How to Randomly Hack a Home Routers

 

 

In this tutorial “How to Randomly Hack a Home Routers”, we are going to show you how to use port scanner to identify home routers (and even office routers :p) and after that we will try to log in to those routers.

In the world most of users doesn’t change there router’s default password because most of them only know how to use without know how to configure the router itself. So that’s the point. We can use that vulnerability to hack the routers.
Requirements:

• Port Scanner (I use zenmap in this tutorial)
• Web Browser (I use Google Chrome)
• Internet Connection

First of all I want to tell you why I use Zenmap because Nmap is the best friend of hackers and Zenmap is the graphical user interface of nmap.

Step by Step How to Randomly Hack a Home Routers

1. We should select an IP range. I have selected IP range that includes my public IP address.
XXX.XXX.30.0-XXX.XXX.30.255
2. Now let’s scan for home routers.
When you finished your scan, You can find IP addresses which has open ports such as http port(80), ftp port(21) and telnet port(23).
I have found many IP addesses with port 80 is opened.

So I stopped my scan.
3. Now you can access these addesses using your web browser because http port is opened and we need to find whether the web page is router log in page.

4. If you see the alert error messages, it says TD-8817. So we can Google for it
search “TD-8817 default username and password”




 5. Now let’s try to access these IP addresses using default logins we just got on step 4.
Default username and passwords are not same for every routers.
With username : admin and password : admin, we can log in to the router administration page

Attacker can do several harmful things when they can access router page, such as:

• Redirecting DNS to malicious websites
• Phishing Attacks
• etc

Conclusion:
Because most of users doesn’t change their router passwords. It’s a very bad habit because hackers can access your router form anyplace through internet when you are online and It is very harmful to you. So you must change your home router’s password. Keep it on you mind.

hacoder

First method

Now this method is very rare & the web-master would have to be stupid to do this, but you’ll be surprised how many stupid people there are in the world.
This one is simple, go to one of the disallowed directories & look in the source. Sometimes web-master leave comments there to give hints like passwords/ or user-names.
You never know you might find something juicy. :]

With this info you could possibly guess his password by entering some of the most infamous/best football teams.
You can also check for disallowed directory which may be allowed or weak permission.Click here for python script to audit robots.txt file automatically.

How to exploit robots.txt?

What is robots.txt?

Robots.txt is a file that contain path which cannot crawled by bot most of time search-engine bots like google bot or etc. It tells search-engine that this directory is private & can not be crawled by them.
If yo are site owner & want to make robots.txt file , then go following link , it will create robots.txt file for you.
http://www.mcanerin.com/EN/search-engine/robots-txt.asp
so just for now , robots.txt is pretty much what websites use to block certain pages from search engines.
Here is a sample : http://www.whitehouse.gov/robots.txt

First method

Now this method is very rare & the web-master would have to be stupid to do this, but you’ll be surprised how many stupid people there are in the world.
This one is simple, go to one of the disallowed directories & look in the source. Sometimes web-master leave comments there to give hints like passwords/ or user-names.
You never know you might find something juicy. :]
With this info you could possibly guess his password by entering some of the most infamous/best football teams.
You can also check for disallowed directory which may be allowed or weak permission.Click here for python script to audit robots.txt file automatically.

 Exploit-robots.txt

Second method

Directory Traversal
Ok, you use directory traversal when you get denied from a web-page. For example if you go to a disallowed directory & you get denied [404 page]
You can easily bypass that if there insecure with directory traversal. Also, getting denied from a page shows that there must be some sexy info inside of it. :]

So lets get started.
1. Go to the directory you got denied from. I will be using an example.
www.slave.com/users/
2. Once you get denied you need to add a not found directory.
www.slave.com/users/randomwords&numbers
3. Now for the directory traversal part you need to add a /../
This will bring it back one directory, which can get you access to the disallowed directory.
www.slave.com/users/randomwords&numbers/../
Keep it mind that you can also use the first method if you get access to the directory.

hacoder

Deep Packet Inspection on MCDEAN-ASN - M.C. Dean AS23168 Network

Less than half of the world's service providers have a detailed understanding of the traffic flowing across their networks, and even fewer are aware of the usage patterns of their subscribers. These providers have little understanding of the cost components of their networks, let alone the revenue potential that may be exploited.
Service providers need to track how subscribers are using their broadband connection so as to clearly understand the value of the service they are offering as well as the natural segmentation of their subscriber base. By gaining intimate knowledge of their subscribers, service providers can introduce compelling new service bundles designed to increase customer loyalty and service penetration.
Deep packet inspection (DPI) provides the ability to look into the packet past the basic header information. DPI intelligently determines the contents of a particular packet, and then either records that information for statistical purposes or performs an action on the packet.

The goal of usage analysis or network profiling is simple: to identify how network resources are being used in order to generate revenue streams commensurate with the business model. Our solution gives service providers an effective way to gain true visibility into subscriber activity and usage patterns of even the most complex network environments.

Applications enabled by DPI include the following:

• AS23168 Traffic Management, or the ability to control end-user applications such as peer-to-peer applications

• MCDEAN-ASN - M.C. Dean Security, resource, and admission control

• Policy enforcement and service enhancements such as personalization of content or US content filtering

Benefits include increased visibility into the network traffic, which enables network operators to understand usage patterns and to correlate network performance information along with providing usage base billing or even acceptable usage monitoring.

DPI can also reduce the overall costs on the network by reducing operation expenses (OpEx) and capital expenses (CapEx) by providing a more thorough understanding of what is happening with the network, and by providing the ability to direct traffic or to prioritize traffic more intelligently.

The need for Network Visibility

Regardless of network size or complexity, geography, or services offered, providers of broadband services need to go beyond raw network statistics and obtain a clear understanding of the type of applications and activities in their network. This includes detailed, ongoing monitoring of the following:
• Bandwidth use by application - A growing challenge in managing a successful broadband network is efficiently reducing operating and capital expenses. Service providers need a clear understanding of what type of applications, services, and network activities are consuming network resources, at what times, and in what percentages. By understanding usage in peak and off-peak hours, popular applications, and popular destinations, operators can develop ways to optimize network traffic, reduce cost, and improve network performance.
• Subscriber usage demographics - With the growth in broadband subscribers, the types of usage and requirements of the broadband community have grown more diverse. Whereas some subscribers are heavy bandwidth consumers, others are more casual and require less network capacity and bandwidth. Some use a wide range of applications such as gaming, voice, video, and file-sharing, whereas others use the network only for occasional browsing and e-mail. Some subscribers use their broadband connection for business, others for leisure and entertainment. Service providers need to categorize their subscriber base according to the actual use of their network in order to analyze ongoing trends and devise new service bundles.
• Peer-to-peer traffic - Peer-to-peer traffic now accounts for between 65 and 80 percent of the world's service provider traffic. Managing this traffic is a significant issue for operators, manifesting itself in poor overall broadband service and in increased costs due to increased help-desk calls, subscriber turnover, and skyrocketing peering costs for international traffic. Although U.S. service providers struggle with peer-to-peer traffic, they rarely face the financial issues encountered by providers outside of the U.S. that are mass "importers" of content. When most of the peer-to-peer content resides outside of their network boundaries, service providers quickly find themselves losing money when their subscribers download content across international lines.
• The presence of malicious traffic - There are now approximately 180,000 digital attacks worldwide each year, causing both service disruptions and financial outlays. Attacks have increased in number-by an order of magnitude over the past three years-and in speed of proliferation. It now takes less than 10 percent of the time to infect 1 million machines than it did only two years ago. Along with worms and viruses, e-mail spam has become a significant component of malicious traffic, now accounting for between 65 and 75 percent of all e-mail traffic. As with viruses and worms, spam carries with it a significant financial cost. According to the Gartner Group, spam is directly responsible for 7 percent of service provider turnover.
• Lack of visibility into services and revenue opportunities - Without visibility into subscriber traffic patterns, estimating the potential demand for new services becomes a challenge. For example, broadband voice may be an appealing service for subscribers, but how can you accurately gauge demand, and growth in this demand, if you have no insight into existing broadband voice service usage? Existing broadband voice activity data on your network could not only provide insight into the growth in demand for these services over time, but could also open the door to new revenue-sharing opportunities for these types of services. Having no visibility into network traffic makes it difficult to understand existing subscribers, let alone decide which new services to launch.

