Permettete a XSS le password? Si dovrebbe!

Ci sono due principi di sicurezza che tengo caro, ma sono spesso controintuitivo:

1. Gli utenti dovrebbero essere in grado di creare qualsiasi password concepibile che desiderano - senza limiti!
2. Tutti gli input devono essere trattati come ostile e disinfettato correttamente contro una whitelist.

Questo è un consiglio controintuitivo, in quanto questo secondo punto è sempre statoparzialmente supportato nativamente dalla convalida delle richieste ASP.NET. Dico "in parte" perché non è l'ultima parola di convalida della richiesta e si dovrebbe sempre correttamente whitelist l'input ammissibile oltre alle difese quadro nativi. Detto questo, si dovrebbe sempre (almeno nella misura del possibile) lasciare abilitata la convalida delle richieste e, in passato sono stato critico di coloro che non lo fanno . E 'abbastanza importante che ho arrotolato un test per questo in ASafaWeb .

Tornando a questi principi essere controintuitivo, il mese scorso ho ricevuto un messaggio interessante da un sostenitore ASafaWeb amichevole:

Bugger. Naturalmente ciò che stava accadendo in realtà è abbastanza chiaro, non vi resta che provare a cambiare la password per "<script>":

Chiaramente questo è il mio ambiente di sviluppo dato il messaggio di errore interno, ma questo è esattamente ciò che stava accadendo sul sito pubblico troppo - la convalida della richiesta è stato respinto l'ingresso.

Allora, perché è necessario per questo un campo password? Beh in primo luogo, ASP.NET non fa discriminazioni; dati post è dati di invio e se contiene lo script potenzialmente dannoso poi è respinto. Ma perché dovrebbe ti preoccupi di un attacco XSS potenziale nel campo di una password? Voglio dire, non e 'come si sta andando mai a rendere a una pagina o e-mail, a destra (tosse, Tesco )? Naturalmente la prima cosa che dovrebbe accadere a una password quando si colpisce il server web è che dovrebbe essere crittograficamente hash e mai reso a qualsiasi contesto di output di nuovo. Mai.

Ai vecchi tempi, l'unico modo per consentire a XSS le password sarebbe stata quella di disattivare la richiesta di convalida nella pagina. Purtroppo questo significherebbe anche disabilitarlo su tutti gli altri campi, permettendo così XSS nel nome, indirizzo, numero di telefono e qualsiasi altro luogo lo sviluppatore non era esplicitamente whitelisting dati attendibili (che, purtroppo, è di solito in tutto il mondo). In realtà, la convalida delle richieste è stato spesso disattivata in tutto il sito che è sicuramente auspicabile.

Inserisci NET 4.5 e. due aggiunte molto fresco nuovo per richiedere la convalida :

1. Differita o la convalida "pigro": solo i dati che è in realtà accede è soggetta a convalida. Posta (o ottenere) un pezzo con nome casuale di dati e non verrà convalidato.
2. Non convalidato le richieste: non tutti i dati deve essere oggetto di richiesta di convalida e ora può essere selettivamente ignorato in diversi modi.

E 'questo secondo punto che significa che XSS nei campi della password è ormai una realtà, senza compromettere la sicurezza dei campi che si desidera ancora convalidato. Ci sono vari modi di attuazione della presente all'interno di ASP.NET MVC e non la convalida dei dati.

Per esempio, l'azione di controllo può essere diretto a convalidare l'input non:

[ HttpPost ]
[ ValidateInput ( true )]
 pubblico ActionResult ChangePassword ( ChangePasswordModel modello)

Che lavora per una modifica della password in cui normalmente solo tre password nei dati post (vecchio, nuovo, confermano che il nuovo), ma come al momento della registrazione?Se non si desidera disattivare la convalida della richiesta su tutti quei altri campi.

Fortunatamente possiamo solo scendere al livello di modello e disattivare la convalida su un attributo utilizzando l'annotazione AllowHtml dati:

[ AllowHtml ]
[ Required (ErrorMessage = "La password è necessaria" )]
[ StringLength (100, ErrorMessage = "La password deve essere di almeno {2} 
caratteri " , MinimumLength = 8)]
[ DataType ( DataType . password)]
[ Visualizza (Name = "Password" )]
 public string Password { ottenere ; set ;}

Ci sono poche altre opzioni disponibili per l'oggetto richiesta e (particolarmente utile per i web form), ma in realtà non si può ottenere molto più facile di questo nel mondo MVC - è sufficiente aggiungere i dati di annotazione per ogni attributo password.

Ciò è possibile solo con. NET 4.5 e che è una delle molte caratteristiche che posso ora sfruttare in ASafaWeb dopo recente aggiornamento del quadro e avendo AppHarbor sostegno che essendo precedenti adopter della nuova versione nel loro ambiente di hosting. Quindi, per gli utenti di ASafaWeb, impazzire con XSS in le password! Quanto a quelli di voi con pre-ASP.NET 4,5 siti, perché siete ancora limitando le mie opzioni per le password? :)

Edit (9 settembre): ho bisogno di chiarire questo un po 'meglio (buon promemoria del motivo per cui cerco di non correre i post sul blog!) - la ValidateInput e AllowHtml attributi utilizzati su azioni di controllo e le proprietà di classe è disponibile in MVC per un po' (pre. NET 4.5) e li troverete nella documentazione per la convalida delle richieste ASP.NET 4 .Cosa c'è di completamente nuovo per 4.5 è la possibilità di disabilitare selettivamente sulle proprietà richiesta individuale. La documentazione per la convalida delle richieste ASP.NET 4,5 dà una buona sintesi:

Request.Form [ "userinput" ]; / / Convalidato, errore se l'ingresso include markup

Request.Unvalidated ( "userinput" ); / / Validazione bypassato
 Request.Unvalidated () modulo [. "userinput" ]; / / Validazione bypassato

Request.QueryString [ "userPreference" ]; / / Convalidato
 Request.Unvalidated () QueryString [. "userPreference" ]; / / Validazione bypassato

Corso Visual Studio - Corsi Visual Studio

Corso .Net- Corso Dot.Net - Corso Vb.net

Corso C# - Corso PHP - Corso Joomla

Fissaggio DoS hash buona e giusta (e la rottura ASafaWeb)

Ricorda DoS hash ? Questo è stato molto intelligente che attacco ma altrettanto brutto piccolo che significa che se si formatta i parametri in un juuuuust richiesta palo destro si potrebbe abbattere un sito Web ASP.NET con una semplice richiesta singola. Bugger.

