Перейти к содержанию
p2u

Webspider: Экспресс-анализ защищённости

Recommended Posts

p2u

Positive Technologies + SecurityLab запустили новый проект Webspider (пока Альфа, но сама идея - хорошая). Доработать придётся, естественно, но преимущество в том, что нам пользователям ничего устанавливать не надо. Посетитель может сразу же ознакомиться с потенциальными дырами в системе и поставить патчи.

Для того, чтобы пройти тест, необходимо перейти по ссылке: Webspider Fast Check.

Для пользователей Firefox + NoScript: требуются скрипты.

У меня они многого не обнаружили, естественно, потому что я выдернул всё, что есть (вчера прощался с Acrobat Reader'ом), но я всё же советую всем регулярно проходить этот тест:

a470ad77778e.jpg

Тому, кто хочет ещё больше узнать о том, что выдаёт браузер о системе советую идти сюда. Это уже без оценки безопасности, но всё же - то, что они видят, видят и сайты, где установлены злостные установщики зловредов. Список параметров (70+), которых можно проверить можно найти в колонке с левой стороны.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

На самой странице browserspy.dk какая-то неустойка: кликаешь на ссылку слева - информация появляется и опускается в самый низ страницы.

Для того, чтобы пройти тест, необходимо перейти по ссылке: Webspider Fast Check.

Паул. Тест сделать не удалось. Что-то глюкнуло в анализаторе при столкновении с моим простым IE6. %)

"Альфа" опростоволосилась и написала ошибку на странице.

А сейчас даже сервер у securitylab.ru глюкнул. Все страницы в ауте, но я ведь просто хотел пройти тест. :)

Повторю попозже. :)

***

Повторил позже и уже без антивируса - не берёт. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

у меня сработал, причем по всем браузерам навыдавал результатов. Информация к размышлению :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

А мне он написал,что у меня система х86,хотя у меня х64-хотя скорее всего он смотрит систему по версии браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А мне он написал,что у меня система х86,хотя у меня х64-хотя скорее всего он смотрит систему по версии браузера.

Пока Альфа. Я за идею... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Они там до сих пор заявляют о том, что у меня норм с файрфоксом 3.0.7, хотя уязвимость всё-таки есть (если нет NoScript и скрипты включены): эта дыра позволяет удалённому злоумышленнику выполнить DoS атаку на нашу систему если мы щёлкаем не на ту ссылку. Уязвимость существует из-за ошибки в проверке входных данных. Надеюсь, что Мозилла скоро выпустит патч, и что securitylab скоро обновит базы уязвимостей... :rolleyes:

Эксплоит:

<BODY onload="document.designMode='on';//string

alert('Design mode is on!');

document.removeChild(document.firstChild);//object;

document.queryCommandState('BackColor');

alert('Close the Window to see the crash!');

">

Источник: хакер.ру

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem

http://www.milw0rm.com/search.php вбиваем "exploits"

p2u, обратите внимание на дату выпуска эксплоита:

'2009-02-23 Mozilla Firefox 3.0.6 (BODY onload) Remote Crash Exploit'

С тех пор ни кто не "почесался".

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ rem

Вам плюсик, а Giorgio Maone (автор NoScript) + Wladimir Palant (автор Adblock Plus) по 10 плюсиков за то, что они уже годами спасают задницу Мозиллы и пользователей их дырявого браузера, в который всовываются всё больше и больше ненужных фичей вместо того, как наконец-то исправить некачественную обработку java-скриптов...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Чем опасен, данный вид атаки кроме падения браузера?

бесполезный эксплоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Чем опасен, данный вид атаки кроме падения браузера?

бесполезный эксплоит?

Даже когда данный эксплойт не может быть использован для того, чтобы впарить код, обнаружение ошибок в проверке входных данных всегда плохая новость; есть риск, что это идёт по всей линии, и что можно использовать сам факт в других целях. Я, естественно знаю их решение: 'переходите на 3.5, там всё клёво', угу... Только срок жмёт, так что не надо удивляться если программёры и там серьёзные ляпы наделают; основной код - тот же самый, только теперь можно будет порно посмотреть, и никто, кроме некоторых знать не будет... :rolleyes:

P.S.: Теперь можно через about:blank неприятные редиректы делать на любую страницу в он-лайн и так код внедрить - автор NoScript жёстко кодировал эту страницу в доверенных, возможно по требованию самой Мозиллы...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
что это идёт по всей линии, и что можно использовать сам факт в других целях.

какая разница, что в одном что во всей линии..

в каких других целях? ну так хочеться выяснить для общего развития=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
в каких других целях? ну так хочеться выяснить для общего развития=)

Именно этот, или в целом? Атаки на файрфокс это обычно связано с утечкой данных (даже без установки зловредов). Этот браузер не очень хорошо работает с кэшом и с памятью. Если там что-нибудь повредить, то тогда последствия могут быть непредсказуемые. Полное падание, естественно, только детям интересно, но можно так ДДосить, что он НЕ падает, и таким образом его подготовить к другой атаке. Когда подвисает в он-лайне, программа по любому уязвима.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Именно этот, или в целом?

