Jeff Williams, ordförande i OWASP har lyckats övertyga mydigheter i USA att tillgängliggöra de sårbara kodexempel de använder för att utvärdera analys- och skanningsverktyg.
13.782 testfall i Java som täcker 106 CWE:er
45.309 testfall i C/C++ som täcker 116 CWE:er
Kodexemplen hittar ni här.
onsdag 30 mars 2011
lördag 26 mars 2011
Intervju om Firefox 4 och webbläsarsäkerhet
torsdag 24 mars 2011
Allt går att hacka (RSA, Comodo, TripAdvisor)
De senaste två veckorna har varit bedrövliga ur säkerhetssynpunkt.
RSA
Först var det RSA-hacket som Schneier kommenterade med att "Security is all about trust, and when trust is lost there is no security. User's of SecurID trusted RSA Data Security, Inc. to protect the secrets necessary to secure that system. To the extent they did not, the company has lost its customers' trust."
RSA själva har mest ägnat sig åt allmänna råd och vaga uttalanden. Därtill definierar de attacken med "... the attack is in the category of an Advanced Persistent Threat (APT)."
Comodo
Sen var det Comodo, en av våra betrodda CAs för SSL-certifikat som blev hackade. Jacob Applebaum upptäckte det genom svartlistade cert i en Chromium-uppdatering och förövarna hade skapat fullt legitima cert för:
Comodo kommenterar attacken med "The perpetrator has executed its attacks with clinical accuracy."
TripAdvisor
Nu senast var det TripAdvisor som drabbats av intrång och i ett mejl till alla användare så berättar de lite grann.
Slutsatser
Dessa hack får mig att tänka på två saker:
1) Allt går att hacka. Särskilt om det är kopplat till Internet. När ska vi våga prata om det offentligt? Hur länge håller argumentet att "vanligt folk fattar inte, låt oss inte skrämma upp dem"?
2) Vi lever fortfarande i en tid då mörkläggning och dimridåer anses vara rimliga alternativ när ett intrång har skett. Därtill har man nu lagt möjligheten att säga att intrånget var så pass avancerat att man inte kunde skydda sig. Undrar hur länge vi kommer acceptera sådana förklaringar utan bevis?
RSA
Först var det RSA-hacket som Schneier kommenterade med att "Security is all about trust, and when trust is lost there is no security. User's of SecurID trusted RSA Data Security, Inc. to protect the secrets necessary to secure that system. To the extent they did not, the company has lost its customers' trust."
RSA själva har mest ägnat sig åt allmänna råd och vaga uttalanden. Därtill definierar de attacken med "... the attack is in the category of an Advanced Persistent Threat (APT)."
Comodo
Sen var det Comodo, en av våra betrodda CAs för SSL-certifikat som blev hackade. Jacob Applebaum upptäckte det genom svartlistade cert i en Chromium-uppdatering och förövarna hade skapat fullt legitima cert för:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certifikat)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Comodo kommenterar attacken med "The perpetrator has executed its attacks with clinical accuracy."
TripAdvisor
Nu senast var det TripAdvisor som drabbats av intrång och i ett mejl till alla användare så berättar de lite grann.
Slutsatser
Dessa hack får mig att tänka på två saker:
1) Allt går att hacka. Särskilt om det är kopplat till Internet. När ska vi våga prata om det offentligt? Hur länge håller argumentet att "vanligt folk fattar inte, låt oss inte skrämma upp dem"?
2) Vi lever fortfarande i en tid då mörkläggning och dimridåer anses vara rimliga alternativ när ett intrång har skett. Därtill har man nu lagt möjligheten att säga att intrånget var så pass avancerat att man inte kunde skydda sig. Undrar hur länge vi kommer acceptera sådana förklaringar utan bevis?
onsdag 9 mars 2011
Material från Mario Heiderichs föredrag
Mario Heiderich gav två väldigt uppskattade föredrag på OWASP Sweden-kvällen 7/3:
Verktyget är nedanstående HTML. Bara att spara i en lokal fil och köra.
