💉 Разработчики Python-фреймворка Django исправили уязвимость внедрения стороннего SQL-кода
Разработчики опубликовали корректирующие версии фреймворка Django 4.0.6 и 3.2.14, в которых исправлена уязвимость CVE-2022-34265. Она потенциально позволяла выполнить подстановку стороннего SQL-кода.
Возможная уязвимость SQL Injection присутствовала в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. Проблема затрагивала приложения, которые использовали непроверенные внешние данные в параметрах kind и lookup_name, передаваемых в функции Trunc(kind) и Extract(lookup_name). Те программы, которые допускают использование только проверенных данных в значениях lookup_name и kind, не пострадали.
Разработчики запретили использовать в аргументах функций Extract и Trunc символы, отличные от букв, цифр и специальных символов. Ранее, в передаваемых значениях не вырезалась одинарная кавычка, и это позволяло злоумышленнику выполнить свои SQL-конструкции.
В версии 4.1 разработчики дополнительно усилят защиту методов работы с датами. Однако, изменения в API могут привести к нарушению совместимости со сторонними бэкендами для работы с базами данных.
🗞 Блог Кодебай
#news #python #web
Разработчики опубликовали корректирующие версии фреймворка Django 4.0.6 и 3.2.14, в которых исправлена уязвимость CVE-2022-34265. Она потенциально позволяла выполнить подстановку стороннего SQL-кода.
Возможная уязвимость SQL Injection присутствовала в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. Проблема затрагивала приложения, которые использовали непроверенные внешние данные в параметрах kind и lookup_name, передаваемых в функции Trunc(kind) и Extract(lookup_name). Те программы, которые допускают использование только проверенных данных в значениях lookup_name и kind, не пострадали.
Разработчики запретили использовать в аргументах функций Extract и Trunc символы, отличные от букв, цифр и специальных символов. Ранее, в передаваемых значениях не вырезалась одинарная кавычка, и это позволяло злоумышленнику выполнить свои SQL-конструкции.
В версии 4.1 разработчики дополнительно усилят защиту методов работы с датами. Однако, изменения в API могут привести к нарушению совместимости со сторонними бэкендами для работы с базами данных.
🗞 Блог Кодебай
#news #python #web
⛏ Злоумышленники начали прятать свой код с помощью WebAssembly
Эксперты компании Sucuri обнаружили необычный JavaScript-майнер, загружаемый при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly чтобы ускорить исполнение сценария и осложнить выявление вредоносных действий.
WebAssembly (.wasm) — это бинарный формат инструкций, который используется в браузере для высокопроизводительных приложений на веб-страницах и выполняется намного быстрее, чем обычный JavaScript.
Вредоносный фрагмент кода был обнаружен в файлах темы на одном из личных сайтов WordPress. Каждый раз, когда посетитель заходит на веб-страницу, вредоносный код WebAssembly загружает на стороне клиента скрипт auto.js со специального домена.
Содержимое JavaScript-файла обфусцировано с помощью CharCode. При декодировании можно убедиться, что это криптомайнер, стартующий при каждом визите на сайт. Расшифрованный файл auto.js также содержит инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.
Специалисты ожидают расширения использования WebAssembly злоумышленниками, несмотря на зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и отправлять полученное на сторону.
🗞 Блог Кодебай
#news #vulnerability #web
Эксперты компании Sucuri обнаружили необычный JavaScript-майнер, загружаемый при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly чтобы ускорить исполнение сценария и осложнить выявление вредоносных действий.
WebAssembly (.wasm) — это бинарный формат инструкций, который используется в браузере для высокопроизводительных приложений на веб-страницах и выполняется намного быстрее, чем обычный JavaScript.
Вредоносный фрагмент кода был обнаружен в файлах темы на одном из личных сайтов WordPress. Каждый раз, когда посетитель заходит на веб-страницу, вредоносный код WebAssembly загружает на стороне клиента скрипт auto.js со специального домена.
Содержимое JavaScript-файла обфусцировано с помощью CharCode. При декодировании можно убедиться, что это криптомайнер, стартующий при каждом визите на сайт. Расшифрованный файл auto.js также содержит инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.
Специалисты ожидают расширения использования WebAssembly злоумышленниками, несмотря на зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и отправлять полученное на сторону.
🗞 Блог Кодебай
#news #vulnerability #web
Реальная эффективность веб сканеров
Добрый день. Неоднократно читал различные рекомендации по использованию веб сканеров. На самом деле, этот вид софта - вещь достаточно нужная, особенно при оценке уязвимостей сдаваемого Интернет-портала или большого веб приложения. Никакой пентестер не пройдет вручную 1000 (а иногда больше) страниц. Тут уже нужна автоматизация. Что выбрать? На вкус и цвет товарищей нет, но попробуем разобраться. В свое время очень любил пользоваться OWASP ZAP. Очень хороший сканер. Но однажды он немножко себя не оправдал, и я решил все-таки разобраться - насколько эффективны веб сканеры насколько им можно доверять?
📌 Читать далее
#pentest #web #scanner
Добрый день. Неоднократно читал различные рекомендации по использованию веб сканеров. На самом деле, этот вид софта - вещь достаточно нужная, особенно при оценке уязвимостей сдаваемого Интернет-портала или большого веб приложения. Никакой пентестер не пройдет вручную 1000 (а иногда больше) страниц. Тут уже нужна автоматизация. Что выбрать? На вкус и цвет товарищей нет, но попробуем разобраться. В свое время очень любил пользоваться OWASP ZAP. Очень хороший сканер. Но однажды он немножко себя не оправдал, и я решил все-таки разобраться - насколько эффективны веб сканеры насколько им можно доверять?
📌 Читать далее
#pentest #web #scanner
❌ Минцифры планирует блокировать мошеннические сайты без суда
Минцифры хочет расширить взаимодействие с Генпрокуратурой в рамках системы «Антифишинг» для блокировки мошеннических сайтов без обращения в суд. По аналогичной схеме уже работает ЦБ. Речь идет о борьбе с фишинговыми сайтами, которые замаскированы под официальные порталы компаний.
Взаимодействие с Генпрокуратурой необходимо для вынесения решения до суда и оперативной блокировки. Уточняется, что система «Антифишинг» оперативно находит вредоносные ресурсы, но вот на блокировку через суд может уйти больше месяца, а всё это время ресурс будет представлять угрозу.
Напомним, в июне Минцифры запустило свою информационную систему «Антифишинг», благодаря которой можно обнаружить ресурсы, копирующие сайты госорганов, компаний, маркетплейсов и соцсетей. Система может отслеживать до 1 млн адресов в час.
🗞 Блог Кодебай
#news #russia #web
Минцифры хочет расширить взаимодействие с Генпрокуратурой в рамках системы «Антифишинг» для блокировки мошеннических сайтов без обращения в суд. По аналогичной схеме уже работает ЦБ. Речь идет о борьбе с фишинговыми сайтами, которые замаскированы под официальные порталы компаний.
Взаимодействие с Генпрокуратурой необходимо для вынесения решения до суда и оперативной блокировки. Уточняется, что система «Антифишинг» оперативно находит вредоносные ресурсы, но вот на блокировку через суд может уйти больше месяца, а всё это время ресурс будет представлять угрозу.
Напомним, в июне Минцифры запустило свою информационную систему «Антифишинг», благодаря которой можно обнаружить ресурсы, копирующие сайты госорганов, компаний, маркетплейсов и соцсетей. Система может отслеживать до 1 млн адресов в час.
🗞 Блог Кодебай
#news #russia #web
Защита Apache, Nginx и IIS
Наверняка вы периодически слышите словосочетание веб-сервер или название любой технологии из заголовка статьи. Все нынешние веб-сайты работают по технологии клиент - сервер. В роли клиента выступает ваш браузер, а роли сервера удаленный компьютер. Ни для кого ни секрет, что браузер общается с сайтом на языке HTTP запросов. С браузером все понятно, он умеет обрабатывать эти запросы, но как удаленный сервер прочитает запрос и в целом как он будет выстраивать общение с клиентом? Ответ прост - веб-сервер.
📌 Читать далее
#security #network #web
Наверняка вы периодически слышите словосочетание веб-сервер или название любой технологии из заголовка статьи. Все нынешние веб-сайты работают по технологии клиент - сервер. В роли клиента выступает ваш браузер, а роли сервера удаленный компьютер. Ни для кого ни секрет, что браузер общается с сайтом на языке HTTP запросов. С браузером все понятно, он умеет обрабатывать эти запросы, но как удаленный сервер прочитает запрос и в целом как он будет выстраивать общение с клиентом? Ответ прост - веб-сервер.
📌 Читать далее
#security #network #web
Пентест веб-приложений: Тестирование HTTP-методов, HSTS, кроссдоменных политик, прав доступа к файлам
Привет, Codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере.
