Комментарии в блоге "Информационная безопасность" на "На пути к безопасности, новый тест штатного чеклиста"

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Альберт Абдрахимов

Thu, 07 Jun 2012 12:14:08 +0400

"найти который вы сможете не раньше версии 11.5.2 Главного модуля" - может в этом проблема, версия моего ядра 11.0.3

Тест ругался на следующий кусок кода (не знаю кто и зачем это делал):
====code====

<?
/*$con = mysql_connect("localhost","user","password");
if (!$con)
{
   die('Could not connect: ' . mysql_error());
}
mysql_select_db('prezik_db');

$sql = 'SEL ECT * FROM `b_catalog_currency`';
$result = mysql_query($sql);
if (!$result) {
   echo "Could not successfully run query ($sql) fr om DB: " . mysql_error();
   exit;
}
while ($row = mysql_fetch_assoc($result)) {
    print_r($row);
}

mysql_close($con);

die('asd');*/

require($_SERVER["DOCUMENT_ROOT"]."/bitrix/header.php");
$APPLICATION->SetTitle("Интернет-магазин \"Мебель\"");
?> 
 ....

=============

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Андрей Красичков

Thu, 07 Jun 2012 10:00:25 +0400

Да, вы правы. Хостинг достаточно часто является источником проблем, увы не все так просто и задача по анализу хостинга несколько двояка. С одной стороны можно написать серию тестов, с другой как этим тестам определить где располагается проект? Ведь критерии по анализу для шаред и VPS/VDS очень отличаются. Мы думаем над задачей с проверкой серверного ПО и его конфигов, как только найдем удовлетворяющее нас решение - вы его уведите

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Андрей Красичков

Thu, 07 Jun 2012 09:52:44 +0400

Добрый день, Альберт! Увы смоделировать вашу проблему локально у меня не получилось:( Не могли бы вы создать обращение в ТП с примером этого участка кода? Тест не должен реагировать на комментарии, он их еще на подготовительном этапе должен пропускать.

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Альберт Абдрахимов

Thu, 07 Jun 2012 02:35:43 +0400

Находит опасность в закомментированном коде (/*...*/)
Код действительно не хороший, но он же закомментирован...

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Сергей Андросов

Sun, 13 May 2012 23:12:32 +0400

интересная тема. но я по опыту добавил бы ещё тест хостера на уязвимости. ОЧЕНЬ часто хостер сам не соблюдает элементарные правила безопасности, и зачастую взламывают не платформу а хост. и это ка кбы логично.. взломав сервак можно получить гораздо больший профит чем взломав 1 сайт.
правда такая тактика адекватна не для крупных проектов а для мелких (каких большенство) .
я сам лично занимаюсь тестированиями на проникновение серваков и вот список того, что стоило бы добавить в тест:
- нахождение конфига апача и если он найден то попытка открыть его на чтение (логично так как есть на других сайтах практически всегда папка аплоадов с правами 777 куда можно шел залить, а зная пути к сайтам очень легко сделать чекер)
- автоматический брут по файлу /etc/passwd с попыткой перебора на логин=пароль и реверс (говорит о том что хостер пренебрегает элементарными правилами генерации паролей и отсутствует нормальный валидатор клиентский)
- поиск файлов логов и конфигов (часто, вы даже не представляете на сколько часто, быдло админы пишет в лог фал не только GET но и !!внимание!! POST запросы, думаю не надо объяснять чем это черевато)
- проверка пути сохранения логов (редко, но бывает логи пишут в корень сайта, думаю тоже не надо объяснять чем это грозит)
- проверка версии ядра системы uname -a (ядро должно быть обновлено если не до последней, то хотябы до версии полугодовой давности, по опыту есть хостеры, и много, которые вообще держат ядро 2-3 летней давности)

все эти пункты взяты из печального опыта.
пример: на днях проводил анализ для клиента его хостинг площадки (от peterhost.ru) запустил свой стандартный тестер.. 6 ftp логинов были с логином=паролю, вот тебе и безопасность. от банальных ошибок глупых пользователей не спасают. и это я не говорю о куче других найденных дыр, по понятным причинам оглашать их тут не буду.

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Владислав

Fri, 11 May 2012 12:58:00 +0400

Спасибо за инструмент, будем ждать его появления.
Рекомендую также анализировать конструкции вида

====code====

global $USER; 
$USER->Authorize($UserID);

=============

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Евгений Куклин

Thu, 10 May 2012 19:34:35 +0400

Интересный инструмент.

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Андрей Красичков

Thu, 10 May 2012 17:13:22 +0400

Пока не пробовали, но рассматривали и думаю, что если вам как разработчикам это будет полезно - воплотится в жизнь (пока я думаю рановато еще). Ложных больше не станет, может немного пострадать полнота анализа. Но в целом абсолютно ничего не мешает навесить подобный хук, архитектура позволяет. Так же у меня есть еще одна идея (пока в черновом варианте) - благодаря настраиваемой точности/полноте самой модели статического анализа, можно вынести этот тест как отдельный тул для разработчиков с различной степенью "агрессивности" (эдакий verbosity level) и принимать за небезопасные данные, например, все параметры приходящие в компонент или же сделать некий "режим тестирования API", когда любой параметр функции/метода считается не безопасным(мы же заранее не знаем, кто как будет пользовать создаваемое API) и в соответствии с этим выполнять анализ, т.е. это те вещи которые реализовать в рамках теста чеклиста просто нереально имхо. В общем идей еще достаточное количество, был бы фидбек от вас как разработчиков;)

Комментарии на "На пути к безопасности, новый тест штатного чеклиста" от Максим Месилов

Thu, 10 May 2012 16:35:13 +0400

А вы не пробовали его отдельно вешать как хук для коммитящихся в SVN файлов по маске *.php или слишком много ложных срабатываний?