DPI in MCDEAN-ASN - M.C. Dean`s ACCESS POINTS

When the DPI engine is used, an access point operator can gain a deeper understanding of what application traffic is truly passing through the AS23168 network. Even though application traffic is constantly changing, the DPI engine provides customers with up to date and accurate data. Real-time application information also enables access point operator to use this data to work with their customers to identify business critical applications that need precedence, implement policy enforcement, and optimize their networks. All of these things then contribute to the overall quality of experience for end-users.
As access point operators now have an established and effective alternative to developing application identification and DPI capabilities in-house, they can focus resources on core functionalities while reducing their time to market. This ultimately leads to a more robust end user solution and more satisfied customers.

 deepacketinspection

Attacking MPLS VPNs

Loki’s MPLS module is designed to relabel specified MPLS traffic with a given label. It can be used to manipulate the transport label and change the destination of the packet, or to redirect traffic into another MPLS-VPN. The module automatically detects all MPLS labeled traffic on the wire and let the user easily set up relabeling rules. It is possible to add a tcpdump filter to the relabeling rule, if the module should only redirect some special kind of traffic. Last but not least one can define which label in the label stack should be modified.

It should be noted that this attack requires that the attacker has access to the traffic path of the respective packets. The setup for this example looks like this:

The attacker is in a Man-in-the-Middle situation inside the data path between Provider Edge 1 and Provider Edge 2 in the MPLS backbone.

On PE1 the label association for the both MPLS-VPNs looks like this:

Cisco 3750 Label Overview

Which means outgoing traffic for customer RED’s location 2 is tagged with the MPLS label 18. In the other direction, traffic tagged with MPLS label 20 is sent out to customers RED’s location 1. The same for customer GREEN, outgoing traffic for location 2 is tagged with label 19, incoming traffic with label 21 is sent out to location 1. Both customers use the same IP address space for the two locations, which is possible, as we got a logical separation in the routing of each customer.

Let’s further assume we got a client with the IP address 192.168.113.100 connected to customer GREEN’s location 2. So it’s possible to ping this client from PE1 in the context of customer GREEN. We need to specify the virtual routing and forwarding context of customer GREEN to use the customer’s specific routing table. If we run the same command in the context of customer RED, no response will be visible:

Next the attacker starts to redirect traffic from PE1 to PE2 in the backbone from customer RED’s MPLSVPN to customer GREEN’s MPLS-VPN and redirect traffic from PE2 to PE1 in the backbone from customer GREEN’s MPLS-VPN to customer RED’s MPLS-VPN by loki like this:

Once the redirection is in place it is possible to ping our assumed host from both, customer RED’s and customer GREEN’s context:

So this actually means that with right position in the traffic path and the right tool (e.g. Loki) an attacker can easily redirect a given site’s traffic of a given customer to a different destination (provided the IP addresses are the same which presumably is a valid assumption when it comes to addresses like 10.1.1.1 or 192.168.10.1).

showmpls

Top 10 Web Application Vulnerabilities

he process of exploiting vulnerabilities in web applications has become very easy, especially for seasoned malicious hacker. When a hacker successfully identifies a security flaw in a web application it puts the business and its developers at risk. There have been many cases where users sensitive data is compromised as a result of a successfully exploited vulnerabilities in web applications.

Nowadays hackers rely mostly on automated tools to exploit vulnerabilities in web applications, hence why hack attacks become a more common occurrence. There are many different type of web application vulnerabilities, but here are the 10 most critical and most exploited ones of 2015. These web application vulnerabilities can be found with automated scanners and rated according to their severity. The web application vulnerabilities that are mentioned below are worth fixing, not only because of their severity but also because of the risks it cases to a business.

1.    Injection

You must be aware of this common type of vulnerability, which is the common. Hackers, even script kiddies can easily exploit this vulnerability using automated tools. Injection flaws are not limited to SQL injection only. There are several others such as OS, LDAP and even HTML injection where unstructured data is sent as a query or command. 

This is one of the most severe web application vulnerabilities all over the internet in 2015. In a “XSS File Injection” attack, hackers injected a remote file into the website. So, they can execute java script on current web page. Researchers analyzed this as a particular technique of these hackers to execute their XSS (Cross-site Scripting) attacks.

2.    XSS (Cross- site scripting)

Cross-site scripting issue is not a new vulnerability for any researcher. When an attacker exploits this vulnerability he can inject a malicious script in a website. This weakness affects a user, where the session can be hijacked and the user can be redirected to some malicious website instead of the intended web page. We have seen these attacks happening in numbers on different websites, some of which were quite serious, such as when attackers managed to gain access to the Apache foundation servers through a XSS. Hence it is not a surprise that XSS web vulnerability is listed on the top section of our list.

3.    Using Components with Known Vulnerabilities

This happens when the developer does not take security seriously, or out of neglecting. All the components of the web application should be selected carefully and they should not carry any known vulnerability. Here components means every module that the developer use while he is creating the web application; for example, the framework, libraries and etc.    
 

4.    HTTP – Insecure Authentication Scheme

When a web application is using Digest, NTLM and Basic authentication on HTTP instead of HTTPS, it leaves application vulnerable to hacking attacks. The most common issues we have seen in recent past are:

i) Information leakage, it occurs when a password transmitted over HTTP. This happens when the hackers intercept the user’s password, before it delivers to the website. The hackers who conduct these attacks are dubbed as (man in the middle), because they are between the user and website all the time.

ii) Transmission of users data (DOB,Name, social security number etc.) on a clear-text form. This enables an hacker to intercept the network traffic and steals users data.

Iii) The possibility to lock or brute force user accounts.
 

5.    Hidden Files accessible

Another major vulnerability in web application is when a hacker attacks a website and gains access to directories and files which are hidden. Some major vulnerabilities in a websites, which may result in a breach like this are:Crossdomain.xml File, Robots.txt, Google Sitemap and clientaccesspolicy.xml.
 

6.    Sensitive Data accessibility

Sensitive data accessibility occurs when an attacker gains access to sensitive data or even to any backup of sensitive data through a vulnerability in your site. Sensitive data may include the credit card information of your users, private information and other type of important data that is not supposed to go public.
 

7.      Weak or common credentials

When a user uses a commonly used password or even username (in some cases) he becomes vulnerable to attackers. If an attacker breaks or accesses your weak password he not only can access your sites admin panels but also have full control of your web application.
 

8.    Programming errors& Misconfiguration

Misconfiguration is when the entire web application depends on the poorly configured software and may be the programming errors that could allow an attacker to get unauthorized access. Proper analysis of web server and other network based service configuration is important as analyzing the security of the web application itself.

9.    Directory Listing

The hacker can see all the files of the system if directory listing is enabled on a web server. This may result in serious data theft, depending on the confidentiality of the data, because a hacker can also download the data from the files if he wants to.
 

10.    Unvalidated Redirects and Forwards

This may be caused by a user submitting his data online in shape of an survey form or anything else. The motive behind the hacker is to make a user click on the page, which allows them to break weak passwords or even bypass mediocre ones. The users in some cases installed malware in their system, which in some cases took the user’s computer ransom.

Automated tools have already made the job easier for penetration tester to find the vulnerabilities in web application. But, the ultimate goal is to find the vulnerabilities no matter what tool or set of tools are you using. Check for vulnerabilities in a web application before the hacker do this.

ehacking

Microsoft mở mã nguồn JavaScript Engine của trình duyệt Edge

Microsoft chính thức công bố kế hoạch mở mã nguồn Chakra – JavaScript engine xây dựng trình duyệt web Edge mới của hãng. Mã nguồn sẽ được đăng tải lên GitHub trong tháng tới.
Chakra được phát triển từ năm 2008, là một máy ảo JavaScript mà Microsoft dùng cho lập trình viên của mình triển khai sản phẩm và ứng dụng của hãng. Dù Chakra mới chỉ được sử dụng trong bộ nhân của Microsoft Edge, nhưng nó có mặt trong hầu hết các Universal Apps dành cho hệ điều hành Windows 10.

Microsoft gọi tên mã nguồn mở của mình là ChakraCore – đăng tải trên GitHub với giấy phép mã nguồn mở MIT vào tháng 1 năm 2016 và được hỗ trợ từ  Intel, AMD, và NodeSource. Đây có thể xem là một điều rất thú vị – một động thái ấn tượng của Microsoft – một công ty có lịch sự về việc bảo mật và giữ kín mã nguồn. Và đặc biệt là quan điểm của Microsoft khá kỳ thị các dự án mã nguồn mở từ thời Bill Gates và đặc biệt là Steve Ballmer.
Google đã mở mã nguồn engine V8 nhiều năm trước đây và thu được kết rất tuyệt vời thông qua việc đóng góp của cộng đồng với dự án này cũng như việc các nhà phát triển đã ứng dụng engine này vào các trình duyệt và ứng dụng khác.
Microsoft hi vọng ChakraCore sẽ được sử dụng rộng rãi trong các ứng dụng trong tương lai, từ các dịch vụ Điện toán đám mây cho tới  Internet of Things.

THN

Xóa tệp an toàn với phần mềm Eraser

Phần mềm Eraser được sử dụng để xóa triệt để hay quét sạch thông tin dữ liệu nhạy cảm trên máy tính của bạn. Điều này được thực hiện bằng cách ghi đè lên thông tin dữ liệu cần xóa. Bạn có thể chọn các tệp và thư mục muốn xóa an toàn. Eraser cũng sẽ xóa các bản sao của dữ liệu đang tồn tại trên máy tính mà bạn không hề biết. Bao gồm những tệp bạn đã xóa trước đây sử dụng lệnh xóa thông thường của Windows cũng như những bản sao của các tài liệu bạn từng sử dụng trong quá khứ.
Bài viết này sẽ hướng dẫn bạn cách cài đặt và sử dụng Eraser.
Lưu ý Cài đặt: Trược khi bạn thực hiện việc cài đặt, hãy kiểm tra chắc chắn bạn có cài đặt phiên bản mới nhất của Microsoft Windows Installer và Microsoft.NET Framework.
Việc cài đặt Eraser khá nhanh chóng và dễ dàng. Bạn chỉ cần mở tệp setup của Eraser, sau đó nhấn Next cho đến khi hoàn tất là xong.
Khi khởi động, giao diện của Eraser sẽ như thế này:

Bạn nên thiết đặt việc ghi đè lên dữ liệu xóa tổi thiểu ba lần. Mỗi lần ghi đè (hay pass) đều mất thời gian nên càng thực hiện nhiều lần việc ghi đè sẽ càng mất nhiều thời gian thực hiện quá trình xóa. Điều này sẽ đáng chú ý khi xóa một lượng lớn tệp hay quét sạch không gian trống trên ổ đĩa. Số lần ghi đè có thể được thiết đặt tại trình đơn Preferences: Erasing.

Bước 1. Chọn > Edit > Preferences > Erasing… như sau:

Cửa sổ Preferences: Erasing xuất hiện như sau:

Khung Preferences: Erasing hiển thị phương thức ghi đè lên dữ liệu cần xóa.
Cột Description: Chứa danh sách tên các phương pháp xóa.
Cột Passes: Chứa số lần ghi đè lên dữ liệu xóa.
Trong ví dụ này chúng tôi sẽ sử dụng phương pháp ghi đè Pseudorandom Data. Mặc định, chỉ một lần ghi đè được thực hiện. Tuy nhiên, để tăng thêm mức độ an toàn, chúng ta sẽ tăng số lần ghi đè.
Bước 2. Chọn tùy chọn # 4 Pseudorandom Data
Bước 3. Nhấn Edit để mở cửa sổ Passes:

Bước 4. Đặt số lần ghi đè từ ba đến bảy lần (hãy ghi nhớ về sự cân bằng giữa thời gian/bảo mật).
Bước 5. Nhấn OK để quay về cửa sổ Passes.
# 4 Pseudorandom Data sẽ thay đổi như dưới đây:

Gợi ý: Hãy chắc chắn các ô Cluster Tip Area và Alternate Data Streams được nhấn chọn như sau (chúng được chọn theo mặc định):

Bước 6. Nhấn OK.
Bạn vừa thiết đặt phương pháp ghi đè cho Eraser khi xóa tệp. Bạn cũng cần đặt các tùy chọn tương tự cho tính năng Unused Disk Space xuất hiện trong khung kế tiếp trong cửa sổ Preferences: Erasing . Tuy nhiên, bạn có thể đặt số lần ghi đè hợp lý — do việc quét sạch vùng đĩa trống có thể mất khoảng hai giờ đồng hồ cho một lần ghi đè.
Người dùng thường sử dụng Eraser qua cửa số chương trình My Computer Windows Explorer hơn là qua việc mở chương trình Eraser.
Bước 1. Mở thư mục chứa tệp bạn muốn xóa an toàn.
Bước 2. Nhấn chuột phải vào tệp cần xóa. Hai tính năng mới nằm trong danh sách các lệnh là Erase và Eraser Secure Movenhư sau:

Chúng ta sẽ sử dụng lệnh Erase để xóa tệp này một cách triệt để.
Bước 3. Chọn lệnh Erase từ trình đơn như trong Hình 1 phía trên.
Hộp thoại Erasing xuất hiện:

Bước 4. Nhấn Yes để xóa vĩnh viễn hay xóa an toàn tệp đã chọn khỏi máy tính của bạn.
Cảnh báo: Bất kỳ tệp này được xóa theo phương pháp này sẽ không thể khôi phục lại và bị xóa vính viễn. Vì vậy bạn phải hoàn toàn chắc chắn về môt hay một nhóm tệp mình định xóa.

securitydaily

Bảo vệ mã nguồn PHP với Leo Obfuscator

Obfuscator là gì?

Có thể hiểu đơn giản, kỹ thuật này giống như một dạng mã hóa source code thô sơ, mục đích chính là để bảo vệ mã nguồn- tránh bị người khác “sơ ý dùng mất” mà chẳng biết làm thế nào. Bằng cách chuyển thể tên biến, đối tượng, hàm… thành những ký tự vô nghĩa, Obfuscate gây khó khăn trong việc đọc – hiểu mã nguồn mà không làm thay đổi cách thức hoạt động của chúng. Nhưng có một số thứ không thay đổi: các từ khóa (keyword) và cấu trúc lệnh của ngôn ngữ lập trình, vì nếu thay đổi chúng, chương trình dịch cũng… không hiểu bạn muốn làm gì luôn. Những thứ thay đổi đó là những thứ bạn viết ra và đặt tên riêng.

 Leo Obfuscator

Các chính năng mà Leo Obfuscator đang hỗ trợ:

• Loại bỏ các dòng chú thích, khối chú thích: tối ưu hóa dung lượng cho tệp tin sau khi mã hóa.
• Obfuscate các chuỗi PHP.
• Obfuscate các biến PHP.
• Obfuscate các hàm PHP.
• Loại bỏ các khoảng trắng.

Cách sử dụng Leo Obfuscator:

Với giao diện đơn giản, sáng và dễ nhìn. Những gì bạn cần làm đó là sao chép toàn bộ nội dung của tệp tin PHP gốc (tệp mà bạn cần bảo vệ) sau đó dán vào khung chứa code. Nhập tên tệp tin bất kì mà bạn thích ở ô File to save. Sau đó chọn những chức năng mà bạn muốn ở cột Feature bên phải rồi nhấn Encode để Leo Obfuscator bắt đầu thực hiện việc bảo vệ tệp tin PHP của bạn. Cuối cùng bạn sẽ được tải tệp tin PHP với tên mà bạn đã đặt!
Hình chụp từ một tệp đã được mã hóa:

Truy cập ngay địa chỉ để bắt đầu sử dụng Leo Obfuscator: http://leorius.com/
#LƯU Ý: Đừng nên xóa tệp tin PHP gốc để phòng khi bạn có muốn sửa code hay thêm bớt các hàm mới.

Junookyo Blog’s

Vulnerability Assessment/Penetration Testing Services

ADACOM features a wide range of security assessment services, customized and tailored to actionable attack scenarios:

• External/Internal Security Assessment Service(White and Black Box)
• Web Application Security Assessment Service(Internal and External – Authenticated & Unauthenticated)
• Wireless Network Security Assessment
• Mobile Application Security Assessment (iOS, Android, Windows Mobile, Blackberry)

External/Internal Security Assessment Service(White and Black Box)

ADACOM uses a combination of automated sweeps and detailed manual test steps to perform Penetration Test. Information provided by the organization about the target environment serve as an input for the automated scanning phase. ADACOM reviews and manually validates the results of the scans and then executes additional advanced tests to identify obscure vulnerabilities that the automated scans may have overlooked.

Web Application Security Assessment Service(Internal and External – Authenticated & Unauthenticated)

ADACOM provides the Application Security Assessment Service in standardized way by using a methodology that makes use of MITRE Framework, Systems and Frameworks and OWASP. The services includes the below steps:

Benefits of ADACOM’s Web Application Testing Service

• Methodology constantly improved to include any new threats.
• ADACOM manually eliminate any false positives
• Expert Team in application testing.
• 3rd Tiered Report of both successful and failed scenarios along with remediation actions.
• Numerous of successful projects

Wireless Network Security Assessment

Attacks that have to do with wireless networks usually have to do with misconfiguration of relevant devices or use of weak cryptographic algorithms and methods. A possible malicious user can exploit vulnerabilities in order either to gain access to organization network through the wireless network or to passively obtain sensitive data transferred through the wireless network. During this type of assessment ADACOM checks at least the below items:

Mobile Application Security Assessment (iOS, Android, Windows Mobile, Blackberry)

A mobile application (or mobile app) is a software application that usually runs in smartphones or tablets. Mobile Applications are mainly available to download (either for free or with a small fee) through the corresponding stores like Apple App Store, Google Play, Windows Phone Store, and BlackBerry App World. While in first place mobile apps mainly had to do with productivity(mail, calendar ,contacts) today more and more organizations are launching mobile applications for banking, retail shopping, business transactions, loyalty etc. This introduces a new channel of threats for adversaries that can break into the corporate network via a mobile application.
Today, hacking is pervasive across all the categories of mobile applications and there are many diverse types of hacks and tampering attacks. Mobile Application Hacking is becoming a major economic issue that affects brand reputation, revenue losses, user experience and exposure to liabilities.
ADACOM features a wide range of security assessment steps, customized and tailored to actionable attack scenarios concerning:

 

adacom

Network: Mô hình mạng hợp lý

Trong một mô hình mạng hợp lý cần phải phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế. Trước tiên ta cần tìm hiểu về các thành phần trong mô hình mạng.
Các thành phần trong mô hình

Vùng mạng nội bộ
Còn gọi là mạng LAN (Local area network), là nơi đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị.
Vùng mạng DMZ
Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ DNS, máy chủ FTP,…
Vùng mạng Server
Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server,…
Vùng mạng Internet
Còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu.