<!doctype html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml;charset=utf-8" />
</head>
<body>
<textarea id="html" style="width:100%;height:190px;"></textarea>
<div id="canvas"></div>
<textarea id="log" style="width:100%;height:190px;"></textarea>
<div id="canvas2"></div>
<script>
var html = document.getElementById('html');
var log = document.getElementById('log');
var canvas = document.getElementById('canvas');
var canvas2 = document.getElementById('canvas2');
var updateCanvas = function(){
canvas.innerHTML=html.value
log.value=canvas.innerHTML;
canvas2.innerHTML=canvas.innerHTML;
};
html.onkeyup = updateCanvas;
window.onload = updateCanvas;
</script>
</body>
</html>
- The Image That Called Me (pdf) – om SVG-säkerhet
- Locking the Throneroom (pdf) – om att låsa ner DOM:en för att motverka XSS-attacker
Verktyget är nedanstående HTML. Bara att spara i en lokal fil och köra.
<!doctype html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml;charset=utf-8" />
</head>
<body>
<textarea id="html" style="width:100%;height:190px;"></textarea>
<div id="canvas"></div>
<textarea id="log" style="width:100%;height:190px;"></textarea>
<div id="canvas2"></div>
<script>
var html = document.getElementById('html');
var log = document.getElementById('log');
var canvas = document.getElementById('canvas');
var canvas2 = document.getElementById('canvas2');
var updateCanvas = function(){
canvas.innerHTML=html.value
log.value=canvas.innerHTML;
canvas2.innerHTML=canvas.innerHTML;
};
html.onkeyup = updateCanvas;
window.onload = updateCanvas;
</script>
</body>
</html>
torsdag 24 februari 2011
Framtiden för webbläsarsäkerhet (från OWASP Summit)
Jag hade hand om fem sessioner inom området webbläsarsäkerhet på OWASP Summit 2011. Vi hade deltagare från Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, PayPal, Adobe Flash, IETF, ENISA samt några av de grymmaste webbhackers jag känner till – sirdarckcat, .mario, Gareth Heyes, Stefano Di Paola, och Thornmaker.
Nu har vi precis offentliggjort anteckningarna från dessa fem sessioner. Läs hur diskussionerna gick:
Nu har vi precis offentliggjort anteckningarna från dessa fem sessioner. Läs hur diskussionerna gick:
fredag 4 februari 2011
Facebook-inställning för HTTPS
Facebook erbjuder nu en ny säkerhetsinställning – "Säker anslutning (https)". Antagligen en reaktion på "Firesheep" som uppmärksammades stort i höstas. Inte alla svenska Facebookanvändare kan göra den nya inställningen än eftersom Facebook lanserar det stegvis.
Du måste göra inställningen själv. Gör så här:
Du måste göra inställningen själv. Gör så här:
- Klicka på Konto uppe till höger
- Välj Kontoinställningar
- Klicka på Kontosäkerhet på sidan som öppnats
- Kryssa i "Säker anslutning (https)"
- Klicka på den blå knappen "Spara".
torsdag 3 februari 2011
Mario Heiderich till OWASP Sweden 7/3
Måndag 7 mars kommer Mario Heiderich hålla två föredrag för OWASP Sweden. Han ligger bakom t ex HTML5 security cheat-sheet och filterreglerna i PHPIDS. Jättekul att vi har kunnat bjuda in honom!
Presentation ett
The forbidden image - Security impact of Scalable Vector Graphics on the WWW
Scalable Vector Graphics are about to conquer the web. Unlike most of their raster based companions from the GIF, PNG and JPEG family, their vector based structure allows to display them on many different devices with various screen sizes without losing visual information. The open XML based SVG sources permit addition of meta data, helping even the visually impaired and blind to get the most out of these images. Additional modules, such as animations, events, SVG fonts, several scripting APIs and inclusion of hyper-links, other images and documents and even arbitrary content from cross-domain sources make SVG the perfect image format for the future WWW.
Nevertheless, a powerful standard such as SVG certainly poses a lot of risks. This presentation provides a close look at SVG from a security perspective. How can attackers abuse this mighty image format, which ways exist to execute script code and worse, and what should web developers and browser vendors consider when dealing with SVG. How will HTML5 change the way to work with SVGs and why does it matter for security professionals to know about things like SVG Tiny, in-line SVG, SVGz and other acronyms from a world where imaging and scripting collide? Besides many examples of malicious SVGs the talk will shed light on a novel filtering tool capable of filtering and sanitizing SVG images without loss of important content.
