Tag Archive for 'bug'

« Previous Entries
Next Entries »

SQL injection na Microsoft UK Events

Published by
Michał Osmenda
2007-08-01 in Bezpieczeństwo, Dev and Microsoft. 10 Comments Tagi: , , ,

O tym jak bardzo należy uważać i dlaczego przed ostatecznym wypuszczeniem produktu do klienta trzeba wszystko sprawdzić 10 razy, przekonał się niecały miesiąc temu brytyjski oddział Microsoft.

Ich strona nie dość, że wyświetlała bardzo szczegółowe błędy serwera, łącznie z błędną składnią SQL, to w dodatku nie miała żadnej filtracji na parametrach przekazywanych w URL.

Na efekt nie trzeba było długo czekać. Haker o pseudonimie “rEmOtEr” zamienił stronę eventów brytyjskiego Microsoftu na taką, jaką uważał za stosowną. Prawdopodobnie nowa strona nie przypadła do gustu właścicielom serwisu, bo nie wisiała długo.

Szczegółowa lektura dostępna jest pod tym adresem.

Błędy, błędy i jeszcze raz błędy zaniechania, niedoszacowania i niedocenienia użytkowników Internetu powodują takie a nie inne efekty. SQL injection jest jedną z najpopularniejszych metod podmian stron (tzw. deface) i kradzieży danych. Jeśli w swoim procesie analizy zagrożeń serwisu www, który właśnie produkujesz, nie masz badania podatności na SQL injection, odwlecz premierę o tydzień albo dwa i przejrzyj dokładnie kod. Jeśli nie masz w ogóle podobnej analizy, zastanów się jeszcze raz nad sensem istnienia czegoś, co zostanie szybko zniszczone.

W procesie testowania serwisu ITCore.pl przypadło mi napisać scenariusz testowania dla wyszukiwarki jaka będzie zainstalowana na serwisie. Dość duży nacisk położyłem na wykorzystanie różnych potencjalnie niebezpiecznych z punktu widzenia serwisu akcji użytkownika, które mogłyby spowodować ciąg zdarzeń podobnych do tych, jakich doświadczył Microsoft UK.

Przykładowy scenariusz zakłada sprawdzenie wyników wyświetlania takiego zapytania:

‘ UNION SELECT name, type, id FROM sysobjects;–

Testy mam nadzieję zaczną się niedługo, będę miał okazję przekonać się samemu.

Mała niespodzianka: osoba, która jako pierwsza napisze w komentarzu do tego posta, jakiego wyniku nie chcielibyśmy zobaczyć po wykonaniu powyższego wyszukiwania na serwisie ITCore.pl oraz poda prosty kawałek kodu (VB, C#, SQL) pozwalający ustrzec się przed podobnymi sztuczkami użytkowników otrzyma ode mnie w prezencie nieużywaną, nieodpakowaną, świeżą i pachnącą grę na XBOX 360 pt. Forza Motorsport 2. Chętni?
Oczywiście liczą się tylko poprawne odpowiedzi.

Disclaimer: Konkurs organizowany jest przeze mnie, prywatną osobę i nie ma związku z Microsoft Polska sp. z o.o., Microsoft Ireland, Microsoft UK, XBOX czy serwisem ITCore.pl.

Czytaj cudzą pocztę na Facebook.com

Published by
Michał Osmenda
2007-07-31 in Bezpieczeństwo. Comments Tagi: , , ,

Ten, kto korzysta z facebook.com za serwerem cache (proxy), mógł sobie dzisiaj poczytać cudzą pocztę zupełnie za darmo i to nawet bez specjalnych dodatkowych zabiegów. Wystarczyło otworzyć pierwszą stronę by zamiast własnego adresu email spotkać adres kolegi/koleżanki z firmy. Ale nawet zalogowawszy się z własnym loginem i hasłem, otrzymywaliśmy cudze wiadomości i zupełnie obce profile.

Dzięki temu dowiedziałem się dzisiaj wielu ciekawych rzeczy o kolegach z UK czy nawet z Bliskiego Wschodu :) “Niestety” nie można było już zmieniać niektórych danych, cała zabawa była jakby mniej śmieszna… Za to wraz z kolejnymi odświeżeniami strony na ekranie można było poczytać emaile coraz to nowych osób.

Więcej szczegółow można przeczytać na TheRegister.co.uk: Facebook security glitch exposes user in-boxes.

