информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяАтака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Foreshadow продолжает дело Meltdown... 
 Попасть под лошадь 
 Последний спокойный день для сайтов... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 1998
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997




The Bat!

Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



Paragon Partition Manager 7.0

17 ноября 1998, #50

Выпуск юбилейный, практически праздничный.

За последние несколько дней прошло столько взломов, что я несколько утомился их заносить в Underground. Надо будет это дело как-то автоматизировать.

Небольшой анонс. На 27-е число запланирован круглый стол "Хакерство в России. Реальна ли опасность ?". Место проведения - мраморный зал Центрального Дома журналиста. Подробности - здесь. Приглашаются все желающие, но об этом своем желании желательно сообщить заранее.


Вокруг троянцев. Очередная вариация на тему BO - GirlFriend 1.3. Сервер (Windll.exe) весит 300 с лишним килобайт, к тому же виден в списке задач. При запуске прописывает себя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Позволяет выводить на удаленной машине системные сообщения, получать список окон, содержащих поля ввода пароля (с паролем, разумеется), проигрывать звуковые файлы, показывать bmp-файлы, удалять ссылку на себя из реестра (уходя, гасите свет...). По умолчанию садится на 21554-й порт, хотя это значение может быть изменено. За ссылку спасибо Андрею Орешко.

Следующее сообщение даю as is.

Hi

Ya ho4u raskazat' kak mojno obmanut' netbus password protected server.

podklyu4aeshcya 4erez oby4nyi client netbus i doxodish do momenta vvidite password. v eto vremya podklyu4aeshcya 4erez telnet k etoi je mashine i possylaesh string Password;1;any. :) U got access.posle etogo ostetcya lish poslat' string ServerPwd;yourpassword > i netbus server vash :) (10'x to port listener and lan analizer) :)

TRiP


Создатели голосовалки для Золотого УРЛа успешно наступили на классические грабли, характерные для подобных скриптов. Передача данных формы методом GET в сочетании с отсутствием контроля за referer широко открывает дверь всевозможным злоупотреблениям, что и наблюдалось в первые дни.

Чем так плох метод GET ? А тем, что при этом вся информация из формы передается прямо в URL скрипта в виде http://somehost.ru/somescript.cgi?param1=value1&...paramN=valueN. Таким образом, вместо возни с формой, предполагающей свободу пользовательского выбора, можно сделать выбор самим, сформировать подходящий URL, после чего разослать его по конференциям, повесить на свою страницу и т.д. Использование метода POST без контроля за referer ненамного лучше - нужного результата всегда можно добиться с помощью hidden-полей, заполнив их требуемыми значениями и прикрутив JavaScript для отправки формы.

Первый шаг по закрытию дырки очевиден - начинаем отслеживать referer и обрабатывать только результаты, отправленные с нашего сайта (оставляем в стороне тот факт, что поле HTTP_REFERER на самом деле передается броузером и вполне может быть подделано, если пообщаться с сервером по HTTP самостоятельно - с помощью достаточно простого скрипта на Perl'е, чуть подправленного броузера и т.д.). Для метода POST этого почти достаточно - если только у посетителей нет возможности оставлять сообщения на сервере, использующие html-тэги. А вот при использовании GET лазейка остается - достаточно воспользоваться чем-то вроде гостевой книги на сервере, которые обычно позволяют оставить URL пишущего. Указываем в этом поле все тот же сфабрикованный URL, и voila, скрипт сам сделает все, что нам надо.

Не знаю, так ли все было с Золотым УРЛом, но после изучения новостей выстраивается именно такая последовательность - вначале прикрыли referer, потом запретили GET.

Такие дела. Кстати, а вы уже проголосовали за нас ? :)


Евгений Ильченко завел страницу, на которой отслеживаются изменения на самых известных русскоязычных сайтах, занимающихся сетевой безопасностью. Идея очень грамотная, жалко, не мне пришедшая в голову :) Обновляется каждый час.


А на странице JustNews собираются новости о Linux, FreeBSD и просто Unix. Обновляется как правило ежедневно.


Плавно и ненавязчиво продолжая тему Unix... Если вы уже решили отряхнуть со своих ног прах win-прошлого, но на самостоятельные телодвижения решимости еще не хватает, вам прямая дорога сюда. Учебный центр IP Communications проводит набор на юниксовые курсы. Теория дополняется практическими занятиями в учебных классах IP Communications, в классах стоит FreeBSD и Linux. Здесь же можно подписаться на mail-list, посвященный проблемам Unix.


После сообщения о WinScript.Rabbit известие о появлении вируса, заражающего html-файлы, уже не было чем-то неожиданным.

HTML.Internal

Первый известный вирус, заражающий HTML-файлы. При обращении к зараженной странице вирус ищет HTML-файлы на локальном диске и заражает их. При заражении использует скрипты, написанные на языке Visual Basic. Вирус размножается только в том случае, когда в броузере отключены соответствующие Security settings, в противном случае при запуске вируса броузер выдает сообщение об ошибке.

Заголовок зараженных HTML-файлов содержит инструкцию, которая объявляет вирусный скрипт как автоматически выполняемый при открытии файла броузером, т.е. при открытии зараженной HTML-страницы управление автоматически передается на код вируса. Основная процедура вируса с вероятностью 1/6, в зависимости от системного датчика случайных чисел, вызывает процедуру заражения, которая ищет все *.HTM и *.HTML-файлы в текущем и всех родительских каталогах и записывается в их начало. При заражении первоначальное содержимое файлов сдвигается вниз, по этой причине вирус не портит файлы и визуально (при просмотре броузером) зараженные HTML-страницы никак не отличаются от незараженных.

Судя по описанию, работает он только под IE. Видимо, при этом используется нечто на тему создания ActiveX-объектов. Броузер при этом по умолчанию выдает соответствующее предупреждение, но мало ли любопытных ходит по сети...


Как мне подсказал Дмитрий Митрофанов, на Озоне стала продаваться книга "Атака через Интернет". Так что у не успевших поймать ее в книжных магазинах появился еще один шанс. Правда и тут надо поторопиться - запасено всего 4 коробки. Заказать книгу можно здесь.

...День спустя. Можно уже не торопиться - запасы были исчерпаны за день... Не успевшим можно разве что посоветовать оставить заявку в букинистическом поиске на Озоне.

...И еще день спустя :) С Озона сообщают - нашли еще сотню экземпляров...


У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.

«     »



анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach