存档

‘安全’ 分类的存档

WordPress <= 2.8.3 管理员密码远程重置漏洞(及绕过方案)

2009年8月12日 没有评论

今天刚刚看到的,WordPress 2.8.3版本之前(含)远程重置管理员密码漏洞。

关于该漏洞的信息参见这里。SuperHei的blog上面有一个简单的原理分析。

别拿我的blog做实验,我这个已经修改过了。

这个漏洞的危害不怎么大,只是用来做一些恶作剧。目前WordPress还没有新版,各位用WordPress自建blog的同仁们可以考虑自己修改 wordpress 的代码来绕过该问题:

在$(blog_root)下面,找到wp-login.php,打开,找到function reset_password。找到其中这一行:

function reset_password($key) {
global $wpdb;
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));

将其改成:

if ( ! is_string($key) || empty( $key ) )

即可。

[转] 与时俱进–解读09年新刑法修正案

2009年3月1日 1 条评论

本人平时不怎么转文章,不过这篇例外,还是转其中一些章节。
原文请见:
http://hi.baidu.com/eanalysis/blog/item/06f6f3fc15e1c7f5fd037f78.html

此次修订带来的变化如下。

1、范畴变化。对于军事、金融、政府以外的计算机系统,发生的计算机犯罪进行了界定,尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统,尤为重要。

2、刑罚变化。对于计算机犯罪的惩处量刑出现变化,比以前实施更大的惩罚力度。(……处三年以上七年以下有期徒刑……)

3、内容变化。

    A、在内容上与时俱进,兼顾了对新型计算机犯罪行为的界定和内容描述。(如增加非法控制他人计算机的部分)。关注点从以前的关注入侵(“……对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统……”),转到新型犯罪行为的描述(……获取该计算机信息系统中存储、处理或者传输的数据……,此处对虚拟财产犯罪行为的定罪,有非常积极的意义)。

     B、对提供黑客工具,编写黑客工具行为,界定为违法行为。(“……提供程序、工具,情节严重的,依照前款的规定处罚。……”)

总体看这次刑法的变更,解决了长期以来“计算机(互联网)犯罪成本”的问题,为行政司法处罚提供了依据。

当然这不仅仅对黑客产业造成影响,这种犯罪成本的变化,必然会带来挂马、盗号等产业链的规模性变化。相信对于安全公司、互联网企业的工作内容和范畴,都会带来深远影响。

总而言之,黑钱不太好赚了。

不过问题在于,如何追踪和取证呢?

标签: , ,

Gmail cookie vulnerability exposes user’s privacy

2007年9月28日 1 条评论

又一起Gmail的XSS问题。

http://www.news.com/Gmail-cookie-vulnerability-exposes-users-privacy/2100-1002_3-6210353.html?part=rss&tag=2547-1_3-0-20&subj=news

Petko Petkov of "ethical hacking" group GNUCitizen has developed a proof-of-concept program to steal contacts and incoming e-mails from Google Gmail users.

"This can be used to forward all your incoming e-mail," Pure Hacking security researcher Chris Gatford said. "It’s just a proof of concept at the moment, but what they’re demonstrating is the potential to use this vulnerability for malicious purposes."

According to Gatford, attackers could compromise a Gmail account–using a cross-site scripting vulnerability–if the victim is logged in and clicks on a malicious link. From that moment, the attacker can take over the session cookies for Gmail and subsequently forward all the account’s messages to a POP account.

[…]
"People do use private accounts to store work information," IBRS security analyst James Turner said.

[…]
"When you have organizations like Google spending countless man-hours
reducing security vulnerabilities…you can imagine how bad the actual
situation is for other organizations," Gatford said.

通过XSS注入到当前的Web应用程序当中,然后执行程序,窃取Cookie,进而窃取隐私。非常简单的经典的攻击方式。但是在Web的世界里,Cookie就是一切隐私,也是唯一的隐私。这是一个很大的问题。

这种问题很像传统安全问题里面的权限提升,本质是使用某种诸如手段让自己的代码可以运行在其他人的安全上下文当中。在Web世界里,这个问题更加严重:毕竟在桌面系统上面伪造安全令牌时非常复杂的,但是在浏览器尚上,一旦获取到Cookie,伪造会变得非常容易。

进而考虑一下,传统的安全问题当中,恶意代码提升权限的目的是为了能够做更多的事情,例如对用户计算机的完全的特权访问。在Web安全当中,这个问题有些类似,通过XSS的方式,代码可以以“当前用户”的身份做更多的事情,例如,去感染更多的用户。

随着Web应用程序越来越流行,这种安全问题最终会变得很严重:试想一下,有一天,你的计算机(如果还可以称为计算机的话)上面不需要有硬盘,不需要太多的内存,你需要的只是一个固化在ROM里面的浏览器——Web终端,通过高速的电缆或无线信号连接到互联网。你真正的数据都存储在网络上面的数据中心当中——在那里有无法计数的海量存储设备;你通过访问互联网上无处不在的Web应用程序来访问和处理这些数据。我可以用在线RSS阅读器读取网络上各种各样的blog文章;可以通过在线的视频点播或者电视系统观看电视节目;甚至你可以将自己的照片、视频、文档统统保存在互联网上,以便可以在各处查阅。

这时候的互联网就是一个操作系统,但是,你所有的隐私,都基于一些Cookie——存储在浏览器当中的一些短小的字符串。Cookie,就是你的一切隐私。

这是个很大的问题。

Blog Comment Spams

2007年9月20日 2 条评论

昨天的日志的一个回复:

这种blog spam真的是非常不爽的一件事情。

而且,不只是我,更多的其他人也在遇到这种问题。

在这个Web 2.0的时代里面,Anti-spam的工作,绝不仅仅是mail了。

标签:

操作系统安全漏洞统计表

2007年8月17日 3 条评论

Operating System Vulnerability Scorecard

一个很有趣的操作系统的安全漏洞的统计结果。

先把作者的结果转载过来:

操作系统的所有组件(包括所有和操作系统一起发布的组件)的漏洞统计,四张图,分成客户端操作系统和服务器操作系统,以及最近一年和最近三个月的分布:


剔除了Linux当中和GUI, X11, Gnome, KDE相关,firefox和所有可选的客户端应用程序组件,仅保留作为Web服务器或者其他常见服务器角色的组件;Windows仍然保留所有随操作系统发布的组件。这种统计方法下面得到的漏洞统计,也是四张图,分成客户端操作系统和服务器操作系统,以及最近一年和最近三个月的分布:




结果很有意思。Windows的漏洞比Linux要少得多,即使是在第二种看起来不怎么公平的评价体系下面。(考虑到作者本人是Microsoft的人,而且帖子发在TechNet上面,权且认为这种结果是有意发布出来了 🙂 ,anyway,这个结果应该还是可信的),单纯从这个角度上来说,似乎Windows比Linux要安全一些。

但是请暂时不要被这种思想所左右:如果考虑到Windows的源代码封闭而Linux源代码开放的事实,就比较容易理解为什么Linux的漏洞反而比Windows得多:这个统计表所表达的是“发现并且修复”的漏洞数目分布,修复在手边有源代码的情况下其实并不难,关键是“发现”,显而易见,开放源码的Linux及其组件,更容易被人读懂,也更容易找出漏洞。

按照通常的软件生命周期,看起来Windows XP和Server 2003已经进入了一个产品的稳定期,漏洞数目逐渐稳定。而Vista应该因为上市时间比较短,还没有足够的时间来出现更多的漏洞,接下来的几个月到半年应该是Vista的漏洞多发的时期。而Linux长期以来一直保持着很高的漏洞发现率,这个和Linux长年的锐意创新可能有些关系,而且开源社区的人们喜欢重写代码——这样一来就很容易把原本修复的问题重新暴露出来,也许这也是Linux的漏洞长期比较高的原因。

Anyway,这是一个很有意思的统计结果。

标签:

XPI: 下一个恶意软件容器?