Questo fatto per una piuttosto sgradevole periodo di Natale e Capodanno per un certo numero di persone a Microsoft così come gli amministratori di sistema di tutto il mondo.Microsoft ha rilasciato un rapido il bollettino MS11-100 critica patch o in altre parole, la stop-cosa-tu sei-fare-e-install-it-RIGHT-NOW patch.

Ma non era davvero una patch di per sé, in quanto non è stato risolto la vulnerabilità sottostante, che era legato a collisioni hash. Invece, si è fermato a un utente malintenzionato di pubblicare più di 1.000 parametri del modulo a un sito web in modo pensare di più come una difesa preventiva, piuttosto che una correzione.

Ho anche avuto un po 'di punta in questo periodo perché volevo arrivare ASafaWeb scansione per la presenza della patch. Spesso gli sviluppatori non hanno visibilità diretta sul livello di patch delle infrastrutture sono in esecuzione su così ho voluto un mezzo di auto-valutazione. E 'stato troppo facile - tutto quello che dovevo fare era inviare 1.001 parametri di modulo e se il sito ha restituito un errore, la patch è stata installata. Se non avesse allora significava la richiesta è stata in fase di elaborazione e la patch non era presente. C'erano un paio di colpi di scena (come l'oggetto di richiesta la necessità di accedere in un app MVC per farlo funzionare), ma per la maggior parte, tutto è andato liscio.

Ora Microsoft ha fatto e rotto il mio scan - e non potrei essere più felice. Oggi ho eseguito tutti i miei test di integrazione ASafaWeb che controlla i risultati della scansione contro un certo numero di siti e di colpo la mia prova contro il sito ASafaWeb deliberatamente insicuro prova a notasafaweb.apphb.com stava fallendo. Mi riferisco alla prova di unità formale stava fallendo, perché prevede l'hash DoS scansione di passare (l'infrastruttura AppHarbor che gira su è stato patchato molto rapidamente), ma per qualche motivo l'hash DoS scansione è stata ora fallendo.

L'altra componente del test di integrazione che stava fallendo era che si attendeva la versione di ASP.NET del sito web per essere 4.0.30319.272 ancora stava tornando come 4.0.30319.17929. Questo è il numero di versione si torna in fondo una traccia dello stack e comprende l'ultimo segmento di cifre (la versione restituito nella X-aspnet-Version intestazione non). Coincidenza? Io credo di no, ed ecco perché:

Questa è una notizia molto buona perché quello che Levi sta dicendo è che l'implementazione sottostante hash è stato risolto quindi non c'è più bisogno di smettere di eccessivi posti i parametri del modulo nella loro tracce. Buon per l'ecosistema ASP.NET, non così buono per le prove ASafaWeb!

Che cosa questo significa è che ora rilevare il rischio di hash DoS è più difficile, molto più difficile. Ma non è impossibile e mi piacerebbe condividere il processo che ho appena implementato in ASafaWeb. Il motivo principale che voglio condividere questo è che mi piacerebbe che la gente fare dei buchi in essa e dimmi dove può essere migliorato.

Il fatto è che ora ci sono molte condizioni che devono essere valutati e anche in questo caso, ci sono molte circostanze che porteranno a risultati inconcludenti. Eppure, ecco cosa sta succedendo:

Qui ci sono alcune ipotesi fondamentali che non possono essere immediatamente chiaro:

1. ASP.NET 4.5 è sicuro. Una volta che vediamo la versione 4.0.30319.17929 presentare sappiamo che la protezione hash DoS è integrato direttamente nel nucleo. Il problema è che si può solo rilevare questo se una traccia dello stack può essere causato o da un gestore Trace.axd accesso.
2. ASP.NET 4 su IIS 8 è sicuro. Questo è semplicemente a causa del punto precedente;. NET 4,5 fornito con IIS 8. , Mentre altri 4 contro 4.5 non può essere rilevato dalla intestazione di risposta da solo, 4.x può essere come può la versione di IIS (a meno che non sono stati deliberatamente offuscato).

L'obiettivo è quello di cercare di minimizzare i risultati che rientrano nella categoria "inconcludenti", nessun rischio è grande, il rischio è grande anche confermato (almeno dal punto di vista di precisione), ma ci sono ancora molte situazioni che provocano un risultato inconcludente . Per esempio:

1. Non conoscendo la versione di. NET il sito è in esecuzione e non essere in grado di causare un errore inviando vars forma troppi.
2. Non ricevendo una risposta valida quando si postano le vars modulo ("metodo non consentito" risposta, timeout, risposta vuota, ecc)
3. Il sito non è moduli web e la pubblicazione dei vars non causa un errore (potrebbe essere MVC e l'oggetto della richiesta è in uso)

Probabilmente ci sono altri che dovrebbero prendere in considerazione o potrebbe applicarsi per migliorare il sistema e mi piacerebbe sentire questo feedback. Se si conosce il modo per aggirare ASP.NET e può vedere i fori o miglioramenti in questo, per favore fatemi sapere. Per ora, l'approccio di cui sopra è stato implementato quindi sentitevi liberi di andare e provare a asafaweb.com .

Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla

Truffe Virus, ingegneria sociale, storie vittima e di sensibilizzazione della comunità

Come molti lettori e seguaci sapranno, ho avuto un po 'di divertimento con i truffatori in passato. Ricordate quei ragazzi che si richiama mentre si sta seduti per la cena e dirti che il tuo computer è dotato di tutti i tipi di cattivi in esso? Sì, quei ragazzi.

I post del blog che ho fatto è stata una parte della storia e inevitabilmente l'uno maggior parte delle persone hanno familiarità con, ma ci sono alcune altre cose che accadono che mi pare alcuni di voi sarebbe interessato a, tanto più che aiuta a capire il quadro generale .

