want to share the concepts of mobile OAuth 2.0 attacks and security mechanisms used to prevent such issues. Described concepts are not new but there is a lack of the structured information on this topic. The main aim of the article is to fill this gap.
Как я в 15 лет взломал хостинг
Был тёплый, солнечный обед, все шло своим чередом.
Я писал колесо фортуны в интернет-магазине для сети магазинов мяса, в котором можно выиграть продукт...
Захват флага: Практика уязвимости веб-приложений на Node.js (часть 1)
В прошлый раз наша команда провела небольшой семинар по JavaScript (Посмотрите статью здесь: 8 викторин по Javascript, которые могут сбить вас с толку). И у нас все получилось довольно хорошо. Всем понравилось решать эти небольшие задачи.
На этот раз мой товарищ по команде принес практикум по поиску уязвимостей в веб-приложениях Node.js.
Это несложно. В веб-приложении есть 2 уязвимости. Способ "захватить флаг" — означает успешно войти в систему. Если вам все удалось, текст flag будет отображен на странице.
Как убедиться, что код библиотеки не был изменен?
Любые Open Source проекты потенциально подвержены риску вредоносной модификации сторонними контрибьюторами и уязвимость может появиться на любом уровне распространения кода — от исходных текстов до двоичных артефактов, которые связываются с прикладными программами. Кроме того, нередко в библиотеках и подсистемах Linux обнаруживаются ошибки, которые могут привести к нарушению функционирования системы, аварийному завершению приложения или обходу механизмов безопасности и важно иметь возможность быстро обнаружить все затронутые этой ошибки компоненты и выполнить выпуск заплатки для 0-day уязвимости.
Для решения всех этих задач Linux Foundation в 2010 году предложил формат для описания юридических аспектов использования программного обеспечения (в частности, лицензии), происхождения артефакта (исходного кода или двоичного файла), способов контроля целостности объекта, а также зависимостей от других объектов. В 2021 году формат был принят как стандарт ISO/IEC 5962:2021 (спецификация SPVX V2.2.1) и является основой для определения SBOM (Software Bill of Materials), которые описывают зависимости компонентов, способы их верификации и описание цепочки поставок для валидации источника.
В статье мы обсудим общие принципы описания SPDX и инструменты (включая недавно открытый Microsoft SBOM Tool, ранее назывался Salus), для создания SPDX/SBOM (в том числе, для автоматической генерации на основании файлов спецификации зависимостей проекта).
20 years of payment processing problems
Thanks to yarbabin for the logo
Electronic payment systems have existed on the Internet for a long time, and some bugs in them are twenty years old. We've found critical vulnerabilities allowing us to steal money and drive up the balance. Today we will analyze typical implementations of payment processing and related security issues.
Можно ли доверять библиотекам, которые использует ваше приложение?
Если вы знакомы с современными техниками написания высококачественного кода, тогда, пожалуй, вам не стоит волноваться об уязвимостях кода, который вы написали. Однако, обычно приложения используют сторонние библиотеки (зависимости) - можно ли доверять им?
Пожалуй, нет. В мире насчитывается огромное количество разных библиотек и мы не можем быть уверены, что все они безопасны и что в них нет уязвимостей. Но возникает вопрос, как тогда удостовериться, что мы не добавим в наш проект уязвимостей вместе с добавлением новой библиотеки?
Бытовые проблемы добрых хакеров или жизнь в окружении стереотипов
Из этого текста вы не получите никаких новых практических знаний о профессии пентестера. Его цель в другом — развенчать несправедливые стереотипы, исходящие от обычных людей, молодых специалистов и бизнеса. Погрузить вас в реалии социальных отношений, связанных с профессией, заставить сопереживать и немного улыбнуться.
Топ самых интересных CVE за август 2023 года
Всем привет! В нашей ежемесячной подборке самых интересных CVE на этот раз засветились уязвимости в браузерах Firefox и Chrome, ворох эксплойтов в продуктах от Logitec, критическая уязвимость в полудюжине маршрутизаторов от Elecom с рекомендациями отправить их в утиль. И другие баги, требующие срочных исправлений. Так что если хотите подвести итоги последнего месяца ушедшего лета от мира CVE, добро пожаловать под кат!
Избавляемся от предупреждений и уязвимостей при установке пакетов с помощью yarn
В публикации речь идет о warnings и vulnerabilities при установке библиотек с помощью yarn и о том, как от них избавиться. Я рассмотрел несколько случаев, приведенных ниже, но решения можно применять и к другим, схожим ситуациям:
Warnings типа:
has incorrect peer dependency
has unmet peer dependency
Vulnerabilities:
Prototype pollution in webpack loader-utils
loader-utils is vulnerable to Regular Expression Denial of Service (ReDoS)
Crash in HeaderParser in dicer
Топ самых интересных CVE за март 2024 года
Всем привет! Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода.
Оригинальной уязвимостью отметились RFID-замки от Saflok: 3 миллиона замков в 13 тысяч отелей и домов по всему миру вскрываются парой поддельных карт. Помимо этого, март принёс критические уязвимости в гипервизорах VMware, NextChat и FileCatalyst, а также очередную вариацию Spectre v1. Об этом и других интересных уязвимостях прошлого месяца читайте под катом!