2007年6月28日 没有评论

今天读到一篇文章:

XPI: The next malware vector?

有点意思。如今的phishing site已经越来越有意思了:用IE访问要求安装ActiveX,使用Firefox则要求安装XPI。也许Firefox的安生日子也没有多久了,也许还有2年?5年?:)

其实我和这篇文章的作者的态度总体上差不多,虽然XPI的malware已经逐渐开始出现,一时半会仍然不会成大气候:

With the explosion of popularity in Firefox, will Extensions become the
next ActiveX of malware drive-bys? Maybe, but probably not. While the
idea of having a single package to infect multiple operating systems is
very appealing to malware distributors, most will stick to Windows
systems as the primary targets because of the large share of the
desktop market. TriggerInstall isn’t new and has actually been around
for quite a while but hasn’t become a popular method used by web sites.
I think most malware distributors will stick to an "ActiveX or
Executable" delivery method for a little while longer.

不过对于一个已经超过了10%的市场占有率的浏览器,如果有人写了XPI malware,也将是一个极大的危害。解决这个问题除了使用传统的URL过滤的方案之外(毕竟这个网站本身还是一个phishing site,即使不是,这个XPI的URL也很容易放进malware list),也许一个合适的基于浏览器的方案也是可行的,例如pattern。

好吧,我很想把native操作系统上面的东西搬移到浏览器上面来,够疯狂否。

标签:

Google Safe Browsing API

2007年6月22日 6 条评论

Google前些天刚刚发布了Safe Browsing API,虽然很早以来就有了,但是正式的公开API还是最近的事情。目前的版本就是两个URL的黑名单,phishing list (google black hash)和malware list (google malware list)。就目前的发布版本来看,这两个列表相对简单,只是一系列的URL的MD5,而且只是提供phishing保护和malware list,并没有网络分级,但是以Google一贯的风格来看,随着一路beta下来,加入分级是迟早的事情。

谁能给我一个phising site让我试试这个东西。

标签:

诺顿事件的深层思考

2007年6月4日 没有评论

不想在这个时候再炒这个冷饭,不过觉得还是有些话要说,原因是今天得到的一组数据。

今天下午会议上面听到公司某高层给出的数据,说现在病毒实验室每天能够收到超过2000个的病毒样本,最多的时候能够达到5000个。每天2000个病毒样本,这是个什么概念?如果所有的工作都要人工完成,假设我们有600个病毒分析工程师,每天工作8小时,三班倒制度,每班200个病毒分析师同时工作,那么每个病毒分析师需要在48分钟之内完成一个病毒码的分析验证和测试。本来48分钟出病毒码是只有对于VIP用户才有的待遇,但是现在却成了一种当务之急:这么多的样本逼迫着你去完成这项工作。

为了解决这个问题,根据赛门铁克所说,他们采用了某种自动化的手段,但是这个工具出了点故障,导致了误判。自动化工具也许能够缓解这种问题,但是也会带来更深层次的问题:以每天2000个病毒样本的速度增加,病毒码本身的大小将会以极快的速度增大。开源的clamWin今天的病毒码文件大小已经达到了10M,而加载进入内存之后的大小将达到60MB+,而趋势的病毒码也早就超过了30M。明年这个时候,恐怕已经没有哪台计算机有能力运行反病毒软件了。

这个背后所反映的,其实是这个时代的一个主要矛盾:爆炸性增长的信息量和无法同步增长的计算能力之间的矛盾。计算能力的第一层限制使人的头脑的处理能力的限制,所以才有了很多计算机辅助的方案,比如帮助用户寻找信息(搜索),帮助用户过滤不需要的信息(垃圾信息过滤),直至帮助用户过滤不需要的行为(防病毒)。所有这些东西的发展都是因为信息已经多到了任何人都搞不定的情况了。但是现在又有了更多一层的限制:信息爆炸到了单个计算机的处理能力也逐渐成为了限制——信息的发展速度已经超过了摩尔定律。在这种情况下面,如何存储和处理这些信息业成为了一个新的课题。Google的成功,很重要的一点就是掌握了存储和处理海量的数据的手段。

那么,这种环境下面的安全,我们应该怎么办?传统的扫描模式已经走到了尽头,接下来的,是什么?