Il catalizzatore di questo post è venuto dopo di ottenere un certo tempo di trasmissione buona settimana scorsa. Una cosa che può essere fatto facilmente e ha un impatto molto significativo è quello di sensibilizzare i popoli "(bastone in giro - ho intenzione di chiedere un po 'di aiuto con questo). La scorsa settimana sono stato intervistato da Today Tonight (un cittadino australiano spettacolo di attualità), che in onda alle 18:30 il Venerdì. Non so i numeri esatti spettatore, ma suppongo le sue figure sette. Ecco il video (clic per accedere al loro sito):

Come risultato di questo show, numerose persone si resero conto che avevano avuto e prontamente cancellato pagamenti. Tornerò ad alcuni esempi di questo breve, ma prima, vorrei provare a fare un po 'di luce sulle tattiche di questi ragazzi stanno usando perché è un po' più intelligente di quello che molti stanno dando loro credito.

Capire ingegneria sociale

Una delle cose che sento spesso è "Wow, che avrebbe dovuto essere stupido a cadere per questo". Allo stesso modo, le persone che ricadono spesso per parlare di come si sentono sciocco. Quest'ultimo può essere vero, la prima non è e questo perché si tratta di un caso di molto intelligente ingegneria sociale. Mi spiego meglio:

Quando si parla di sicurezza nell'era digitale, noi (me compreso) di solito parlare di sistema di sicurezza. Crittografia, SQL injection e cross site scripting sono tutti i concetti essenziali per capire quando si costruisce sistemi sicuri ma sono tutti facilmente superata da elusione sociale:

Ok, non è molto sottile "engineering", ma si ottiene l'idea. Kevin Mitnick dà una visione più precisa nel suo libro intitolato The Art Of Deception - Controllare l'elemento umano della sicurezza :

Perché attacchi di ingegneria sociale così tanto successo? Non è perché le persone sono stupide o la mancanza di buon senso. Ma noi, come esseri umani, sono tutti vulnerabili a essere ingannati perché la gente può sbagliare la loro fiducia, se manipolate in un certo modo.

L'ingegnere sociale anticipa sospetto e resistenza, ed è sempre pronto a trasformare la sfiducia in fiducia. Un buon ingegnere sociale prevede il suo attacco come una partita a scacchi, anticipando le domande potrebbero porre il suo obiettivo in modo che possa essere pronto con le risposte corrette.

Una delle sue tecniche comuni comporta la costruzione di un senso di fiducia da parte della sua vittima. Come fa un uomo con fare ti fidi di lui? Fidati di me, che può.

Permettetemi di cercare di illustrare come questa fiducia truffa guadagni utilizza quindi per sfruttare la vittima. Esso si articola in sei fasi e vedrete gli stessi sei fasi in ognuna di queste truffe di virus:

1. Stabilire la credibilità: La truffa inizia sempre dal chiamante la pretesa di rappresentare Microsoft. Sono i "Windows Support Department" o la "Official Partner" o talvolta semplicemente Microsoft se stessi. Il truffatore sostiene inoltre che si dispone di un computer Windows e il più delle volte, questo sarà corretto. Sono anche chiamando la vittima sul proprio numero di casa in un'ora in cui sono di solito di relax - sono nella loro zona confortevole e non come allarme o come sospetto in quanto sarebbe normalmente.
2. Creare un senso di urgenza: Il truffatore passa poi a fare in modo che la vittima si siede e presta attenzione, creando un senso di urgenza. Di solito questo è sulla falsariga di "Abbiamo appena stato informato che il PC ha un virus" o "Abbiamo ricevuto una segnalazione di attività sospette". Questo, ovviamente, ha bisogno di attenzione immediata e dato il truffatore ha già stabilito la credibilità, non c'è ragione per non crederci.
3. Instillare la paura: Questa fase è necessario in quanto il timore è quello che il truffatore in seguito capitalizzare. Faranno parlare di tutte le cose brutte i file di virus o malware farà al computer ei vostri dati personali. E 'questa paura che farà sì che la vittima per iniziare gettando al vento la prudenza.
4. Dare la vittima posteriore un certo controllo: Urgenza e la paura per sé non sono sufficienti, però, a guidare davvero il punto a casa il truffatore aiuta la vittima a vedere i "virus" per se stessi. Questo è dove il truffatore dirige la vittima al visualizzatore di eventi in cui vengono spiegate le avvertenze perfettamente innocui ed errori come attività dannose.
5. Creazione di sollievo e gratitudine: Questa fase prevede due attività distinte: in primo luogo, il truffatore prende il controllo del PC. A rigor di termini, le mani della vittima per il controllo utilizzando LogMeIn ma ovviamente ormai sono stati veramente bene e condizionato e non hanno alcun motivo per non lasciare che il ragazzo che sta per salvarli trovi Poi il truffatore "risolve" i problemi che può significare qualsiasi cosa, da l'esecuzione di software libero come Care System Advanced da IObit o anche solo l'eliminazione dei file di sistema che essi affermano di essere virus.
6. Commercializzare la truffa: Ormai la vittima è stata convinta che sono stati "salvati" e sono felice di pagare il truffatore per i servizi resi. La quota sarà diverso, ma di solito si va da $ 150 a più 100 dollari che comprende "un sostegno continuo".

Quando si guarda la truffa in questa luce - come un esercizio di cura artigianale di ingegneria sociale - che la posizione di "stupido come avete bisogno di essere a cadere per questo" cambia rapidamente. Che cosa potrebbe anche aiutare a capire di più su questa truffa è sentito dalle persone che sono già stato punto da così mi permetta di condividere un paio di storie.

Nigel nel Regno Unito

Anche se ho il permesso di riprodurre questi messaggi, ho intenzione di cambiare i nomi delle persone. A parte che questi sono del tutto originali, conti legittimi del mondo reale da parte delle vittime della truffa.