Ciekawe, czy ma to związek z oskarżeniem Marka Zuckerberga, twórcy Facebook.com o kradzież pomysłu na stronę. Skojarzenie jakoś samo ciśnie się na język.

Apple łata Safari

Published by
Michał Osmenda
2007-06-14 in Beta, Bezpieczeństwo, Internet Explorer, Windows Vista and Windows XP. Comments Tagi: , , ,

W kilka dni po odkryciu poważnych dziur w bezpieczeństwie przeglądarki Safari 3.0 dla Windows, w wersji beta, Apple opublikował nową, podobno poprawioną wersję programu. Aktualizacja dostępna jest poprzez Apple Software Update albo ze strony Safari Download na Apple.com.

W międzyczasie firma z Cupertino w stanie Kalifornia informuje, że od momentu publikacji wersji beta zdążyło ją pobrać ponad 1 milion użytowników Windowsów! Oczywiście tą dziurawą wersję …

Analitycy wyprzedzają się w domysłach dlaczego Apple coraz bardziej wchodzi na rynek Windows ze swoimi aplikacjami. Stare przysłowie mawia, że skoro nie można wroga pokonać, to trzeba się z nim zaprzyjaźnić. I to chyba najbardziej pcha Jobsa na Windows - większy udział w rynku nie tylko na platformie sprzętowej (co powoli widać, szczególnie po porozumieniu z Intelem; iPod jak wiadomo dominuje w dziale odtwarzaczy MP3) ale i MacOS nie ma się znowu tak źle (Tiger’a używa 67% z 22 milionów użytkowników Maców, przynajmniej tak powiedział Jobs na WWDC), a teraz czas na przeglądarkę. Safari jest inne niż Firefox i IE. Działa na silniku KHTML (zapożyczonego z Konqueror’a), posiada własną metodę renderowania fontów (tak krytykowaną ostatnio przez wiele osób, podobnie tutaj) i podobno jest “ekstra szybki”. Większość z osób, które zainstalowały wersję beta nie zaobserwowały tego fenomenu…

Update

Test porównawczy Firefox, IE i Safari. Fajna lektura.

OK, więc jest bug…

Published by
Michał Osmenda
2007-04-30 in Root. Comments Tagi: , , ,

Od jakiegoś problemu miałem problem przy publikowaniu tego samego template z InfoPath na dwóch stronach opartych o Sharepoint. Po publikacji na drugiej stronie na pierwszej “automagicznie” znikały mi wszystkie kolumny z widoków i musiałem odtwarzać wszystkie widoki. Irytujące, kiedy wykorzystujesz te widoki na innych stronach.

Dziś dostałem informację, że zostało to “zbugowane”. Nie wiem kiedy doczeka się rozwiązania, niestety.

Obejściem na ten problem, o ile zmiany w template nie powodują dodawania nowych kolumn do widoków w Sharepoint, jest używanie widoku eksplorera w Sharepoint i kopiowanie formularzy InfoPath jako plików, a nie poprzez wykorzystanie publikacji z InfoPath.

Update, 16/04/2008

Bug doczeka się rozwiązania w kolejnej wersji Office.

Joomla i Mambo podatne na sql code injection

Published by
Michał Osmenda
2007-02-06 in Bezpieczeństwo. Comments Tagi: , , , , , , ,

Możecie się zastanawiać dlaczego się tym interesuję, skoro nie dość, że open-source, to jeszcze z tego nie korzystam (jestem fanem WP). Dlatego i dlatego. Polskie portale społecznościowe, mimo że niekoniecznie piękne i użyteczne, a także niekoniecznie bez błędów, to jednak są.

Polska.ie poznała ostatnio (zasadniczo kilka razy w ciągu ostatniego roku) kilku ataków zakończonych albo podmianą strony głównej albo usunięciem bazy. Właśnie dzięki sql code injection.

Wydaje mi się, że najwyższy czas na update lub upgrade a najlepiej zamianę na coś strawnego i w miarę bezproblemowego. Rafał, zgodzisz się?

A tutaj wyjaśnienie wstępu.

« Previous Entries
Next Entries »

Kalendarz

maj 2008
P W Ś C P S N
« kwietnia    
 1234
567891011
12131415161718
19202122232425
262728293031  

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All software used by author of this blog come from legal sources.

Add to Technorati Favorites

RSS RSS Feed