📌 Читать далее
#pentest #web
Привет, Codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере.
📌 Читать далее
#pentest #web
Пентест веб-приложений: Передача учетных данных. Учетные данные по-умолчанию. Механизм блокировки аккаунтов
Привет, Codeby! Когда-то давно я начал перевод Owasp Testing Guide тут на форуме, но до сих пор не завершил начатое. "Штош", продолжим ). В ходе тестирования необходимо убедиться, что веб-приложение шифрует учетные данные при их передаче между клиентом и сервером. В случае перехвата сетевого трафика злоумышленником шифрование поможет избежать компрометации учетных данных. Для шифрования трафика используется протокол HTTPS.
📌 Читать статью
#pentest #web
Привет, Codeby! Когда-то давно я начал перевод Owasp Testing Guide тут на форуме, но до сих пор не завершил начатое. "Штош", продолжим ). В ходе тестирования необходимо убедиться, что веб-приложение шифрует учетные данные при их передаче между клиентом и сервером. В случае перехвата сетевого трафика злоумышленником шифрование поможет избежать компрометации учетных данных. Для шифрования трафика используется протокол HTTPS.
📌 Читать статью
#pentest #web
Современные web-уязвимости (6.CSRF- Cross Site Request Forgery)
Прежде чем мы обсудим следующий тип cross-origin атак, нам нужно определить новую концепцию - идею запроса, изменяющего состояние данных (state-changing request). В контексте безопасности веб-приложений, запрос на изменение состояния может быть определен как веб-запрос, который изменяет хранящуюся информацию с одного значения на другое. Например, запросы, которые изменяют информацию профиля пользователя (адрес, номер телефона, имя и т. д.), учетные данные пользователя, электронную почту для сброса пароля, независимо от того, включена ли для пользователя двухфакторная аутентификация, перевод средств с одного банковского счета на другой или автоматическая покупка товара в интернет-магазине (Amazon's One-Click Buy, например). Несмотря на то, что существует множество книг и ресурсов, посвященных CSRF атакам, давайте кратко рассмотрим вектор атаки.
📌 Читать статью
#learning #web #pentest
Прежде чем мы обсудим следующий тип cross-origin атак, нам нужно определить новую концепцию - идею запроса, изменяющего состояние данных (state-changing request). В контексте безопасности веб-приложений, запрос на изменение состояния может быть определен как веб-запрос, который изменяет хранящуюся информацию с одного значения на другое. Например, запросы, которые изменяют информацию профиля пользователя (адрес, номер телефона, имя и т. д.), учетные данные пользователя, электронную почту для сброса пароля, независимо от того, включена ли для пользователя двухфакторная аутентификация, перевод средств с одного банковского счета на другой или автоматическая покупка товара в интернет-магазине (Amazon's One-Click Buy, например). Несмотря на то, что существует множество книг и ресурсов, посвященных CSRF атакам, давайте кратко рассмотрим вектор атаки.
📌 Читать статью
#learning #web #pentest
Web-shell без JavaScript с файл-менеджером на борту
Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript.
📌 Читать далее
#pentest #web #shell
Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript.
📌 Читать далее
#pentest #web #shell
Weevely, или оставляем дверь приоткрытой
Добрый день, виртуальные волшебники. На сегодняшний день, очень популярно оставлять на хакнутых сайтах подсказки, следы, такие как выдуманное название несуществующей хакерской группировки, или как правило, "Hacked by Вася Пупкин".
После того как сисадмин поймет неладное, он сразу пойдет забэкапить базу данных, меняя все данные для входа, начиная админ панелью и заканчивая FTP сервером. Но, одно большое но. На личном опыте удостоверился, что 70% админов, не чекают, а вдруг в корне бэкдор с волшебной точной в начале?
📌 Читать далее
#web #shell #information
Добрый день, виртуальные волшебники. На сегодняшний день, очень популярно оставлять на хакнутых сайтах подсказки, следы, такие как выдуманное название несуществующей хакерской группировки, или как правило, "Hacked by Вася Пупкин".
После того как сисадмин поймет неладное, он сразу пойдет забэкапить базу данных, меняя все данные для входа, начиная админ панелью и заканчивая FTP сервером. Но, одно большое но. На личном опыте удостоверился, что 70% админов, не чекают, а вдруг в корне бэкдор с волшебной точной в начале?
📌 Читать далее
#web #shell #information