Nel primo caso, perché è nel Regno Unito, che significa che è Nigel (che sarebbe Bruce se era un australiano!). Nigel mi ha scritto la settimana scorsa dopo aver ottenuto un po 'sospetto e trovare il mio blog:

Cordiali saluti, io non sono, (o almeno non ho pensato prima di oggi), il tipo di persona che sarebbe caduto per questo tipo di truffa. Tuttavia, come ho detto nel mio post, hanno ottenuto solo perché ho appena riscontrato un errore della banda larga e sono stato in attesa di una risposta dal mio ISP, (British Telecom).
Il telefono squillò una quindicina di minuti dopo aver messo giù il telefono dal centro BT chiamata, (in India). Un uomo ha detto che stava suonando il mio "problema del computer", che ho scambiato per il call-back da BT.
Perché ho lasciato ottenere l'accesso remoto? Beh, la parte intelligente di questa truffa è che si punta a log di Windows che hanno allarmanti simboli che cercano insieme la voce di registro, che sono tutti ragionevolmente benigna. Hanno poi hype-up questa "minaccia" con un po 'di suono piuttosto impressionante, (per noi utilizzatori non professionali di PC), le minacce e poi trovi
Una volta dentro, devono depositare alcuni file fasulli sulla vostra macchina, come i file di log / mi hanno mostrato, sono introvabili adesso.
La cosa che mi rende ancora più pazzo, (a me), è che ero costantemente confutare i tori ** t. Per esempio, ho chiesto perché tutte le voci nel registro mi stavano mostrando, (per dimostrare che era stato violato ... e suppongo che era), aveva la stessa data e ora.Ha solo detto "Oh, è perché non aveva scaricato il log degli errori fino ad oggi ed è per questo". Non sono riuscito a fargli la domanda dollaro $ 64K tuttavia, "Chi ti ha detto di chiamare me"?
Ho anche chiesto: "Perché sto pagando di eliminare questi file? Posso solo spegnere la mia macchina ed eseguire il software di protezione antivirus e rilevatore di malware ". Poi, (ancora una volta), ha dato alcuni motivi piuttosto impressionante che suonano, (almeno per me), perché questo non avrebbe funzionato.
Voleva pagare tramite Western Union ma ho detto che non era contento di questo e voleva usare Paypal, cosa che ho fatto. Ho contattato Paypal ma hanno semplicemente gettato la sicurezza "porte" sul mio conto, ma ha promesso di non fare nulla circa i truffatori come avevo permesso loro di accedere alla mia macchina, di mia spontanea volontà. Il che è abbastanza giusto suppongo.
Ho fatto vedere quello che stava facendo sul mio PC da remoto e nulla sembrava particolarmente dannoso, anche se ora sono in uno stato di panico che ha ottenuto abbastanza informazioni dalla mia macchina di avviare una qualche forma di furto d'identità.
La "fine" è venuto quando ho visto lo disinstallare AVG, (che ho reinstallato BTW), e installare la copia gratuita di Malwarebytes. Questo era qualcosa che potevo fare, (ovviamente), così gli ho chiesto perché questo pezzo standard di software è stato utilizzato, per questo inamovibile "clean-up"? Ha dato qualche ragione, fatto le sue scuse e ha detto che sarebbe andato e che avrei dovuto lasciare Malwarebytes in esecuzione fino al completamento. Poi scomparve.
Ora ho cambiato tutte le password su tutti i miei conti on-line, da bacheche alla mia banca. Sto ancora discutendo se non contatto con la mia carta di credito. Anche se tutte le password sono stati modificati, sono timorosi che avrebbero potuto in qualche modo riuscita ad impossessarsi della mia carta di credito, data di scadenza e le cifre di sicurezza dalla mia macchina. Ho anche contattato British Telecom per dire loro quello che è successo. Sono molto sospetto che minuti dopo la chiamata dal un call center indiano, ricevo una chiamata ... non richiesto da un altro call center indiano. Almeno BT viene messa a conoscenza, ma, naturalmente, tutto questo sarà speculativo e poco dimostrabile.
Infine, il tuo blog mi ha fornito alcune risposte e una grande quantità di comfort freddo, quindi grazie per questo. Intendo ora avvertire quante più persone è possibile che io, come la mia penitenza tecnico per essere stato così stupido da cadere per una truffa come questa.

La cosa che vuole veramente la gente a portare via da questo è che Nigel è chiaramente articolato e che, in altre circostanze, di norma maggiore cautela. Si noti anche come il truffatore è persistente di fronte a una sfida, sempre pronto con una risposta alle preoccupazioni tipiche di una vittima aumentare.

Naturalmente l'altro comportamento preoccupante è la rimozione del software di sicurezza legittimo, come AVG. Una volta che il truffatore fa seguito installando la versione gratuita diMalwarebytes (anche legittime, ma allo stesso modo, probabilmente inutile), che hanno "salvato" la vittima e hanno eseguito un servizio che può sfruttare.

Ma c'è un lato positivo a questo ed illustra quanto sia preziosa la campagna di sensibilizzazione è:

Qualche buona notizia. Paypal è venuto attraverso e si fermò il pagamento ai truffatori!
Lo so per certo, in quanto ho ricevuto una chiamata pochi minuti fa, (0915 UK), dai truffatori che si lamentano che il pagamento era stato fermato.
Questo mi ha dato l'opportunità di sfogare la mia milza. Devo dire che erano ancora molto persuasivo, "ho intenzione di perdere il mio lavoro" e "Tu sei il trucco, non pagare per i servizi resi", ecc, tuttavia, Once Bitten Twice Shy e questa volta, non solo Ho alcune domande pertinenti della mia, ma mi ha anche dato la possibilità di comunicare loro che avevo cambiato tutte le mie password, dati bancari, ecc Ho anche registrato con Experian (una società di controllo del credito) che hanno un cane da guardia furto d'identità e regime di assicurazione. Si tratta di 7 £ al mese, ma quale pace prezzo della mente?
Ancora una volta, devo ringraziare te e il tuo blog. Il video della vostra interazione con i truffatori mi tolse il respiro, tale era l'identico "modus operandi" con il mio caso. E 'stato il tuo blog che mi ha galvanizzato in azione, di contattare Paypal. Sono stato, (fino a quel momento), ancora il dithering per vedere se queste persone erano legittimo o meno.

Grandi notizie per Nigel, ma mostra anche il fiele del truffatore, anche dopo che sono stati presi alla sprovvista, hanno la pelle di richiamarlo per cercare di recuperare la "loro" soldi.Incredibile!

Ora, a quanto pare, Nigel da allora ha avuto la sua carta di credito utilizzata per l'acquisto di Skype fraudolenta, subito dopo la truffa è stato tirato fuori. Questo non era account Skype di Nigel e la sua banca in realtà sollevato la questione con lui come parte del loro processo di rilevamento delle frodi. Purtroppo Nigel aveva memorizzato i suoi dati della carta di credito - con un certo numero di password - in un file in chiaro sul suo desktop. Naturalmente la preoccupazione più grande che si pone è che non solo sono i truffatori che rubano denaro per i "servizi resi", che stanno rubando anche i file personali. Il danno che si potrebbe fare con il tipo di informazioni che la maggior parte di noi ha in formato digitale da qualche parte è limitata solo dalla fantasia.