Mục đích của việc tổ chức mô hình mạng hợp lý

Việc tổ chức mô hình mạng hợp lý có ảnh hưởng lớn đến sự an toàn cho các hệ thống mạng và các cổng thông tin điện tử. Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ. Ngoài ra, việc tổ chức mô hình mạng hợp lý có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả.

Một số mô hình mạng tổng quan

• Mô hình 1

Trong mô hình này, vùng mạng Internet, vùng mạng nội bộ và vùng mạng DMZ được thiết kế tách biệt nhau. Ngoài ra, ta đặt một firewall giữa các vùng mạng nhằm kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn công trái phép.

• Mô hình 2

Trong mô hình này, ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ.

Như vậy, vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng Internet bằng 2 lớp firewall như trên hình vẽ.

• Mô hình 3

Trong mô hình này, ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ , một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall giữa vùng mạng nội bộ và vùng mạng Internet. Như vậy, mỗi sự truy cập giữa các vùng với nhau đều được kiểm soát bởi một firewall như hình vẽ.

Một số tiêu chí khi tổ chức mô hình mạng

Nên đặt các máy chủ web, máy chủ thư điện tử (mail server)… cung cấp dịch vụ ra mạng Internet trong vùng mạng DMZ, nhằm tránh các tấn công mạng nội bộ hoặc gây ảnh hướng tới an toàn mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền kiểm soát. Chú ý không đặt máy chủ web, mail server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ trong vùng mạng này.
Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… nên đặt trong vùng mạng server network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ. Đối với các hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng server network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật.
Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép. Khuyến cáo đặt firewall và IDS/IPS ở các vị trí như sau: đặt firewall giữa đường nối mạng Internet với các vùng mạng khác nhằm hạn chế các tấn công từ mạng từ bên ngoài vào; đặt firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ.
Nên đặt một Router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc một số lưu lượng không mong muốn và chặn những gói tin đến từ những địa chỉ IP không hợp lệ.

securitydaily

A Step-by-Step Guide — How to Install Free SSL Certificate On Your Website

Another Big Milestone – Let's Encrypt is now offering Free HTTPS certificates to everyone.

Let's Encrypt has opened to the public, allowing anyone to obtain Free SSL/TLS (Secure Socket Layer/Transport Layer Security) certificates for their web servers and to set up HTTPS websites in a few simple steps (mentioned below).

Let's Encrypt – an initiative run by the Internet Security Research Group (ISRG) – is a new, free, and open certificate authority recognized by all major browsers, including Google's Chrome, Mozilla's Firefox and Microsoft's Internet Explorer.

The Free SSL Certification Authority is now in public beta after testing a trial among a select group of volunteers.

Why Let's Encrypt?

Let's Encrypt promised to offer a certificate authority (CA) which is:

    Free – no charge for HTTPS certs.
    Automatic – the installation, configuration as well as the renewal of the certificates do not require any administrator action.
    Open – the automatic issuance, as well as renewal procedures, will be published as the open standard.
    Transparent – the records of all certs issuance or revocation will be available publicly.
    Secure – the team is committed to being a model of best practice in their own operations.
    Cooperative – Let's Encrypt is managed by a multi-stakeholder organization and exists to benefit the community, not any of the consortium members.


How to Install Let's Encrypt Free SSL Certificate

First of all, let's say you want to get a certificate for example.com. To run the installation, you must have root access to your example.com web server.

To Generate and Install Let's Encrypt Free SSL Certificate, you must first download and run the Let's Encrypt client application.

To install Let's Encrypt Free SSL certificate follow these Steps:

Step 1: Login to your 'example.com' web server using SSH with root access.

Step 2: To install the Git version control system, type the following command:

    apt-get install git


Step 3: Then download and install the latest version of Let's Encrypt Client application, type the following commands:

    git clone https://github.com/letsencrypt/letsencrypt
    cd letsencrypt
    ./letsencrypt-auto


Step 4: Once the installation starts, press Enter to accept the agreement.

Step 5: Then press Enter to specify the server name manually in the text box (for example, www.example.com) and then press Enter.

Step 6: Next, enter your email address, where you can receive messages from Let's Encrypt and to recover lost keys, and then press Enter.

Step 7: Review the 'Terms of Service,' and then press Enter to generate and install the SSL certificate.

Once the installation completes, you'll receive a 'Congratulation' message.

How to Configure Nginx/Apache for Let's Encrypt SSL Certificate

By default, Nginx or Apache web servers are not configured to how to use your new certificates.

For example, in case of Nginx: To use the installed SSL certificate, you need to edit Nginx configuration file. Type the following command to open Nginx configuration file:

    $ sudo nano /etc/nginx/sites-available/www.example.com

Within that file, add the following lines.

    http{
    server{
    …
    listen 443 ssl;
    server_name www.example.com;
    ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/.wwwexample.com/privkey.pem;
    …
    }
    }

Save the file, and just restart your Nginx web server, using the following command:

 sudo nginx -s reload

That's it! Check complete documentation here.

Congratulation you have successfully installed SSL certificate for your example.com domain.

How to Renew Let's Encrypt Free SSL Certificate: It is important to note that the beta version of Let's Encrypt issues certificates that expire after 90 days. So, to renew your SSL certificate, you need to run the letsencrypt-auto script again after expiration.

FREE HTTPS Certificates for Everyone!

So, now it's time for the Internet to take a significant step forward in terms of security and privacy. With Let's Encrypt, the team wants HTTPS becomes the default and to make that possible for everyone, it had built Let's Encrypt in such a way that it is easy to obtain and manage.

    "There's a reward going for anyone who can find a security hole in the service," the team wrote in a blog post. "We have more work to do before we're comfortable dropping the beta label entirely, particularly on the client experience."

    "Automation is a cornerstone of our strategy, and we need to make sure that the client works smoothly and reliably on a wide range of platforms. We'll be monitoring feedback from users closely, and making improvements as quickly as possible."

Let's Encrypt had signed its first free HTTPS certificate in September, and its client software emerged in early November. Since then the team has been finding flaws in their systems before going public.

thehackernews

Các quy trình chuẩn kiểm tra một ứng dụng website

Penetration testing là quá trình kiểm thử bảo mật cho các ứng dụng web bằng cách giả lập các cuộc tấn công vào website để tìm kiếm và phát hiện các lỗ hổng, các vấn đề bảo mật trong website. Những người kiểm thử sẽ đóng vai trò là các hacker và giả lập các tấn công vào các trang web mục tiêu.

Dưới đây là các tiêu chuẩn nhằm hỗ trợ các nhà kiểm thử bảo mật kiểm thử cho các trang web.

OWASP (Dự án bảo mật ứng dụng web mở)

Tổ chức phòng thủ ở các thiết bị mạng không chỉ giúp ngăn chặn mã độc xâm nhập vào mạng bằng cách khai thác thông tin và lỗ hổng, mà còn giúp chủ động ngăn cản những truy cập trái phép và không phù hợp vào hệ thống. Tuy nhiên, điều này không giúp các ứng dụng web tránh khỏi các cuộc tấn công, tin tặc có thể tấn công vào ứng dụng trước khi thực hiện tấn công vào hệ thống. Do vậy, cần có phương pháp kiểm tra, đánh giá các nguy cơ bảo mật cơ bản trên ứng dụng. OWASP được thực hiện với mục tiêu đó. Đây là dự án được phát triển bởi công đồng mở nhằm nâng cao nhận thức về bảo mật ứng dụng trong các tổ chức.
OWASP cung cấp nhiều tài liệu hướng dẫn về các lĩnh vực khác nhau trong việc bảo mật ứng dụng:

• Các vấn đề về bảo mật ứng dụng (Application Security Desk Reference): Tài liệu này cung cấp các định nghĩa và mô tả về tất cả các khái niệm quan trọng, các loại lỗi, lỗ hổng, các phương pháp tấn công, phương pháp kiểm tra, các tác động kỹ thuật và tác động kinh doanh trong bảo mật ứng dụng. Đây là tài liệu tham chiếu cho tất cả các tài liệu hướng dẫn khác của OWASP.
• Hướng dẫn Phát triển (Developer’s Guide): Tài liệu này bao gồm tất cả các yếu tố bảo mật mà người phát triển ứng dụng cần quan tâm. Trong tài liệu cung cấp hàng trăm loại lỗ hổng phần mềm, có thể được sử dụng như một sách hướng dẫn mạnh mẽ về kiểm soát bảo mật.
• Hướng dẫn Kiểm tra (Testing Guide): Là tài liệu cung cấp về các quy trình và công cụ kiểm tra bảo mật ứng dụng. Cách sử dụng tài liệu tốt nhất là áp dụng vào việc kiểm tra điểm yếu bảo mật của một ứng dụng hoàn thiện.
• Hướng dẫn Kiểm tra mã nguồn (Code Review Guide): Kiểm tra ứng dụng bằng cách xem mã nguồn sẽ hỗ trợ phòng tránh cho ứng dụng khỏi các tác động bên cạnh việc kiểm tra từ bên ngoài. Người kiểm tra có thể chủ động lựa chọn cách thức tiếp cận với ứng dụng phù hợp nhất.
• Ngoài ra, cộng đồng OWASP cũng giới thiệu tài liệu “OWASP Top 10”. Đây là một dự án tập trung vào phân loại 10 rủi ro bảo mật ứng dụng phổ biến nhất trong mối quan hệ với các tác động kỹ thuật và kinh doanh, đồng thời cung cấp các hướng dẫn cụ thể về cách thức kiểm tra, xác minh và khắc phục những điểm yếu bảo mật dễ gặp phải của ứng dụng. OWASP Top 10 chủ yếu tập trung giải quyết vấn đề về các nguy cơ phổ biến hơn là việc bảo mật trên một ứng dụng web hoàn thiện. Toàn bộ nội dung trong OWASP Top 10 được đăng tải tại địa chỉ: www.owasp.org/index.php/Top10

Ưu điểm của phương pháp OWASP

• Khuyến khích các nhà phát triển thực hành mã hóa an toàn bằng cách tích hợp kiểm tra an ninh ở từng giai đoạn phát triển. Điều này sẽ giúp cho các ứng dụng trong quá trình phát triển tránh được các lỗi và an toàn hơn.
• Tài liệu Hướng dẫn Kiểm tra của OWASP cung cấp chi tiết về các kỹ thuật đánh giá, cung cấp một cái nhìn rộng hơn vào nhiều nền tảng công nghệ giúp người kiểm tra lựa chọn cách thức phù hợp nhất để tiến hành kiểm tra.
• Tài liệu OWASP Top 10 cung cấp các hướng dẫn kỹ thuật giúp chống lại các cuộc tấn công và điểm yếu bảo mật phổ biến nhất và duy trì tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability) của ứng dụng (CIA).
• Cộng đồng OWASP cũng đã phát triển một số công cụ bảo mật và hướng dẫn sử dụng tập trung vào kiểm tra ứng dụng web một cách tự động. Một vài công cụ như: WebScarab, Wapiti, JBroFuzz và SQLiX. Các công cụ này cũng được cài đặt sẵn trong hệ điều hành BackTrack.

Quy trình OSSTMM (Phương pháp kiểm tra an ninh mã nguồn mở thủ công)

OSSTMM (www.isecom.org/osstmm/) là một tiêu chuẩn quốc tế được công nhận để kiểm tra và phân tích bảo mật và đang được sử dụng bởi nhiều tổ chức. Có những cách thức khác nhau để thực hiện kiểm tra bảo mật theo phương pháp OSSTMM như sau:

• Blind: Kiểm thử Blind không yêu cầu phải biết các thông tin về hệ thống mục tiêu trước đó. Tuy nhiên, mục tiêu này đã được thông báo trước khi bắt đầu tiến hành kiểm thử. Tấn công có đạo đức hoặc kiểm thử game là những ví dụ về kiểm thử mù. Loại kiểm thử này cũng được chấp nhận rộng rãi bởi mục đích đạo đức của nó trong việc thông báo trước mục tiêu.
• Double blind: Trong kiểm thử Double blind, người kiểm tra không cần biết bất kỳ thông tin nào về hệ thống mục tiêu và mục tiêu cũng không được thông báo trước khi tiến hành kiểm tra. Kiểm thử hộp đen và kiểm thử thâm nhập là những ví dụ của kiểm thử cặp mù. Với loại kiểm thử này, người kiểm tra gặp một thách thức lớn trong việc lựa chọn loại công cụ và kỹ thuật tốt nhất để giải quyết được yêu cầu kiểm tra.
• Gray box (hộp xám): Trong kiểm thử hộp xám, người kiểm tra đã biết trước một vài thông tin về hệ thống mục tiêu và mục tiêu được thông báo trước khi kiểm tra được thực hiện. Đánh giá lỗ hổng (vulneralbility) là một trong những ví dụ cơ bản của kiểm thử hộp xám.
• Double gray box (cặp hộp xám): Kiểm thử cặp hộp xám tương tự như kiểm thử hộp xám, trừ việc xác định khung thời gian cho một lần kiểm tra và không thực hiện kiểm tra channel và vector. Kiểm thử hộp trắng là một ví dụ về kiểm tra cặp hộp xám.
• Tandem (song song): Trong kiểm thử song song, người kiểm tra đã có các kiến ​​thức tối thiểu để đánh giá về hệ thống mục tiêu và mục tiêu cũng được thông báo trước khi kiểm tra được thực hiện. Các kiểm thử song song (hay cặp trước sau) được thực hiện triệt để. Kiểm thử hộp thủy tinh (crytal box) và kiểm toán (in-house audit) là ví dụ của kiểm thử song song.
• Reversal (đảo ngược): Trong kiểm thử đảo ngược, người kiểm tra biết trước đầy đủ kiến ​​thức về hệ thống mục tiêu và mục tiêu không được biết khi nào kiểm thử được tiến hành. Kiểm thử mũ đỏ (red-teaming) là một ví dụ của kiểm thử đảo ngược.

Ưu điểm của phương pháp OSSTMM

• OSSTMM làm giảm đáng kể sự xuất hiện của cảnh báo nhầm (false positive) và bỏ qua nhầm (false negative) và cung cấp phép đo chính xác đối với bảo mật.
• Phương pháp này thích nghi với nhiều loại kiểm tra bảo mật như kiểm thử thâm nhập, kiểm thử hộp trắng, đánh giá lỗ hổng,…
• Đảm bảo rằng đánh giá được thực hiện triệt để và kết quả được tổng hợp một cách phù hợp, có định lượng và đáng tin cậy.
• Các phương pháp này tuân theo một quá trình bốn bước gồm: bước định nghĩa, bước thông tin, bước pháp lý, và bước tiến hành kiểm thử. Mỗi bước gồm thu thập, đánh giá và xác minh các thông tin liên quan đến môi trường mục tiêu.
• Số liệu của độ đo bảo mật có được bằng cách sử dụng phương pháp RAV (Risk Assessment Values – Giá trị đánh giá rủi ro). RAV tính toán giá trị bảo mật thực tế dựa trên hoạt động an ninh, kiểm soát sự mất mát và những giới hạn. Số điểm RAV thể hiện trạng thái an ninh hiện tại của mục tiêu.
• Các báo cáo được thể hiện dưới định dạng STAR (Security Test Audit Report – Báo cáo kiểm tra bảo mật) để thuận lợi cho việc quản lý cũng như xem xét của đội ngũ kỹ thuật, các giá trị đánh giá rủi ro (RAV) và đầu ra từ mỗi giai đoạn kiểm tra.
• Phương pháp này thường xuyên được cập nhật với các xu hướng mới của kiểm tra bảo mật, quy định và mối quan tâm về đạo đức.
• Các bước của OSSTMM có thể dễ dàng phối hợp với các quy định của ngành công nghiệp, chính sách kinh doanh và pháp luật của chính phủ. Ngoài ra, một chứng nhận kiểm thử cũng có thể hội đủ điều kiện để được công nhận trực tiếp từ ISECOM (Institute for Security and Open Methodologies – Viện An ninh và các phương pháp mở).