в целом экслоиты, с возможностью положить браузер..

я бы тоже не стал, паниковать и сразу клепать заплатку, как разработчики браузера и поступили=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
в целом экслоиты, с возможностью положить браузер..

я бы тоже не стал, паниковать и сразу клепать заплатку, как разработчики браузера и поступили=)

У меня этот эксплойт даже не действует, даже когда разрешаю скрипты. Это, скорее всего, мои сверх-оригинальные настройки. И я не вызываю к панике - просто все уязвимости, которые находят в этом браузере почти одного типа. Это меня бесит, но можно не обращать внимания... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

И ещё одна уязвимость. В начале следующей недели будет патч (Firefox 3.0.8):

http://www.securitylab.ru/poc/376318.php

P.S.: На securitylab заявляют, что только работает на Windows, но это не так: на *nix тоже ->

http://milw0rm.com/exploits/8285

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Спустя несколько дней снова попробовал пройти тест. Грузит страничку, грузит - в результате пусто.

И опять, IE6 - стойкий оловянный солдатик, твёрдо стоит на месте. :)

IEэху! Броня крепка и танки наши быстры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Получается что некоторые предпочитают до сих пор пользоваться фаерфоксом 1.5.* И это вполне оправдано. :)

О FF 1.5.* уже никто не говорит - он не поддерживается, но думаю, что такой тип эксплойтов на нём тоже прекрасно работает при отсутствии NoScript. Проблема ещё в том, что Guido Landi (автор эксплойта) выложил PcO против всех правил, так что - до первого апреля надо быть осторожным всё-таки куда ходить. На Mac OS X эксплойт тоже работает. Браузер НЕ падает и память НЕ повредится если вы установили NoScript v 1.9.1.4 и вы попадёте на сайт с эксплойтом, который НЕ в белом списке и если вы запрещаете ВСЁ по умолчанию (плагины, фреймы, и пр.). В таком случае никто ничего внедрить не может.

P.S.1: Мозилла уже 6 месяцев назад получила другой PoC по этой же уязвимости, но там большинство не верили, что можно эксплойт использовать в реальной жизни ('null ptr deref'). Видимо наелись тортом, который Майкрософт им дал в прошлом году при запуске ФФ3... Но теперь всё-таки очухались:

: Exploit code at the link iframes a little xml file with an xslt transform that causes a crash reliably on 3.0 branch and trunk (and presumably 1.9.1, didn’t test). Null, but it’s being called, assuming the worst for the moment.

P.S.2: Тоже пора опять Sun Java обновить - там тоже куча критических уязвимостей...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed

Тем не менее я попробовал пройти тест Webspider Fast Check из-под фаерфокса 1.5 и не получил никаких сообщений про уязвимости в отличии от теста из-под фаерфокса 2.* Конечно у меня подкручен 1.5 через about:config... А если еще и изменить general.useragent.extra.firefox на "левый" то тест вообще ничего не показывает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Тем не менее я попробовал пройти тест Webspider Fast Check из-под фаерфокса 1.5 и не получил никаких сообщений про уязвимости в отличии от теста из-под фаерфокса 2.* Конечно у меня подкручен 1.5 через about:config... А если еще и изменить general.useragent.extra.firefox на "левый" то тест вообще ничего не показывает...

Webspider Fast Check не познаёт ФФ 1.5 (инфы нет в базах). На 2 он по любому ругается (паника! - не поддержвивается уже вендором, щас умрёте, и т.д.) У меня (фф 3.0.7) говорит, что всё клёво... Альфа продукт пока... :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed
Webspider Fast Check не познаёт ФФ 1.5 (инфы нет в базах).

С настройками по умолчанию фаерфокс 1.5 определяется правильно и выдается сообщение о найденных уязвимых плагинах браузера: acrobat,Quicktime,SunJRE,WMP...

Не поддерживается -имхо, не так уж и плохо. Никто уязвимости не будет искать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
С настройками по умолчанию фаерфокс 1.5 определяется правильно

А он говорит, что браузер 'устаревший', и надо обновить до ФФ3? Не думаю. Он просто тупо читает хэдеры...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed
А он говорит, что браузер 'устаревший', и надо обновить до ФФ3?

Нет,не говорит. просто выдает информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..
читает хэдеры

А это это такое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А это это такое?

Заголовки HTTP, который браузер передаёт серверу для того, чтобы с ним возможно было общаться, и чтобы тот мог бы его обслуживать. У меня, например, он говорит: 'Привет, я Firefox 3.0.8. Я сейчас на локальный порт 2382. Мой адрес в данный момент 95.24.x.x, я принимаю только такие и такие данные, у меня скрипты отключены, и печенье не хочу, так что ты не думай...' и т.д.

Откройте ссылку, и вы увидите, что ваш браузер передаёт: BrowserSpy HTTP Headers

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

Забавно, но, установив только что Flock, я наконец прошёл предложенный Вами тест. :)

Но Тест такого браузера не знает, он определил его как Mozilla Firefox 2.0.0.17 - нууу чуть-чуть ошибся. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×