Dan Godin, birkaç gün önce The Register tarafından McAfee'nin yeni satın alınan HackerSafe bölümü için devam eden zorluklarla ilgili harika bir makale yayınladı. HackerSafe'in web uygulaması güvenlik kusurlarını araştıran bir tarama aracı kullanması nedeniyle makaleyi ilginç buluyorum...
Dan Godin bir gönderi paylaştı The Register tarafından alınan harika bir makale Birkaç gün önce McAfee'nin yeni satın aldığı HackerSafe bölümü için devam eden zorluklar hakkında konuşmuştuk. HackerSafe'in web uygulaması güvenlik kusurlarını araştıran bir tarama aracı kullanması nedeniyle makaleyi ilginç buluyorum... Elbette araçlar sınırlıdır, çünkü yalnızca SQL Enjeksiyon gibi otomatikleştirilmesi kolay sorunları kontrol edebilirler. Web Uygulaması Güvenlik Duvarlarına benzer şekilde, bir güvenlik önlemi sağlarlar ancak hiçbir şekilde tam bir çözüm değildirler.
Godin'in makalesinde şunlar belirtiliyor:
60'tan fazla e-ticaret sitesinde güvenlik hatalarının belgelenmesinin üzerinden üç aydan fazla zaman geçti McAfee tarafından "Hacker Safe" olarak onaylanan bir güvenlik araştırmacısı, yeni bir güvenlik açığı grubunu ortaya çıkardı web siteleri.
Russ McRee, güvenlik danışmanı HolisticInfoSec.org, Hacker Güvenli olduğunu belirten bir logoyu belirgin bir şekilde taşıyan beş sitedeki siteler arası komut dosyası çalıştırma (XSS) hatalarını belgeledi. McRee'nin belgelediği gibi Blog yazısı Ve eşlik eden video, hatalar, saldırganların kimlik doğrulama bilgilerini çalmasına ve ziyaretçileri kötü amaçlı web sitelerine yönlendirmesine olanak tanır.
Sitelerin beşi de McAfee's'e abone HackerSafe sertifikasyon hizmetiZiyaretçilere orada iş yaparken güvende olacaklarına dair güven vermek için web sitelerinin güvenliğini günlük olarak denetleyen. Ancak McRee, hassas web sitelerini tespit etmek için gelişmiş Google aramalarını kullanarak hataları bulmayı başardı. uygulamalarda ve en az bir durumda XSS güvenlik açığı o zamandan beri müşterinin sitesinde bulunmaktadır. Ocak.
McRee bize "Bu hizmette gerçekten eksik görünen, tüketiciye karşı bir sorumluluk var" dedi. "Ortalama bir tüketici, o etiketi gördüğüm için güvende olduğumu varsayıyor."
Beş savunmasız site şunları içerir: Alsto.com, Delaware Ekspresi, MaviFly, İyileştirmeler Kataloğu Ve Keyifli Teslimatlar.
Bir McAfee sözcüsü, şirketin XSS açıklarını SQL enjeksiyonlarından ve diğer güvenlik hatalarından daha az derecelendirdiğini söyledi. "Şu anda bir XSS güvenlik açığının varlığı, bir web sitesinin HackerSafe sertifikasyonunda başarısız olmasına neden olmuyor" dedi. "McAfee XSS'yi tespit ettiğinde müşterilerini bilgilendiriyor ve onları XSS açıkları konusunda eğitiyor."
Cidden? XSS bir sitenin HackerSafe sertifikasyonunda başarısız olmasına neden olmuyor mu? Kesinlikle... XSS'ye karşı savunmasızsa kesinlikle bilgisayar korsanları için güvenli DEĞİLDİR. Makale şöyle devam ediyor:
Bunlar yalnızca ortaya çıkan en son Hacker Safe siteleridir. Ocak ayında araştırmacılar XSSed.com, hizmete abone olan ve XSS güvenlik açıklarına karşı savunmasız olan 62 web sitesini belgeledi. Hacker Safe sözcüsü şunları söyledi: Bilgi Haftası o zaman böcekler bir sunucuyu hacklemek için kullanılamaz.
Gerçekten mi? Bir sunucuyu hacklemek için kullanılamaz mı? Tamam, bunu alacağım ama yüzde yüz alışabilirler kurbanın kişisel bilgilerini, yetkili hesabını, işletim sistemini ve hatta muhtemelen yerel alan ağını tehlikeye atabilir.
Aslında siteler arası komut dosyası çalıştırma çok daha fazlasına olanak tanır. Bunu protokol işleyici kötüye kullanım araştırmamla veya bazı ActiveX saldırılarıyla birleştirdiğinizde, ziyaret edilen istemci makinelerin ele geçirilmesine izin verebilir. Bunu DNS karşıtı sabitleme saldırılarıyla birleştirirseniz, kurbanın ağındaki dahili kaynaklara saldırmanıza olanak tanıyabilir. Siteler arası komut dosyası çalıştırma saldırıları doğası gereği kalıcı olabileceğinden (yani saldırı bir veritabanında depolanır ve daha sonra o sayfayı ziyaret eden her kullanıcı), protokol işleyici/tarayıcının güvenlik açıklarından yararlanma işlemleriyle birleştiğinde doğası gereği viral hale gelebilirler.
Yani McAfee'nin burada resmi olarak söylediği şey, onların tek umursadığı şeyin HackerSafe için ödeme yapan kişilerin güvenliği olduğudur logo, çünkü bu sitelerin kullanıcılarının güvenliğini açıkça umursamıyorlar, aksi takdirde daha katı bir yaklaşıma sahip olacaklardı. XSS. XSS'nin web'deki yaygınlığı göz önüne alındığında, bu durumun daha çok, eğer kaldırsalar hiçbir işi olmayacaklarından şüpheleniyorum. logo XSS güvenlik açıkları nedeniyle şirketler bu logoyu kullanmaları için onlara para ödüyor, dolayısıyla sonuçta asıl umursadıkları tek şey yüce $.
Goodin şöyle devam ediyor:
Güvenlik açıkları aynı zamanda kredi kartı ödemelerini işleyen işletmeler için ödeme kartı endüstrisi (PCI) gereklilikleri sorununu da gündeme getiriyor. McRee, XSS güvenlik açıklarını içeren web sitelerinin neredeyse kesinlikle bu kurallara uymadığını söylüyor ancak yine de sitelerin çoğu kredi kartlarını kabul etmeye devam ediyor. Ancak bu gereksinimler dizisindeki eksiklikleri başka bir güne bırakacağız.
McAfee'nin bu programın eksikliklerini gidermek için üç ayı vardı, ancak şu ana kadar bunun yapıldığına dair hiçbir kanıt göremiyoruz. Hepimiz web sitelerinin hızla gelişen güvenlik tehditlerine karşı hazırlıklı kalmasına yardımcı olan hizmetlerden yanayız. Ancak müşterilerini Hacker Safe olarak ilan eden ancak kolayca tespit edilen XSS kusurlarını yakalayamayan programlar için bir terim vardır. Buna lastik damgalama deniyor ve artık bunu durdurmanın zamanı geldi.
Dan'e %100 hak veriyorsun. İnsanların WAF ve tarama araçlarının yeterli olmadığını anlamasını sabırsızlıkla bekliyorum. İnsanların gerçekten yılan yağı olan sihirli bir değnek değil, gerçek güvenliğe ihtiyaçları olduğunu anlayana kadar sabırsızlanıyorum.
-Nate.