ISSAF (Chuẩn đánh giá an ninh hệ thống thông tin)

ISSAF (www.oissg.org/issaf) là một chuẩn phân tích và kiểm tra an ninh mã nguồn mở. ISSAF tiến hành các đánh giá bảo mật theo một thứ tự hợp lý. Mỗi đánh giá này được thực hiện trên các thành phần khác nhau của hệ thống. Bằng cách tiến hành theo một vòng khép kín, ISSAF có thể cung cấp chính xác, đầy đủ, và hiệu quả yêu cầu kiểm định an ninh của tổ chức. ISSAF được phát triển để tập trung vào hai lĩnh vực kiểm tra an ninh, kỹ thuật và quản lý. Mặt kỹ thuật thiết lập các quy tắc và thủ tục cốt lõi để tạo ra một quá trình đánh giá đầy đủ về bảo mật, trong khi mặt quản lý hoàn thành các bước của quá trình quản lý và những công việc nên được thực hiện trong giai đoạn kiểm tra. Phương pháp đánh giá ISSAF bao gồm các giai đoạn: lập kế hoạch, đánh giá, xử lý, cấp phép và bảo trì. Mỗi giai đoạn được tiến hành hiệu quả và linh hoạt tùy theo điều kiện cụ thể. Kết quả cuối cùng là sự kết hợp của các hoạt động nghiệp vụ, các giải pháp ​​an ninh và một danh sách đầy đủ các lỗ hổng có thể tồn tại trong môi trường được kiểm tra.
ISSAF bao gồm một tập hợp phong phú các quy trình và kỹ thuật đánh giá khác nhau và thường xuyên được cập nhật. Người kiểm tra có thể thêm vào các công cụ bảo mật, các phương pháp, thủ tục,… để bổ sung cho quy trình đánh giá an ninh. Cũng có thể kết hợp với phương pháp OSSTMM hoặc bất kỳ phương pháp kiểm tra nào khác nhằm phát huy ưu điểm của mỗi phương pháp.
Ưu điểm của phương pháp ISSAF

• Là phương pháp hữu ích trong việc đảm bảo an ninh cho hệ thống bằng cách thực hiện các kiểm tra lỗ hổng hệ thống.
• Chỉ ra những thành phần quan trọng trong đánh giá an ninh thông tin như: đánh giá rủi ro, quản lý kinh doanh, tổ chức đánh giá, tiến trình quản lý, phát triển chính sách bảo mật và các thực hành hữu ích.
• Toàn bộ tiến trình đánh giá ISSAF bao gồm các hoạt động quản lý, đánh giá bảo mật vật lý, phương pháp thử nghiệm thâm nhập, quản lý sự cố, quản lý thay đổi, quản lý kinh doanh liên tục, nhận thức về an ninh, tuân thủ pháp luật và quy định.
• Phương pháp kiển thử xâm nhập ISSAF kiểm tra an ninh của cả thành phần mạng, hệ thống hoặc ứng dụng. Phương pháp này tập trung vào những công nghệ cụ thể như thiết bị định tuyến (router), chuyển mạch (switch), tường lửa, hệ thống phát hiện và phòng thủ xâm nhập, mạng riêng ảo, máy chủ ứng dụng web, cơ sở dữ liệu,…
• Thu hẹp khoảng cách giữa kỹ thuật và quản lý kiểm tra bảo mật bằng cách thực hiện các tác động cần thiết ở cả hai lĩnh vực.
• Giúp người quản lý hiểu về những rủi ro bảo mật và các lỗ hổng có thể ảnh hưởng đến hoạt động của tổ chức.

WASC-TC (Phân loại nguy cơ trong bảo mật ứng dụng web)

WASC-TC là một tiêu chuẩn mở để đánh giá sự an toàn của các ứng dụng web. Tương tự như tiêu chuẩn OWASP, WASC-TC cũng được phân loại thành các phương pháp tấn công và điểm yếu bảo mật, nhưng đi vào phân tích một cách sâu sắc hơn. Các tiêu chuẩn tổng thể được trình bày trong ba quan điểm khác nhau để giúp các nhà phát triển và người kiểm tra bảo mật có được những hiểu biết cần thiết về mối đe dọa bảo mật ứng dụng web.

• Quan điểm Liệt kê (Enumeration): Quan điểm này cung cấp cái nhìn cơ bản về tấn công ứng dụng web và điểm yếu bảo mật. Mỗi cuộc tấn công và điểm yếu bảo mật được trình bày với định nghĩa ngắn gọn, phân loại và nhiều ví dụ khác nhau. Có tổng cộng 49 cuộc tấn công và điểm yếu đối chiếu với số thứ tự trong WASC-ID (1-49).
• Quan điểm Phát triển (Development): Quan điểm này giúp nhà phát triển có được cái nhìn toàn diện về các cuộc tấn công và điểm yếu bảo mật có thể xảy ra trong các giai đoạn phát triển: thiết kế, thực hiện hoặc triển khai. Các lỗ hổng thiết kế xuất hiện khi ứng dụng không thực hiện các yêu cầu bảo mật ở giai đoạn thu thập ban đầu. Các lỗ hổng thực hiện xảy ra do nguyên tắc mã hóa và thực hành mã hóa không an toàn. Và các lỗ hổng triển khai là kết quả của việc cấu hình sai ứng dụng, máy chủ web và các hệ thống bên ngoài khác. Như vậy, dưới quan điểm phát triển, kết hợp các yếu tố này trong một vòng đời phát triển liên tục là thực hành tốt nhất để đảm bảo an ninh cho ứng dụng.
• Quan điểm Tham chiếu chéo (Taxonomy Cross Reference): Đề cập đến quan điểm tham khảo chéo nhiều tiêu chuẩn bảo mật ứng dụng web để giúp người kiểm tra và các nhà phát triển trình bày các thuật ngữ theo một chuẩn phù hợp. Tuy nhiên, mỗi tiêu chuẩn vẫn có những tiêu chí riêng để đánh giá ứng dụng từ các góc độ khác nhau và các biện pháp đo lường rủi ro riêng. Các phương pháp tấn công và điểm yếu bảo mật trong WASC-TC được trình bày tham chiếu với OWASP Top 10, CWE (Mitre’s Common Weakness Enumeration), CAPEC (Mitre’s Common Attack Pattern Enumeration and Classification) và SANS-CWE Top 25 List.

Ưu điểm của phương pháp WASC-TC

• Cung cấp kiến ​​thức chuyên sâu để đánh giá môi trường ứng dụng web nhằm chống lại các cuộc tấn công và điểm yếu phổ biến nhất.
• Các cuộc tấn công và điểm yếu được trình bày bởi WASC-TC có thể được sử dụng để kiểm tra mọi nền tảng ứng dụng web bằng cách kết hợp với các công cụ trong hệ điều hành BackTrack.
• Tiêu chuẩn này cung cấp ba quan điểm khác nhau, cụ thể là liệt kê, phát triển và tham chiếu chéo. Quan điểm Liệt kê cung cấp khái niệm cơ bản cho tất cả các cuộc tấn công và điểm yếu được tìm thấy trong các ứng dụng web. Quan điểm Phát triển kết hợp các định nghĩa tấn công và điểm yếu bảo mật thành các khái niệm về lỗ hổng và sắp xếp theo sự xuất hiện trong từng giai đoạn phát triển cụ thể: thiết kế, thực hiện hoặc triển khai. Quan điểm tham chiếu chéo giúp WASC-TC tham khảo và tương thích với những chuẩn bảo mật ứng dụng khác.
• WASC-TC đã được chấp nhận ở mức công nghiệp và tính hội nhập này được thể hiện trong các mã nguồn mở và các giải pháp thương mại, chủ yếu là đánh giá lỗ hổng bảo mật và các sản phẩm quản lý.

 securitydaily

Các phương pháp kiểm tra ứng dụng web

1. Phương pháp kiểm tra hộp đen

Phương pháp kiểm tra hộp đen các lỗi bảo mật trên ứng dụng web đề cập đến việc kiểm tra các ứng dụng từ bên ngoài, tức là quan sát các dữ liệu được đệ trình đến ứng dụng và các dữ liệu từ ứng dụng xuất ra mà không cần hiểu đến hoạt động bên trong của nó. Quá trình đệ trình dữ liệu từ bên ngoài đến ứng dụng có thể thực hiện bằng thủ công hoặc sử dụng công cụ tự động gửi đến ứng dụng.

Kiểm tra thủ công là quá trình kiểm tra mà người kiểm tra phải xác định vị trị dữ liệu cần được đệ trình đến ứng dụng bằng cách sử dụng các intercepting proxy (là một ứng dụng nằm giữa ứng dụng và trình duyệt, cho phép người kiểm tra thay đổi giá trị một cách tùy biến trước khi đệ trình đến ứng dụng) và tập dữ liệu cần đệ trình đến ứng dụng tương ứng với các vị trí đệ trình đã xác định trước đó. Một số công cụ tiêu biểu:

• WebScarab (http://www.owasp.org/software/webscarab.html) là một framework được viết bằng Java phục vụ cho việc phân tích những ứng dụng web với hai giao thức hỗ trợ HTTP và HTTPS. WebScarab có khả năng ghi lại hoặc thay đổi tham số ứng dụng trước khi đi trình những yêu cầu, phản hồi giữa trình duyệt và ứng dụng web. Ngoài ra, công cụ còn cho phép thực hiện một số chức năng hữu ích khác như:

– Spider (duyệt toàn bộ cấu trúc của website): Sẽ thực hiện quét toàn bộ thư mục và tập tin của ứng dụng web.

