SEC-SEE: June 2012

FireForce - a firefox form- brut force attacking tool

nice tool for hacking admin access web portals and other web forms .
Guss passwords either with a dictionary or Brut force attack .

you can use the passwords lists from my previous post
or from here

Get the addon here

Mega Passwords list collection For your Dictionary brute force audit

lists including latest hacked sites passwords list like rockyou.com linkedin etc

all in this wiki :

http://www.skullsecurity.org/wiki/index.php/Passwords

Name	Compressed	Uncompressed	Date	Notes
Rockyou	rockyou.txt.bz2 (60,498,886 bytes)	n/a	2009-12	Best list available; huge, stolen unencrypted
Rockyou with count	rockyou-withcount.txt.bz2 (59,500,255 bytes)	n/a	2009-12	Best list available; huge, stolen unencrypted
phpbb	phpbb.txt.bz2 (868,606 bytes)	n/a	2009-01	Ordered by commonness Cracked from md5 by Brandon Enright (97%+ coverage)
phpbb with count	phpbb-withcount.txt.bz2 (872,867 bytes)	n/a
phpbb with md5	phpbb-withmd5.txt.bz2 (4,117,887 bytes)	n/a
MySpace	myspace.txt.bz2 (175,970 bytes)	n/a	2006-10	Captured via phishing
MySpace - with count	myspace-withcount.txt.bz2 (179,929 bytes)	n/a	2006-10	Captured via phishing
Hotmail	hotmail.txt.bz2 (47,195 bytes)	n/a	Unknown	Isn't clearly understood how these were stolen
Hotmail with count	hotmail-withcount.txt.bz2 (47,975 bytes)	n/a	Unknown	Isn't clearly understood how these were stolen
Faithwriters	faithwriters.txt.bz2 (39,327 bytes)	n/a	2009-03	Religious passwords
Faithwriters - with count	faithwriters-withcount.txt.bz2 (40,233 bytes)	n/a	2009-03	Religious passwords
Elitehacker	elitehacker.txt.bz2 (3,690 bytes)	n/a	2009-07	Part of zf05.txt
Elitehacker - with count	elitehacker-withcount.txt.bz2 (3,846 bytes)	n/a	2009-07	Part of zf05.txt
Hak5	hak5.txt.bz2 (16,490 bytes)	n/a	2009-07	Part of zf05.txt
Hak5 - with count	hak5-withcount.txt.bz2 (16,947 bytes)	n/a	2009-07	Part of zf05.txt
Älypää	alypaa.txt.bz2 (5,178 bytes)	n/a	2010-03	Finnish passwords
alypaa - with count	alypaa-withcount.txt.bz2 (6,013 bytes)	n/a	2010-03	Finnish passwords
Facebook (Pastebay)	facebook-pastebay.txt.bz2 (375 bytes)	n/a	2010-04	Found on Pastebay; appear to be malware-stolen.
Facebook (Pastebay) - w/ count	facebook-pastebay-withcount.txt.bz2 (407 bytes)	n/a	2010-04	Found on Pastebay; appear to be malware-stolen.
Unknown porn site	porn-unknown.txt.bz2 (30,600 bytes)	n/a	2010-08	Found on angelfire.com. No clue where they originated, but clearly porn site.
Unknown porn site - w/ count	porn-unknown-withcount.txt.bz2 (31,899 bytes)	n/a	2010-08
Ultimate Strip Club List	tuscl.txt.bz2 (176,291 bytes)	n/a	2010-09	Thanks to Mark Baggett for finding!
Ultimate Strip Club List - w/ count	tuscl-withcount.txt.bz2 (182,441 bytes)	n/a	2010-09	Thanks to Mark Baggett for finding!
[Facebook Phished]	facebook-phished.txt.bz2 (14,457 bytes)	n/a	2010-09	Thanks to Andrew Orr for reporting
Facebook Phished - w/ count	facebook-phished-withcount.txt.bz2 (14,941 bytes)	n/a	2010-09	Thanks to Andrew Orr for reporting
Carders.cc	carders.cc.txt.bz2 (8,936 bytes)	n/a	2010-05
Carders.cc - w/ count	carders.cc-withcount.txt.bz2 (9,774 bytes)	n/a	2010-05
Singles.org	singles.org.txt.bz2 (50,697 bytes)	n/a	2010-10
Singles.org - w/ count	singles.org-withcount.txt.bz2 (52,884 bytes)	n/a	2010-10
Unnamed financial site	(reserved)	(reserved)	2010-12
Unnamed financial site - w/ count	(reserved)	(reserved)	2010-12
Gawker	(reserved)	(reserved)	2010-12
Gawker - w/ count	(reserved)	(reserved)	2010-12
Free-Hack.com	(reserved)	(reserved)	2010-12
Free-Hack.com w/count	(reserved)	(reserved)	2010-12
Carders.cc (second time hacked)	(reserved)	(reserved)	2010-12
Carders.cc w/count (second time hacked)	(reserved		2010-12