标签:

第一个OpenOffice病毒

2007年5月23日 没有评论

First OpenOffice virus emerges

技术没什么新意,也许可以看作是宏病毒思想在OpenOffice上面的移植。而且作者也似乎不打算搞破坏——毕竟OpenOffice用户这么少,搞破坏也没什么意义,偷也偷不来什么。但是这个消息这也许可以让很多信奉“抛弃Microsoft的产品就是换取安全”的人们仔细考虑考虑自己的信仰了。不过这个问题是谁之过?在宏病毒已经肆虐了N年之后,OpenOffice还允许脚本来访问宿主的文件系统,所以这个东西才可以放一些别的文件在系统当中以便实现传染的功能,这难道不是一个安全漏洞么?不过如果换一个说法:OpenOffice的StarBasic脚本支持将当前的文件转换成你所需要的格式并存储在磁盘上,这是不是又是一个很cool的feature呢?

进而联想到在Linux新闻组当中经常可见的批判Windows的文章当中,总是说Linux比Windows安全,因为Linux下面没有病毒。对于这种文章我只能看看就算了——在我看来,Linux下面没有病毒的唯一原因是大家不想写Linux下面的病毒而已,根本原因也许是就是在实际应用中的广泛程度了——写Linux下面的病毒除了会让你身败名裂之外得不到什么太大的好处,毕竟用这个系统的人太少。如果Linux到了和Windows一样广泛的被使用的时候,也许就是遍地都是Linux的病毒了。我还是一贯的态度:如果用户是一个小白,当Linux到了他的手里,不见得比Windows更安全。

安全是一个有很多事情可以做的系统工程。嗯。

标签:

诺顿误杀事件的一点想法

2007年5月20日 没有评论

诺顿的误杀导致Windows XP崩溃,这已经成为这两天的技术类头条新闻了,俨然是诺顿的594事件。搞笑的地方竟然是这篇帖子来自瑞星,还有这么一句话:“瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。”,诺顿的问题为什么去找瑞星?这让人感觉瑞星有点那个:盯着竞争对手的产品,终于抓出来一个bug,然后开始宣传。

不过从用户的影响来看,诺顿的这次事故似乎比594更严重——594事件只是导致CPU的使用率过高,这只是一个可用性的问题,并没有损坏什么,但是这次诺顿的问题似乎就是比较严重的损坏了——让一个公司的所有人每个人用故障恢复盘来恢复系统,一个公司能有多少张故障恢复盘?估计一旦中招,不用一两天很难恢复正常。

这又牵涉到误报率的问题了。现在几乎所有的反病毒软件都会在病毒码当中加上一个白名单,包含的基本上就是系统文件的特征码(比如md5之类的)来降低误报率,尤其对于那些使用了比较激进的手段的反病毒软件:我当时用过的某款激进的反病毒软件就直接把我自己编译出来一个交换键盘右边ctrl和win键的驱动程序当成keylogger,估计就是由于不在其白名单当中。可是这种方案的问题也很明显:必须保证这个白名单是与时俱进的。这是一个成本巨大的工作,不过对于依赖病毒码生存的反病毒公司来说,这个成本,似乎也不能省,否则也许,下一个594,或者下一个误杀门,就发生在你的头上。

关键还是:反病毒的技术,真的已经很多很多年没有什么激动人心的进展了,大家除了拼谁的服务反应快,拼谁的病毒码全,拼谁的白名单大,就剩下一些概念性的东西了。

sigh,照这样发展,我们真的还需要这个产业么?

标签: