存档

文章标签 ‘security’

WordPress <= 2.8.3 管理员密码远程重置漏洞(及绕过方案)

2009年8月12日 没有评论

今天刚刚看到的,WordPress 2.8.3版本之前(含)远程重置管理员密码漏洞。

关于该漏洞的信息参见这里。SuperHei的blog上面有一个简单的原理分析。

别拿我的blog做实验,我这个已经修改过了。

这个漏洞的危害不怎么大,只是用来做一些恶作剧。目前WordPress还没有新版,各位用WordPress自建blog的同仁们可以考虑自己修改 wordpress 的代码来绕过该问题:

在$(blog_root)下面,找到wp-login.php,打开,找到function reset_password。找到其中这一行:

function reset_password($key) {
global $wpdb;
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));

将其改成:

if ( ! is_string($key) || empty( $key ) )

即可。

[转] 与时俱进–解读09年新刑法修正案

2009年3月1日 1 条评论

本人平时不怎么转文章,不过这篇例外,还是转其中一些章节。
原文请见:
http://hi.baidu.com/eanalysis/blog/item/06f6f3fc15e1c7f5fd037f78.html

此次修订带来的变化如下。

1、范畴变化。对于军事、金融、政府以外的计算机系统,发生的计算机犯罪进行了界定,尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统,尤为重要。

2、刑罚变化。对于计算机犯罪的惩处量刑出现变化,比以前实施更大的惩罚力度。(……处三年以上七年以下有期徒刑……)

3、内容变化。

    A、在内容上与时俱进,兼顾了对新型计算机犯罪行为的界定和内容描述。(如增加非法控制他人计算机的部分)。关注点从以前的关注入侵(“……对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统……”),转到新型犯罪行为的描述(……获取该计算机信息系统中存储、处理或者传输的数据……,此处对虚拟财产犯罪行为的定罪,有非常积极的意义)。

     B、对提供黑客工具,编写黑客工具行为,界定为违法行为。(“……提供程序、工具,情节严重的,依照前款的规定处罚。……”)

总体看这次刑法的变更,解决了长期以来“计算机(互联网)犯罪成本”的问题,为行政司法处罚提供了依据。

当然这不仅仅对黑客产业造成影响,这种犯罪成本的变化,必然会带来挂马、盗号等产业链的规模性变化。相信对于安全公司、互联网企业的工作内容和范畴,都会带来深远影响。

总而言之,黑钱不太好赚了。

不过问题在于,如何追踪和取证呢?

标签: , ,

Gmail cookie vulnerability exposes user’s privacy

2007年9月28日 1 条评论

又一起Gmail的XSS问题。

http://www.news.com/Gmail-cookie-vulnerability-exposes-users-privacy/2100-1002_3-6210353.html?part=rss&tag=2547-1_3-0-20&subj=news

Petko Petkov of "ethical hacking" group GNUCitizen has developed a proof-of-concept program to steal contacts and incoming e-mails from Google Gmail users.

"This can be used to forward all your incoming e-mail," Pure Hacking security researcher Chris Gatford said. "It’s just a proof of concept at the moment, but what they’re demonstrating is the potential to use this vulnerability for malicious purposes."

According to Gatford, attackers could compromise a Gmail account–using a cross-site scripting vulnerability–if the victim is logged in and clicks on a malicious link. From that moment, the attacker can take over the session cookies for Gmail and subsequently forward all the account’s messages to a POP account.

[…]
"People do use private accounts to store work information," IBRS security analyst James Turner said.

[…]
"When you have organizations like Google spending countless man-hours
reducing security vulnerabilities…you can imagine how bad the actual
situation is for other organizations," Gatford said.

通过XSS注入到当前的Web应用程序当中,然后执行程序,窃取Cookie,进而窃取隐私。非常简单的经典的攻击方式。但是在Web的世界里,Cookie就是一切隐私,也是唯一的隐私。这是一个很大的问题。

这种问题很像传统安全问题里面的权限提升,本质是使用某种诸如手段让自己的代码可以运行在其他人的安全上下文当中。在Web世界里,这个问题更加严重:毕竟在桌面系统上面伪造安全令牌时非常复杂的,但是在浏览器尚上,一旦获取到Cookie,伪造会变得非常容易。

进而考虑一下,传统的安全问题当中,恶意代码提升权限的目的是为了能够做更多的事情,例如对用户计算机的完全的特权访问。在Web安全当中,这个问题有些类似,通过XSS的方式,代码可以以“当前用户”的身份做更多的事情,例如,去感染更多的用户。

随着Web应用程序越来越流行,这种安全问题最终会变得很严重:试想一下,有一天,你的计算机(如果还可以称为计算机的话)上面不需要有硬盘,不需要太多的内存,你需要的只是一个固化在ROM里面的浏览器——Web终端,通过高速的电缆或无线信号连接到互联网。你真正的数据都存储在网络上面的数据中心当中——在那里有无法计数的海量存储设备;你通过访问互联网上无处不在的Web应用程序来访问和处理这些数据。我可以用在线RSS阅读器读取网络上各种各样的blog文章;可以通过在线的视频点播或者电视系统观看电视节目;甚至你可以将自己的照片、视频、文档统统保存在互联网上,以便可以在各处查阅。

这时候的互联网就是一个操作系统,但是,你所有的隐私,都基于一些Cookie——存储在浏览器当中的一些短小的字符串。Cookie,就是你的一切隐私。

这是个很大的问题。