– SessionID Analysis (phân tích chỉ số phiên làm việc): Cho phép phân tích phiên làm việc giữa trình duyệt và ứng dụng.

– Fuzzer: Một chức năng tự động truyền dữ liệu đối với các tham số đã được người kiểm tra chỉ định trước đó.

• BurpSuite (http://portswigger.net/suite/) cũng là một framework được viết bằng Java cũng có chức tương tự như webScarab như intercepting proxy, spider, fuzzer, … BurpSuite hiện tại có hai phiên bản, một phiên bản miễn phí và một phiên bản thương mại. Phiên bản thương mại thì có thêm phần tự động quét các lỗi ứng dụng web và cho phép người sử dụng có thể tìm kiếm hoặc lưu lại trạng thái trong quá trình kiểm tra các ứng dụng web. Một số điểm nổi bật của BurpSuite có thể điểm qua đó là:

– Chức năng spider trong BurpSuite thông minh hơn WebScarab ở chỗ khi nó nhận diện các dữ liệu cần đệ trình thì nó sẽ thông báo cho người kiểm tra biết. Người kiểm tra sẽ xem xét và đệ trình dữ liệu phù hợp để BurpSuite có thể quét toàn bộ thư mục và tập tin của ứng dụng web một cách hiệu quả nhất.

– Quá trình intercepting proxy có nhiều tùy chọn chọn lọc hơn so với webscarab, cho phép người kiểm tra ứng dụng có thể tùy biến trong việc theo dõi việc trao đổi dữ liệu giữa trình duyệt và ứng dụng web.

– Chức năng Intruder trong BurpSuite giống như chức năng Fuzzer của WebScarab nhưng lại cho tùy biến các vị trí dữ liệu cần đệ trình đến ứng dụng uyển chuyển và linh hoạt hơn.

– Một số chức năng phụ mạnh như: so sánh kết quả từ sự phản hồi của ứng dụng, cung cấp một số phương thức giải mã thông dụng base64, htmlencode,…

– Chức năng thực hiện tự động kiểm tra các lỗi SQLi, XSS, Path Traversal, … Chức năng này chỉ có trong phiên bản có thu phí. Quá trình kiểm tra tự động các lỗi bảo mật cũng thực hiện trên việc đệ trình các dữ liệu gây ra lỗi SQLi, XSS, … trên những tham số mà BurpSuite thu thập được.

– Chức năng lưu phiên làm việc (chỉ có tác dụng trong bản thu phí) cho phép người kiểm tra có thể lưu phiên làm việc của mình với BurpSuite.

BurpSuite

Phương pháp kiểm tra lỗi tự động là quá trình các công cụ sẽ thực hiện tự động quét thư mục, tập tin của ứng dụng web và tự động xác định các điểm mà cần đệ trình dữ liệu. Trên cơ sở đã xác định các điểm cần đệ trình tự động tiếp đến công cụ sẽ thực hiện đệ trình các tập dữ liệu được định nghĩa sẵn và chờ sự phản hồi từ phía ứng dụng web để kiểm tra xem liệu ứng dụng đó có bị các lỗi bảo mật hay không? Một số công cụ tiêu biểu:

• Wa3f (http://w3af.sourceforge.net) là một công cụ đánh giá các lỗi bảo mật tự động và miễn phí. Thực hiện kiểm tra tất cả các lỗi bảo mật phổ biến nhất trong danh sách 10 lỗi bảo mật do OWASP giới thiệu.

Wa3f

• Acunetix (http://www.acunetix.com) là công cụ thương mại với các khả năng kiểm tra lỗi bảo mật mạnh. Acunetix hỗ trợ tất cả các phương thức kiểm tra như kiểm tra thủ công hoặc kiểm tra tự động. Tuy nhiên Acunetix đưa đến người sử dụng với phí rất đắt, hơn 3000 USD cho một bản quyền.

Acunetix

2. Phương pháp kiểm tra hộp trắng

Phương pháp kiểm tra hộp trắng các lỗi bảo mật trên ứng dụng web là quá trình kiểm tra trực tiếp mã nguồn của ứng dụng web để tìm ra các lỗi bảo mật. Quá trình quan sát và kiểm tra mã nguồn có thể thực hiện thủ công hoặc thực hiện bằng công cụ. Quá trình thực hiện bằng công cụ tức là quá trình mà công cụ sẽ thực hiện quét toàn bộ mã nguồn của ứng dụng và dựa trên tập nhận biết các hàm, các chỉ dẫn có khả năng gây ra lỗi bởi ngôn ngữ lập trình phát triển ứng dụng web. Một công cụ có thể kể đến trong việc quét mã nguồn là AppCodeScan do Blueinfy Solutions Pvt. Ltd. phát triển.

AppCodeScan

Quá trình tìm kiếm lỗi bảo mật trong mã nguồn của ứng dụng bằng phương pháp thủ công thì phải đòi hỏi người kiểm tra phải có một phương pháp kiểm tra và ra soát hợp lý. Bởi vì khối lượng tập tin cũng như nội dung trong các ứng dụng web là rất lớn, nếu như không có một phương pháp rà soát và đánh giá hợp lý thì sẽ tiêu tốn rất nhiều thời gian để phát hiện lỗi.

3. Phương pháp kiểm tra Fuzzing

Phương pháp kiểm tra fuzzing lỗi bảo mật thực chất cũng là phương pháp kiểm tra hộp đen nhưng được phân ra một nhánh do nó có những đặc điểm riêng biệt. Các công cụ sử dụng phương pháp fuzzing để kiểm tra lỗi bảo mật sẽ không thực hiện việc quét cấu trúc thư mục và tập tin của ứng dụng web, mà chỉ đơn giản là tập hợp tất các lỗi đã được công bố đối với từng ứng dụng web cụ thể và thực hiện đệ trình đến ứng dụng web xem thử ứng dụng đó có bị mắc các lỗi bảo mật hay không? Ví dụ, một fuzzer kiểm tra tất cả các lỗi bảo mật liên quan đến ứng dụng cổng thông tin điện tử Joomla thì nó sẽ tập hợp tất cả các lỗi bảo mật liên quan đến ứng dụng Joomla và thực hiện đệ trình khi người kiểm tra cung cấp.

Cách thức thu thập lỗi bảo mật

Một công cụ kiểm tra lỗi bảo mật sử dụng phương pháp kiểm tra fuzzing được tổ chức thành 2 phần:

• Phần 1: Tập hợp tất cả các định dạng URL mà gây ra lỗi cho một ứng dụng cụ thể. Ví dụ: lỗi bảo mật cho ứng dụng Joomla được phát hiện nằm trong URL: “index.php?option=com_content&view=article”. URL này sẽ được lưu trong cơ sở dữ liệu của chương trình cùng với tham số đệ trình gây ra lỗi của nó.
• Phần 2: Tập hợp tất cả đặc điểm nhận diện tương ứng với URL gây ra lỗi trong quá trình fuzzing. Các điểm điểm nhận diện này cũng sẽ lưu cùng với URL gây ra lỗi trong cơ sở dữ liệu.

Kiểm tra lỗi bảo mật web bằng phương pháp kiểm tra fuzzing có ưu điểm là kiểm tra nhanh với một lượng lớn website mà đã biết tên ứng dụng đang chạy. Ví dụ, tập hợp một lượng lớn danh sách các website biết chắc chắn đang chạy ứng dụng Joomla thì sẽ sử dụng công cụ kiểm tra lỗi bảo mật liên quan đến ứng dụng Joomla một cách nhanh chóng. Nhược điểm của phương pháp kiểm tra này là tính cố định được tổ chức cho từng lỗi bảo mật cho nên lỗi bảo mật nào muốn kiểm tra thì phải đúng định dạng của nó thì nó mới kiểm tra được và dấu hiệu nhận biết phải được tập hợp một cách đầy đủ, không sẽ bỏ xót. Nếu không thì mặc dầu ứng dụng đó có lỗi nhưng dữ liệu nhận diện thiếu, cũng không thể phát hiện ra lỗi bảo mật đó.

Một số công cụ tiêu biểu

• Nikto (http://cirt.net/nikto2) là một trong những công cụ thực hiện fuzzer các lỗi bảo mật tốt nhất và nhanh nhất hiện nay. Với cơ sở dữ liệu cập nhật hàng trăm lỗi bảo mật được xuất hiện hằng ngày. Đặc biệt là Nikto được sử dụng hoàn toàn miễn phí và có khả năng tùy biến cao. Nikto cũng là một trong những công cụ được insecure.org bình chọn một trong những công cụ quét lỗi bảo mật web tốt nhất trong 10 công cụ. Ngoài ra, Nikto cho phép người sử dụng tùy biến viết các thành phần và nhúng kết với Nikto để thực thi. Hơn nữa, Nikto cũng hỗ trợ nhiều định dạng của những chương trình quét lỗi bảo mật khác như: Nmap, Nessus.