Ghana’s Sakawa Superstition – Magic in the Digital Age

most of Africa's online scams are being executed by ganna hackers gangs called -SAKAWA n

watch an interesting documentary(video) abut the fenomena.

WEB APPLICATION SECURITY-מתורגם לעברית

בעקבות פרסום מסמך בדיקות מעולה המבוסס על מדריך הבדיקות של OWASP בבלוג של 0xicf

מצ"ב המסמך בתרגום חופשי לעברית: - 61 חוקים מחולקים לקטגטריות שישומום יגדיל את אבטחת האפליקציה .
ניתן להוריד גם את הקובץ בפורמט XLS מפורט מכאן.

איסוף מידע:

1. צמצום ככל האפשר הצגת מידע מידע קריטי על רכיבי המערכת דרך מענה HTTP או HTTP ERRORS ,מידע המכיל - שם השרת , כתובות IP פנימיות, גרסת מערכת הפעלה ,סוג וגרסת האפליקציה,סוג\גרסת מסד הנתונים יאפשרו לתוקף הבנה ומיקוד ההתקפה.
מור אינפו..
http://technet.microsoft.com/en-us/security/cc242650.aspx = IIS

APACHE:

Open your httpd.conf file using text editor such as vi:

vi httpd.conf

Append/modify config directive as follows:

ServerSignature Off
ServerTokens Prod

Save and close the file. Restart Apache web server:
# /etc/init.d/httpd restart

2. שגיאות הנשלחות משרת האפליקציה אל הלקוח ושגיאות מערכת יכילו מנינימום מידע.

3. חסימה ברמת השרת "דיפוף בתקיות" – directory listing

מידע נוסף APACHE
מידע נוסף IIS

4. יש לכלול דפי אפליקציה רגישים בקובץ robot.txt ( מניעת סריקה ואינדוקס) אך דפי גישה קריטיים כגון דפגי גישת ADMIN אין לכללול בקובץ זה.
דוגמא http://blog.imperva.com./robots.txt

ניהול קונפיגורציה:

5. יש להתקין בהקדם האפשר את כל טלאי האבטחה עבור כל המערכות – שרתים ,אפליקציות , מסדי נתונים וכו

6. יש לבטל את כל שיטות הגישה ב HTTP למעט GET ו POST (head,options,put ….) במידה והם לא בשימוש

7. יש לחסום גישה לכל משאב לא "ציבורי" non public כדוגמת: אתרים ושרתי גיבוי,שרתי TEST ,STAGE ,אתרי DEMO, QA וכו

8. יש ליישם את כל יכולות האבטחת של סביבת אפליקציה e.g. ASP.NET, PHP, STRUTS וכו
http://msdn.microsoft.com/en-us/library/ff648652.aspx

9. יש להסיר כל חשבונן משתמש ברירת מחדל DEFAULTS מההשרת,האפליקציה ומסדי הנתונים

10. יש לשלוט ולסנן מאפיני HTML e.g. autocomplete, cache-control, pragma למניעת שמירת מידע רגיש בCACH ( ססמאות session וכו)

If you want to remove the warning entirely, you can use JavaScript to apply the attribute to browsers that support it (IE and Firfox are the important browsers) using someForm.setAttribute( "autocomplete", "off" ); someFormElm.setAttribute( "autocomplete", "off" );

11. ביטול מנגנוני הצפנה חלשים בפרטוקול SSL ( SSLv2 וכו) ושימוש במנגנונים חזקים בלבד לצורך תקשורת מוצפנת.
http://www.amixa.com/blog/2010/06/22/disabling-sslv2-support-in-iis/
http://www.linux4beginners.info/node/disable-sslv2

12. ביטול SSL renegotiation – למניעת התקפות מניעת שירות וMITM .

כלי בדיקה לפגיעות האתר

IIS versions 6 and above are NOT affected by the renegotiation DoS attack since http.sys (http driver on Windows Server) disallows client initiated renegotiation in SSL and sends a TCP RST anytime a client attempts a renegotiation.

13. צימצום ומיקוד מדיניות הרשאת גישה ממספר דומיינים ( cross domain policy ) (for Flash crossdomain.xml and for SilverLight clientaccesspolicy.xml) , ביטול הרשאה גורפת ל * .
קריאה נוספת

הזדהות – authentication

http://msdn.microsoft.com/en-us/library/ff648648.aspx

14. שימוש בססמאות חזקות ומורכבות בלבד הן ברמת ה ADMIN והן ברמת הלקוח

15. יש לקודד או להצפין ססמאות ותשובות לשאלות לשחזור סיסמה ברמת ה DB ( SALTED HASH)
http://crackstation.net/hashing-security.htm

16. שימוש ב HTTPS SSL עבור כל תעבורת מידע קריטי כגון ססמאות, כרטיסי אשראי ,מידע אישי וכו

17. כל בדיקות ההזדהות וההרשאות יתבצעו בצד השרת SERVER SIDE

18. ביצירת ערכי HASH עבור ססמאות יש להסיף ערך SALT יחודי עבור כל ערך HASH
http://crackstation.net/hashing-security.htm

19. יש לכפות על המשתמשים שינוי הסיסמה הראשונית שקיבלו באמצעים כגון מייל או אס אם אס.

20. כל פעילות קריטית במערכת תשמר ביומן ((LOG הן ברמת השרת והן ברמת האפליקציה.

21. יש לשמור לוג של כל הזדהות טובה וכל הזדהות שגויה (successful and unsuccessful login).

22. יש להציג הודעה ג'נרית עבור כשלון הזדהות: Username and/or Password is wrong

Session management

23. יש להשתמש במחוללי מספרים רדנומאליים מורשים ומאובטחים עבור כל מזהה חד עדכי המערכת (e.g. session identifiers, token etc.)
http://msdn.microsoft.com/en-us/library/ms178581.aspx
http://www.php.net/manual/en/book.session.php

24. יש להגדיר זמן ניתוק עבור כל חיבור לא פעיל למערכת (inactivity timeout(
http://www.php.net/manual/en/session.configuration.php#ini.session.cookie-lifetime
http://www.schnieds.com/2009/07/aspnet-session-expiration-redirect.html

25. יש לייצר מזהה חד ערכי חדש ( session id ) עבור כל כניסה למערכת +כניסה מחדש וכן לבטל את המזהה לאחר ביצוע יציאה מהמערכת.

26. במסכים קריטיים – יש ליישם פתרונות CAPTCHA או TOKENS למניעת CSRF ו DDOS .
https://developers.google.com/recaptcha/

27. עוגיות ( COOKIES) המשמשות להחזקת SESSION ID – יאובטחו ויוגבלו לשימוש באותו אתרDOMIAN בלבד.

28. החלת מאפיין httponly עבור COOKIES בתקשורת HTTP והחלת מאפיין secure על עוגיות בתקשורת HTTPS ( למניעת גישת javascript לעוגיות וגנבתם בהתקפת XSS).
http://thinkvitamin.com/code/how-to-create-totally-secure-cookies/

29. יש להפנות את המשתמש דרך דף 302 לדף פנימי לאחר הזדהות מוצלחת.

30. יש לאפשר אפשרות יציאה( LOG OUT) בכל דף באתר.

הרשאות,אישורים

31. יש לקחת בחשבון ולמנוע שינוי בערכי פרמטרים בבקשות HTTP GET ו POST ע"י התוקף ע"י ביצוע אימות הקלט הן בצד הלקוח ובעיקר בצד השרת

32. יש להגביל את הרשאות משתמש המערכת שמריץ את האפליקציה בצד השרת לתקייה ומשאבי האפליקציה בלבד.

33. יש להגביל את גישת משתמש המערכת אך ורק לטבלאות הרלוונטיות לו במסד הנתונים DB.

34. יש להגביל גישה ל DB רק מכתובת הIP של האפליקציה וע"י שם משתמש יחודי של המערכת.

35. יש לבצע סיננכרוניזציה וזמינות של משאבי מערכת קרטיים למניעת race contrition .

36. יש להגביל למשתמשים ותפקידים גישה לכל אפליקצית ניטור ואיסוף סטאטיסטירות גלישה ( אם הותקנו).

37. יש להגביל למשתמשים ותפקידים – גישה לכל משאב קריטי במערכת

38. ביטול הרשאות מיידי ככל הניתן עבור משתמש שעזב את החברה או עבר תפקיד וכו.

לוגיקה עסקית - Business Logic

39. יש לדרוש מהמשתמש את הססמה הנוכחית בכל פעם שנדרש שינוי או הוספה של פונקיונאליות באתר.

40. בתהליך שחזור סיסמה ,אין לשלוח את הסיסמה במייל או באמצעי אחר – במקום זאת יש לשלוח לינק מוגבל בזמן המכיל דיאלוג לאיפוס סיסמה.

41. יש להשתמש בשאלות סודיות או אמצעי דומה בתהליך אחזור סיסמה

42. אין לתת שמות קלים לניחוש עבור ספריות ודפים קריטיים באתר (e.g. admin, administration).

43. במעבר חומר מסביבות ה TEST QA וכו לסביבית ה PROD – יש לדאוג שלא יועברו מקורות לא נחוצים (e.g. test codes, demo applications, backup files) בנוסף, יש להסיר הערות מקוד המקור ויש לוודא כי נשמרת שלמות ואמינות החומר בזמן המעבר.

44. יש לבדוק מפעם לפעם כי דפים קריטיים במערכת ADMIN וכו לא נסרקים ע"י מנועי חיפוש GOOGLE BING וכו.

אימות נתונים – data validation

45. יש לאמת את כל הקלטים מהמשתמשים בצד השרת,יש להעדיף שימוש ב רשימות לבנות מאשר ברשימות שחורות White-lists should be preferred for validation instead of black-lists.יש לקדד כל קלט לקידוד נפוץ לפני ביצוע הבדיקות

46. כל קלט המשתמש המשתמש כחלק מפקודה ( שאילתא ל DB וכו) יופעל רק לאחר ביצוע בדיקות escaped and validated

47. שימוש בטכנולוגיות למניעת התקפת SQL INJECTION -Prepared statement, parameterized query, bind variables and whitelist data

48. כל קלט מהשמשתמש יקודד ויבדקו אורכו ותכנו לפני שיוצג בחזרה על מסך המשתמש.

49. כל קלט משתמש המשמש לחישובים מטמטיים יבדק לערכי מינימום ומקסימום

50. כל קלט משתמש המשתמש לגישה לקבצים יעבור בדיקה וסניטציה

51. בתהליך העלאת קובץ file upload – יבדקו – שם,גודל ,סוג , ותוכן הקובץ לפני בתחילת התהליך

52. קלט משתמש המשמש לביצוע הפניה במערכת REDIRECT – יבדק באמצעות white list וזאת כל מנת למנוע התקפות פישינג prevent phishing attacks (open redirect problem).

53. כל קלט משתמש עבור שאילתות LDAP – יעבור בדיקות

54. כל קלט משתמש עבור xpath - יעבור בדיקות

55. ניקוי CR/LF characters מקלט המשתמש למניעת CRLF injection attack

56. יש ליישם פתרונות עבור התקפות frame busting and clickjacking

57. יש לבצע בדיקת חדירות לפני עליית האתר החדש לאוויר

מניעת שירות – DOS ATTACKS

58. יש ליישם אמצעים לוידוא גורם אנושי ( CAPTCH וכו) בטפסים FORMS באתר.

59. יש ליישם מנגנון TIMEOUT עבור חיפשים באתר ולמנוע סוגי חיפוש מעמיסים כגון חיפוש * וכו

שירותי WEB – WEB SERVICES

60. יש ליישם אוטנטיקציה עבור גישות ל WS בטכנולוגיות SOAP, Restful, XML-RPC וכו

61. יש לבצע INPUT VALIDATION וטיפול בערכי מינימום מקסימות של ערכים למניעת מתקפות (e.g. external entity, a billion laughs, XML bomb, etc

SEC-SEE

Latest Security News