Questo è molto importante e va ben oltre il (relativamente) piccolo inconveniente di perdere solo qualche centinaio di dollari, i truffatori si utilizza l'accesso guadagnano per rubare informazioni personali dalle loro vittime .

Nancy il pensionato

Questo caso è probabilmente più demografica si potrebbe immaginare come normalmente soccombere alla frode informatica, ma Nancy non è l'utente medio di computer di anziani.Continua a leggere:

Il mio nome è Nancy, ho 71 anni e un autodidatta utente di computer. Ti ho mandato un messaggio su facebook e improvvisamente questa e-mail è venuto sul mio schermo, quindi eccomi di nuovo qui.
Dopo aver visto il programma e vedervi davanti al computer mi sono reso conto che questa folla e mi ha truffato un paio di giorni fa. Erano davvero buono convincermi che ho avuto un problema e che potrebbe risolvere il problema. Tutte le informazioni che mi hanno dato sembrava molto legittima così stupido mi è andato per questo. Anche ripresero la loro offerta di un servizio di durata di finestre con uno sconto del pensionato.Costo $ 230. Mi hanno dato un numero di Adelaide -
08 72001191 per chiamare se ho avuto problemi.
Dal momento che vederti in TV che ho cancellato la mia carta di credito dicendo la banca della truffa. Non so se in tempo per fermare il pagamento.
Dopo aver sentito che sono molto spaventato e non sono sicuro di cosa fare dopo. Devo andare alla polizia? Affari dei consumatori? Trova un tecnico di computer? Si può fare qualcosa per fermare l'accesso futuro?
Potete per favore darmi qualche consiglio? Molto felice di pagare la tassa se ​​si può aiutare. Sono situato in un sobborgo di Newcastle. Il mio numero di telefono è [redatto] .O rispondere via e-mail.
Tutto ciò che si può fare per aiutare me sarebbe veramente apprezzato.

Ho dato Nancy una chiamata ieri e abbiamo parlato per circa 40 minuti. Aveva in realtà solo presentato una segnalazione errori a Microsoft (sapete quelli - un'applicazione si blocca quindi chiede se si desidera inviare resi anonimi i dati a MS), così lei naturalmente ha tratto la conclusione che i due eventi sono stati collegati.

Durante la truffa l'attaccante ha fatto di tutto per ripulire il PC di virus - hanno anche eseguito "defragler", come ha fatto riferimento ad essa. Poi, dopo aver pagato per il servizio e salvato le ricevute della carta di credito a livello locale, li hanno cancellati. Poi le ordinò di lasciare il suo PC mentre continuavano "fissare" e di non preoccuparsi, l'avevano arrestato quando ebbero finito. Non hanno mai l'ho chiuso in modo Nancy chiamato il numero che mi hai mandato e li lasciò un messaggio in segreteria. Questo è il modo in cui ha risposto:

con il dovuto rispetto, ci scusiamo con voi per il inconvinience dal us.Actually il vostro portatile non è stato chiuso, perché, i nostri ingegneri sono stati ancora lavorando it.but non preoccuparti signore, il vostro servizio è stato completato.
E per quanto riguarda le ricevute di pagamento, il entrate ha rimosso automaticamente mentre i file spazzatura sono stati la rimozione, ma non ti preoccupare,
ci sarà presto sen te le copie delle ricevute.

Bastards. Questo è stato inviato da customercare.sol1 @ gmail.com . L'indicizzazione di Google, fatevi avanti! Il fatto è che Nancy è abbastanza abili a usare il PC e nella nostra discussione spesso dimostrato una buona consapevolezza di molti concetti che sarebbe estraneo alla maggior parte del pubblico metà dei suoi anni. Nancy semplicemente ceduto a una truffa intelligente di ingegneria sociale, ed è ora in procinto di tentare di recuperare il denaro e proteggere il suo PC.

La miglior difesa è la consapevolezza

Questo è in realtà un po 'scoraggiante, ma ad oggi, nessuno è stato effettivamente in grado di fare qualcosa di concreto per fermare i bastardi che eseguono queste truffe. E intendo proprio bastardi plurale così, questo non è solo una organizzazione.

Ho provato a contattare il gateway di pagamento che ho visto usato - nessuna risposta. Ho avuto una serie di colloqui con LogMeIn sia via email e per telefono (il loro software è quello che ho sempre visto usare per controllare in remoto il PC), ma chiaramente sono troppo preoccupati per l'impatto sui clienti legittimi di inserire un avvertimento sul loro sito. Ho avuto discussioni con AusCERT e (indirettamente) con la polizia federale australiana, ma perché le truffe sono originari all'estero, è al di fuori della loro giurisdizione (si spera l'ultimo che ho registrato sarà un'eccezione perseguibile).

Ma una cosa che ha effettivamente funzionato molto, molto bene ultimamente è YouTube.Ora ho quattro video lassù e la più lunga - truffa i truffatori - catturare i truffatori call center virus in flagrante - ha ora 130.000 visite (si tratta di un video di 1 ora e 22min per l'amor del cielo!). Hanno anche notevolmente aumentato nelle ultime settimane (si tratta di visite al giorno):

I commenti di questi video stanno dicendo e tendono a suddividere in tre diverse categorie:

1. Abuso razziale: Sì, i chiamanti sono di solito indiano e purtroppo molti YouTubers prendo come un motivo per andare in città sulla cultura nel suo insieme (nota a sé - non guardare ai commenti di YouTube per la maturità e la comprensione!)
2. Divertimento in disgrazia scammer: ho questo - vedere qualcuno che si attacchi un truffatore poi vederli provare a vite senza fine la via d'uscita è divertente (chiaramente penso di sì!)
3. Rapporti di essere truffati: Un sacco di persone a trovare i miei video e blog dopo essere stati loro stessi truffati. Spesso è solo dopo aver visto questo materiale che ci si possa capire che sono stati avuto.

In tutto, i quattro video su YouTube scammer hanno circa 170.000 visite più i post del blog sono in esecuzione a circa 70.000 visite in modo che il problema è sempre un sacco di occhi su di esso. La cosa grandiosa di questo è che non è niente di più di parola digitale di bocca e, probabilmente, un po 'di natura virale di YouTube.