Nikto

• AppScan (http://www.ibm.com/software/awdtools/appscan/) một công cụ thương mại tập hợp lớn các lỗi bảo mật cho từng ứng dụng web riêng biệt.

IBM AppScan

securitydaily

OllyDBG công cụ cho các chuyên gia Reverse Engineering

OllyDBG hay còn gọi tắt là Olly là công cụ debug rất phổ biến. Nhờ giao diện trực quan và dễ sử dụng nên Olly phù hợp với người dùng ở mọi trình độ khác nhau.

Một số chức năng có thể kể đến của Olly:

• Trace registers, find loops, switches, API calls,
• Tải và debug cái dll modules
• Cho phép để thêm commant và label của riêng của bạn về chức năng để dành cho chú thích và trực quan khi bạn RE
• Attaack một chương trình đang chạy
• Tìm các constant và address range 1 cách dễ dàng
• Cho phép đặt các breakpoints ( điểm dừng) để dễ dàng debug và theo dõi
• Đặt các Breakpoint hadware
• Tìm kiếm string
• Xem các hàm API được gọi
• Cho phép tạo file dump của process
• Edit và mặc nhiên sửa lỗi
• Debug từng bước program ( Step-by-Step)
• v.v

Tổng quan chương trình

Ngay khi chạy chương trình, các bạn có thể nhìn thấy giao diện của OllyDBG chia làm 5 cửa sổ hết sức trực quan

Cửa số 1: CPU

Đây là cửa sổ chính và thường xuyên sử dụng của chương trình. Cửa sổ này bao gồm 4 cột:

• Cột 1: Address: Hiển thị địa chỉ câu lệnh trong vùng nhớ
• Cột 2: Hex dump: Hiển thị mã Opcode của câu lệnh
• Cột 3:Disassembly: Hiển thị mã Assembly
• Cột 4: Comment: Hiển thị các ghi chú. Chúng ta cũng có thể tự ghi các ghi chú vào cột này

Cửa số 2: Nằm ngay dưới cửa sổ thứ nhất

Hiển thị giá trị các đối số của các câu lệnh ASM

Cửa sổ 3: Address, Hex dump, ASCII hay UNICODE

Quan sát sự thay đổi các giá trị vùng nhớ trong chương trình
Sử dụng để tìm các string trong bộ nhớ
Gồm 3 cột:

• Cột 1: Address: Hiển thị địa chỉ vùng nhớ
• Cột 2: Hex dump: Hiển thị giá trị vùng nhớ dưới dạng Hex
• Cột 3: ASCII hay UNICODE: Hiển thị giá trị vùng nhớ dưới dạng mã ASCII hoặc UNICODE

Cửa sổ 4: Registers [FPU, MMX, 3DNow!] :

Hiển thị giá trị các thanh ghi và cờ trong Assembly. Cửa sổ này cần thiết để chúng ta theo dõi sự thay đổi giá trị của các thanh ghi, các lệnh toán học ….

Cửa sổ 5: STACK

Hiển thị giá trị trong vùng stack

Bạn có thể sử dụng phím tab hay shift tab để chuyển đổi giữa các cửa sổ
Nếu các bạn không thấy được các bar trong mỗi cửa sổ thì các bạn có thể click chuột phải tại cửa số đó và chọn Appearance-> Show bar

Trong bài tới tôi sẽ tiếp tục với chủ đề “Debug một chương trình với OllyDBG” và “Hướng dẫn sử dụng OllyDBG với việc phân tích chương trình crackme của tác giả CRUEHEAD“

securitydaily

IDA công cụ hoàn hảo cho các chuyên gia Reverse Engineering

IDA (Interactive DisAssembler): đây là một trong những phần mềm disasembler thông minh và đầy đủ tính năng nhất, được sử dụng bởi rất nhiểu chuyên gia nghiên cứu về bảo mật sử dụng.. IDA được viết bằng C++, chạy trên 3 hệ điều hành chính: Microsolt Windows, Mac OS X, Linux.
IDA được phát triển bởi Hexrays: https://www.hex-rays.com/index.shtml
Trong bài này sẽ tôi tập trung làm rõ một số phần như sau:

• Bắt đầu với IDA
• Một số cửa sổ quan trọng trong IDA
• Ý nghĩa sử dụng IDA trong phân tích, dịch ngược

Bắt đầu với IDA

Đây là cửa sổ đầu tiên hiển thị khi chạy IDA, có thể bỏ qua cửa sổ này và vào thẳng giao diện IDA từ các lần sau bằng cách bỏ chọn phần khoanh màu đỏ. Trong giao diện này, người dùng sẽ được cung cấp một số tuỳ chọn:

• New: mở một file mới để phân tích
• Go: Đi thẳng vào giao diện làm việc chính
• Previous: Load lại một file đã phân tích trước đó để tiến hành phân tích lại

Ngoài việc chọn New để mở một file mới để phân tích, trên giao diện chính, người dùng có thể vào menu File → Open để mở file cần phân tích. Trong phạm vi bài này, chúng ta sẽ mở chương trình LordPE trong các ví dụ.

Khi chọn được file cần phân tích, IDA sẽ hiển thị dialog liệt kê danh sách các loại file cần thiết. Ở đây chúng ta có thể chọn tài nguyên được load lên hoặc chọn hình thức load. Thông thường các giá trị này nên để mặc định theo IDA.

Sau khi click OK, IDA sẽ tự động load các tài nguyên cần thiết theo thông số cấu hình đã chọn. Sau quá trình load, IDA sẽ bố trí các vùng cửa sổ khác nhau với các thông tin tương ứng.

Một số cửa sổ quan trọng trong IDA

Phần dưới đây sẽ giới thiệu một số cửa sổ chính, có chứa các tính năng quang trọng và cần thiết khi disasembler.

• Function Windows: Cửa sổ này liệt kê tất cả các hàm của chương trình. Sau quá trình phân tích , IDA sẽ liệt kê và đưa ra danh sách hàm với địa chỉ bắt đầu, kết thúc, các tham số và đặc tính của từng hàm.

• Output Windows: Cửa sổ này hiển thị một số thông tin đầu ra trong quá trình xử lý của IDA, cửa sổ này không cần quan tâm quá nhiều khi tiến hành làm việc cùng IDA

• IDA View: Cửa sổ này có hai chế độ hiển thị: Hiển thị dạng mã Asembly hoặc chia thành từng khối lệnh có sự liên kết giữa các khối lệnh để thực hiện các cấu trúc lặp, rẽ nhánh.

• Graph Overview: Cửa sổ này xuất hiện cùng cửa sổ IDA View ở chế độ hiển thị theo các khối. Cửa sổ này cung cấp cho người dùng cái nhìn tổng quan về một hàm hoặc toàn bộ chương trình. Thông qua cửa sổ này người dùng có thể biết được mức độ đơn giản/phức tạp của một hàm/chương trình đang theo dõi, đồng thời có thể di chuyển nhanh tới các vị trí trong toàn bộ hàm/chương trình để quan sát tổng quan và chi tiết các module. Khi di chuyển trên Graph Overview, chúng ra sẽ xem được các khối lệnh ở vị trí tương ứng trên cửa sổ IDA View

• Hex View: Cửa sổ này cung cấp các thông tin dưới dạng mã HEX, phần này cũng cho phép người dùng có khả năng chỉnh sửa trực tiếp mã HEX.

• Import View: Cửa sổ này cho biết các module mà chương trình đã sử dụng và từng module cụ thể được load lên từ thư viện nào

Ý nghĩa sử dụng IDA trong phân tích, dịch ngược

IDA cung cấp rất nhiều thông tin cũng như tính năng hỗ trợ cho người phân tích, tuy nhiên nếu không biết cách sử dụng một cách hợp lý và hiệu quả thì rất dễ làm cho người dùng bị nhiễu thông tin và cảm thấy khó khăn. Mục đích của IDA là để người phân tích có một cái nhìn tổng quan về toàn bộ chương trình, tiếp theo đó, người dùng có thể thấy được cấu trúc chi tiết của các module trong chương trình, mối quan hệ giữa các module, các khối lệnh nằm trong từng hàm.
Kết hợp với quá trình sử dụng  OllyDBG, người phân tích có thể biết được luồng đi của chương trình tương ứng với từng giá trị và loại dữ liệu. Đồng thời với quá trình đó, người phân tích cũng có thể xác định các chức năng của từng hàm, tạo các ghi nhớ cho từng khối lệnh để làm việc hiệu quả hơn.

securitydaily