Presentation två
Locking the Throne Room - ECMA Script 5, a frozen DOM and the eradication of XSS
Cross Site Scripting has been a topic in countless presentations over the last decade. That easy to grasp but hard to solve problem has been shaking the web and caused major trouble on hundreds to thousands of high traffic and commercial and well as governmental websites. Mitigation techniques have been developed and discussed in depth - starting with restrictive content filters, educational programs and trainings, programmer's best practices and guidelines, proxy filters and many more. Still XSS remains a major problem far from being solved. The multilayer model on which the web relies causes too much reciprocity to find an easy cure - and the DOM as the actually affected layer is still lying unprotected open for the attacker.
This presentation introduces and discusses a novel approach of encountering XSS and similar attack techniques by making use of several new features included in the ECMA Script 5 specification draft. It will be shown how to create a simple JavaScript to seal important DOM properties, and take away the attackers ability to read and modify sensitive data in a tamper resistant and light-weighted way - without being "too loud". Modern browsers, such as Chrome 8 and Firefox 4, for the first time provide the possibility of creating and using client side IDS/IPS systems, written in JavaScript and running without special execution privileges. The presentation will show how these work, what the implications are, and what the future of XSS mitigation and eradication might look like.
Anmäl er konstnadsfritt här:
http://marioheiderich.eventbrite.com
Presentation ett
The forbidden image - Security impact of Scalable Vector Graphics on the WWW
Scalable Vector Graphics are about to conquer the web. Unlike most of their raster based companions from the GIF, PNG and JPEG family, their vector based structure allows to display them on many different devices with various screen sizes without losing visual information. The open XML based SVG sources permit addition of meta data, helping even the visually impaired and blind to get the most out of these images. Additional modules, such as animations, events, SVG fonts, several scripting APIs and inclusion of hyper-links, other images and documents and even arbitrary content from cross-domain sources make SVG the perfect image format for the future WWW.
Nevertheless, a powerful standard such as SVG certainly poses a lot of risks. This presentation provides a close look at SVG from a security perspective. How can attackers abuse this mighty image format, which ways exist to execute script code and worse, and what should web developers and browser vendors consider when dealing with SVG. How will HTML5 change the way to work with SVGs and why does it matter for security professionals to know about things like SVG Tiny, in-line SVG, SVGz and other acronyms from a world where imaging and scripting collide? Besides many examples of malicious SVGs the talk will shed light on a novel filtering tool capable of filtering and sanitizing SVG images without loss of important content.
Presentation två
Locking the Throne Room - ECMA Script 5, a frozen DOM and the eradication of XSS
Cross Site Scripting has been a topic in countless presentations over the last decade. That easy to grasp but hard to solve problem has been shaking the web and caused major trouble on hundreds to thousands of high traffic and commercial and well as governmental websites. Mitigation techniques have been developed and discussed in depth - starting with restrictive content filters, educational programs and trainings, programmer's best practices and guidelines, proxy filters and many more. Still XSS remains a major problem far from being solved. The multilayer model on which the web relies causes too much reciprocity to find an easy cure - and the DOM as the actually affected layer is still lying unprotected open for the attacker.
This presentation introduces and discusses a novel approach of encountering XSS and similar attack techniques by making use of several new features included in the ECMA Script 5 specification draft. It will be shown how to create a simple JavaScript to seal important DOM properties, and take away the attackers ability to read and modify sensitive data in a tamper resistant and light-weighted way - without being "too loud". Modern browsers, such as Chrome 8 and Firefox 4, for the first time provide the possibility of creating and using client side IDS/IPS systems, written in JavaScript and running without special execution privileges. The presentation will show how these work, what the implications are, and what the future of XSS mitigation and eradication might look like.
Anmäl er konstnadsfritt här:
http://marioheiderich.eventbrite.com
Prenumerera på:
Inlägg (Atom)