Inoltre, naturalmente, c'è l'episodio di stasera Oggi ho parlato in modo tutto sommato mi piacerebbe pensare che siamo da qualche parte nei milioni di persone che sono state esposte a questa truffa. Ma è chiaro che questo non basta in quanto rort continua e la gente dietro tenerlo snaring nuove vittime. Più consapevolezza è necessaria ...

Si prega di condividere generosamente

Condividi questo post. Condividi post precedenti. Condividere i video. Non importa se è il mio contenuto o di qualcun altro, basta ottenere la parola fuori là. Speriamo che le informazioni in precedenza sul social engineering e le storie delle vittime contribuito a dimostrare che non c'è bisogno di essere stupido per innamorarsi di questa truffa né è necessario avere alcuna idea su PC, basta essere vulnerabile ad intelligente ingegneria sociale - e questo è tutto di noi.

Molti di voi leggendo questo sarà già a conoscenza della truffa o sarà più tecnicamente inclinato e meno probabilità di cadere per esso, ma si sa le persone che hanno maggiori probabilità di essere vittime. Meno persone esperte di computer o semplicemente persone che hanno più probabilità di prendere una posizione di fiducia nel loro prossimo. Queste sono le persone che hanno bisogno di aiutare ad educare soprattutto per se stessi, ma in secondo luogo, se sei un tecnico, sai chi andranno a rivolgersi nel caso di non ottenere truffati!

Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla

Perché XSS è una cosa seria (e perché Tesco deve prestare attenzione)

E 'stato tre settimane fa, ora che ho scritto nel sito Lezioni di sicurezza anti-patterns da Tesco dove ho fatto notare tutta una serie di pratiche di base, difettose che messo a rischio la sicurezza e la privacy dei clienti. Queste pratiche in sé e per sé erano (sono) male, ma quello che sembrava davvero di sparare un sacco di gente è stata la risposta di Tesco quando l'ho fermato con loro:

1883 retweet più tardi, numerosi articoli dei media e un coro di professionisti del software e della sicurezza denunciando l'approccio Tesco alla sicurezza (e il servizio clienti, in questo caso) tra cui uno dei cervelli di sicurezza più autorevoli del settore relativi alla loro sicurezza password come "schifo" , e nulla è cambiato. Una delle cose che non è cambiata è la loro affermazione costante che non c'è niente da vedere qui - problemi di sicurezza, si muovono lungo ora "

Questo era proprio la settimana scorsa e ben dopo la teoria "robusto" era stato veramente bene e respinto da un gran numero di persone che effettivamente sanno cosa solida sicurezza sembra (o almeno sapere che cosa non sembrare). Naturalmente questa stessa risposta in scatola è stato utilizzato molte, molte volte le persone che sollevano preoccupazioni legittime, quindi sono sicuro che sia nulla contro Craig in particolare.

Ma Tesco avere problemi di sicurezza che vanno al di là di quanto ho scritto, ben al di là. A quel tempo, ho ipotizzato che questo era ricorda il Billabong situazione in cui ci sono stati numerosi cattive pratiche di sicurezza facilmente osservabili in aggiunta a quelli che hanno permesso a un utente malintenzionato di rubare 21.000 dettagli dell'account. Quindi non fu una sorpresa quando la gente ha iniziato commentando le altre vulnerabilità come SQL injection (non verificato) o personalmente mi si invia dettagli di rischi quali cross site scripting (verificato). E 'stata anche una sorpresa di sentire che molte persone aveva sollevato problemi di sicurezza con Tesco nel corso degli anni, ma senza alcun risultato. Dopo tutto, che avevano "mai stato violato" (la citazione) e quindi le cose devono essere resistenti, giusto?

Vorrei arrivare al punto di questo post, ho avuto qualcuno da Tesco in contatto con me in privato dopo di che ho chiesto per alcuni contatti tecnici che potrebbero trasferire informazioni. Non ho intenzione di divulgare pubblicamente i nomi o posizioni pubblicamente, ma quello che posso dire è che mi hanno dato i dettagli di più persone in ruoli di alto livello di tecnologia, dopo che ho poi trasferiti (anonimi) dettagli del cross site scripting (XSS ) il rischio che è stato inviato a me. E 'stato due settimane e mezzo fa, quindi quasi una settimana più tardi, dopo aver ricevuto nessuna risposta, ho seguito sul messaggio originale.Niente. Nada. Zip. E la vulnerabilità è ancora lì.

Quello che c'è da sapere sul XSS

A questo punto voglio smettere di parlare di Tesco in modo specifico e cambiare questa situazione a un posto più costruttivo, le cose che dovete sapere su XSS. Ho intenzione di avvicinarsi a questo un po 'diverso e di fornire un video in quanto richiede un po' di ingegneria sociale che è meglio illustrato in tempo reale. Un certo numero di rischi che vedete in questo video sono presenti sul sito web di Tesco, ma allo stesso modo, alcuni di loro non lo sono. Chiaramente non ho intenzione di rivelare qualsiasi dettaglio che permetterà a qualcuno di andare fuori e coinvolti in attività pericolose, ma quello che sto andando a fare è mostrare come XSS possono essere utilizzati per provocare gravi problemi ed è quello che mi auguro Tesco (e altri) può iniziare ad apprezzare.

Proprio sul browser compatibilmente per quella XSS: IE9 e IE10 sono in realtà abbastanza buono e vi mettono in guardia senza exexuting esso. Tutti gli altri browser testati - Chrome, Firefox e Safari (desktop e iOS) - sarà lieto di analizzarlo e consentire l'exploit che si verifichi.

Riassunto

Come ho detto prima, non tutti i rischi che ho evidenziato nel video possono essere presenti sul sito web di Tesco e ho volutamente evitato riproducendo le circostanze specifiche in cui sono vulnerabili. Alcuni potrebbero sostenere che un tempo sufficiente è passato da quando la divulgazione responsabile di pubblicare i dettagli, ma io non credo che sia necessario a prescindere da come frivolo Tesco ritengono che il rischio è. Ma certamente ci sono abbastanza di questi rischi di essere molto interessato, però, decisamente più preoccupato di lasciarlo slegato per giorni per non parlare di settimane.

È interessante notare, sembra che l'approccio piuttosto unico di Tesco per la sicurezza è ora sotto esame proveniente dal l'Ufficio Informazioni commissari nel Regno Unito . Mentre una dichiarazione del tipo "Siamo a conoscenza di questo problema e sarà l'avvio di indagini" è ben lungi dall'essere un atto d'accusa schiacciante, sarà interessante vedere come questo si svolge e se la società potrebbe in realtà essere chiamato questi "schifosi" pratiche.

Per concludere la discussione generale XSS, ci sono davvero due cose fondamentali che assolutamente, positivamente devono accadere, ma spesso non lo fanno:

1. Tutti gli input devono essere convalidati contro una whitelist di intervalli di valori accettabili. In realtà questo è così importante appare in grandi, grassetto sul mio post su OWASP Top 10 per gli sviluppatori NET parte 2:. Cross-Site Scripting (XSS)
2. All uscita deve essere codificato per il contesto in cui viene emessa. HTML, gli attributi HTML, CSS, JavaScript, XML, XML ecc attributi non ricevendo il giusto contesto o peggio ancora, non la codifica a tutti può essere disastroso.

Altre pratiche di sicurezza lassiste può essere combinato con XSS per rendere il sito più facilmente sfruttabili cookie che non sono contrassegnati come solo il protocollo HTTP, per esempio. Inoltre, naturalmente, c'è una buona tecnologia vecchia sociale per contribuire a valorizzare XSS riflesse.

Poi c'è il fatto che in termini di vulnerabilità web app, XSS diventa molto, molto disordinato.Come? Beh, per cominciare con browser differenti dell'attrezzo diversi livelli di difesa. Per esempio IE10 protegge contro alcuni di questi esempi precedenti in cui ultima generazione Chrome e Firefox non lo fanno. Poi c'è il fatto che la XSS è solo approssimativamente alla giusta semanticamente HTML, browser spesso consentono markup da analizzare che non dovrebbe essere, per esempio IE6 sarà lieto di analizzare un tag come <IMG SRC = 'vbscript: MsgBox ("XSS") '> che contiene VB Script. Il Cheat Sheet XSS vi darà un senso di come le cose possono diventare oscuro.

Come sempre, siamo tornati alla sicurezza a strati. Un difetto particolare potrebbero non essere troppo grave, ma in combinazione con altri rischi, le cose possono diventare molto brutto molto rapidamente. XSS attenuanti per la stragrande maggioranza dei siti web è semplice - voglio dire molto semplice, almeno per le cose come whitelist e la codifica di output. Il sito utilizzato nel video qui sopra è stato fatto facilmente insicuro come è facilmente reso sicuro e si scarica il tutto da GitHub (compresi i commenti su come fissarlo) dalle risorse di seguito.

Risorse

1. La base di codice per il sito "robusta" utilizzato nel video è pubblicamente accessibile su su GitHub sotto ShopWithRobustSecurity
2. Si può ancora vedere in azione a ShopWithRobustSecurity.apphb.com
3. Il sito che è stato poi utilizzato per i cookie raccolto e credenziali anche su GitHub sotto EvilShopliftingSite
4. Relazione WhiteHat Security riferimento al XSS essere il rischio più prevalente
5. Dettagli su verme XSS MySpace Samy sono sul sito SecurityFocus

Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla

Chiamata a freddo truffati ancora una volta - ma questa volta, è il locale

E 'successo di nuovo. Dopo 6:00, numero riservato, accento straniero. Ho sentito questo prima . E ancora prima . Ed ancora prima che troppo . E ancora un sacco di altre volte in cui ho o non l'ho registrare, è venuto su un po 'forte o, uh, ha cercato di insegnare loro alcune parole nuove che non hanno sentito parlare prima.

Ho anche intervistato l'uomo dietro una delle truffe originali (che è senza dubbio stato copiato da altri truffatori) e chiesto LogMeIn per arginare la diffusione della truffa (anche avuto una chiacchierata molto piacevole con loro - ma senza alcun risultato). In breve, ho dato qualche pensiero prima di questo.

Ma c'era qualcosa di molto, molto diverso su invito di questa sera, i truffatori sono (presumibilmente) solo pochi k è lontano da me. Hanno anche lasciato un numero di telefono di Sydney (che verifica alla fine del video) e sapevano il mio cognome quando hanno chiamato. Oh - e un altro tratto singolare - hanno educato. Anche di fronte, Austin (sì, come la spia che ci provava ) mantenuto raffreddare in modo prepotente per lei, signor Powers.

Ecco cosa è successo:

Un paio di note:

1. Mi scuso con gli spettatori olandesi per macellare la loro lingua. Ho fatto davvero passare un paio di anni che vivono in Olanda, ma 20 anni e gli olandesi è, beh, arrugginito.
2. La macchina virtuale ho sparato è stato un anno speciale che teneva a portata di mano per la prossima volta hanno chiamato. L'ho configurato in olandese per vedere come ha gestito quando hanno ottenuto il controllo remoto.
3. Camtasia non era reale felice quando ho esaurito lo spazio su disco e anche se in parterecuperato, ha accelerato l'audio tempo di triple (che ho risolto) e ha perso il video dal 16 e poi un po 'minuto segnato (che non ho potuto risolvere).
4. Nel caso in cui non si guarda fino alla fine, ho chiamato il numero locale che era rimasto con me e ottenuto attraverso una receptionist. Speriamo che questo sarà sufficiente per perseguire ulteriormente.
5. Mi hanno anche dato un indirizzo locale e come ho detto prima, è molto vicino a me in effetti. Potrei aver bisogno di prendere un PC per un po 'di persona di sostegno.
6. Per il bene dei motori di ricerca, il numero di telefono è stato lasciato (02) 8005 4980.

Si apre ora nuove strade multiple di ricorso, ammesso, naturalmente, questi ragazzi sono davvero locale. Per cominciare, c'è il Do Not Call Registrati che sto quotata e (locale) le società che abusano questo faccia multe fino a 250.000 dollari. Se veramente sono locali, che otterranno un follow-up molto presto.

Sarò anche tornare al mio contatto a LogMeIn, che era fantastico di parlare l'ultima volta, anche se purtroppo non è stato in grado di applicare concretamente qualcosa. Eppure, hanno bisogno di sapere questo è ancora un problema.

Poi ci sono le autorità locali. In passato ho avuto un dialogo positivo con la polizia federale australiana e anche loro erano chiaramente frustrato per l'incapacità di affrontare truffe provenienti da oltreoceano. Anche in questo caso, se questi ragazzi sono veramente locale, speriamo che troverete a ricevere un colpo alla porta presto.

Idealmente, avrei tenuto la sessione in corso (ho finito per scollegare la rete sulla macchina virtuale) e catturato in flagrante di "fissare" la macchina. Eppure, ci sono prove più che sufficienti in là di attività fuorvianti, ingannevoli e fraudolente che ammesso che siano locali, si può intervenire. Restate sintonizzati.

Aggiornamento, 9 agosto: Dato Austin "Guida per Windows" aveva gentilmente mi ha dato un indirizzo locale a pochi km da casa (circa il 40 per minuto nel video), ho pensato di andare e dire G'day. L'indirizzo è 106/283 Alfred St a North Sydney e sembra proprio come questo:

All'interno, la directory salta a destra sopra il numero 106:

Al piano superiore al primo piano non c'è segnaletica aziendale, come le altre unità nello stesso edificio (questo appare normalmente sopra il numero nello spazio vuoto):

La cassetta delle lettere sembra anche essere un po 'trascurato:

Ho anche in piedi davanti alla porta poco dopo le 09:00 e chiamato il numero che ha risposto ieri sera, ma senza alcun risultato (diretto alla casella vocale). Al momento in cui scriviamo (le 18.00 locali), che stanno rispondendo di nuovo quindi potrebbe essere solo un'operazione di notte. L'altra cosa importante è che non suona come se fosse il collegamento all'estero, suona come una normale chiamata locale.

Un po 'Googling in giro e sembra che il locale dove in precedenza occupato da Mobilion , consulenti telcoms che sono già da quando si trasferì accanto . E 'stato anche un tempo occupata da Champion riparazione computer Italia , ma sono anche oggi accanto . Poi il luogo era in su per affittare un paio di anni fa anche .

Poi c'è il numero di telefono - (02) 8005 4980 - e una rapida ricerca mostra i truffatori hanno utilizzato questo almeno dal ottobre dello scorso anno , anche sotto la "Guida per Windows" nome. Inoltre appare sul sito web Reverse Italia in modo così chiaro che hanno ottenuto abbastanza fuorigioco alle persone di ottenere molti commenti in siti diversi.

L'altro posto che il numero di telefono era apparso sul sito web per Hyper-Tech PC Solutions, un sito web costruito su freebie Weebly. Sembra che Hyper-Tech offerte "I professionisti di supporto computer Cura instancabilmente ed efficiente Riparazioni online per computer per desktop, laptop, Reti, Stampanti" - suona familiare? Per i tech-savvy lettori, date un'occhiata alla fonte della pagina di registrazione , in particolare linea 56 in poi :)

E adesso? Tutto dipende se sono veramente locale, ma certamente sembra che ci sia abbastanza informazioni per diverse autorità locali a prendere atto quindi mi pacchetto tutto questo e inviarlo nelle direzioni opportune imminente. Speriamo che questa volta vedremo un po 'di azione.

Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla

Benvenuti allo scheduler ASafaWeb

Ho iniziato a costruire ASafaWeb - l'analizzatore automatico di sicurezza per i siti web ASP.NET - circa un anno fa per cercare di automatizzare i processi che ho trovato ho continuato a fare manualmente, vale a dire il controllo della configurazione di sicurezza di ASP.NET applicazioni web. Vedete, il problema è che sono stato coinvolto nella costruzione di un sacco di applicazioni grandi, ma la gente spesso ottenere configurazioni di sicurezza poco male, la mancanza di un pagina personalizzata degli errori, analisi dello stack zampillante o richiesta di convalida è spento tra numerosi altri reati web app di sicurezza.

Il fatto è che tutte queste cose sono molto facilmente rilevabili a distanza senza alcun accesso al codice sorgente, è solo bisogno di fare alcune richieste HTTP e trarre alcune conclusioni in base alla struttura delle risposte. Volevo rendere morto facile per le persone a eseguire queste scansioni sui loro siti in modo ho costruito ASafaWeb , inserire una casella di testo grande grande in prima pagina per prendere un URL e disse: "Ecco qui". Questo è stato - ed è tuttora - ASafaWeb su richiesta:

Dal dicembre 2011, quando ho iniziato la registrazione de-identificati dati, ASafaWeb ha collezionato più di 27.000 su scansioni su richiesta. Quando ho analizzato la scansione risultaun paio di mesi fa, i due terzi dei siti web sono stati trovati ad avere gravi vulnerabilità di configurazione. Chiaramente ASafaWeb era trovare un sacco di problemi con i siti Web ASP.NET.

Ma una cosa che mi ha continuato a nag è che i siti web non sono statici, un sito web che passa una scansione oggi non garantisce che passerà domani. La facilità di configurazione in ASP.NET rimane, sia un punto di forza e di debolezza e ogni volta che abbiamo comunicato non c'è il rischio che un cambiamento nella configurazione ha introdotto una vulnerabilità. È per questo che oggi ho rilasciato la prossima fase di beta ASafaWeb al pubblico - scheduler:

Dovrebbe essere evidente con il suo nome, ma la mia intenzione con lo scheduler è non solo di assicurarsi che il sito è oggi "sicuro", ma che rimane in quel modo. Questo è il mio bisogno, e credo che sia il bisogno di molti altri.

I casi d'uso

Vorrei sottolineare alcuni casi in cui un programmatore ha senso. Uno che Mi capita spesso di vedere è quando gli sviluppatori sono le eccezioni non gestite risoluzione dei problemi sul sito. Un sito web ben configurato ha errori personalizzati acceso e un default redirect per mostrare una pagina di errore descrittivo quando le cose vanno male. Il problema è che questo non vi dice esattamente quale sia la causa principale è - che è esattamente il modo in cui dovrebbe essere. Messaggi di errore interno dovrebbero mai essere mostrato al pubblico. Così l'autore si spegne errori personalizzati, pubblica il web.config e identifica la causa principale. Poi si dimentica di accendere di nuovo su.

Che lo scheduler ASafaWeb si è assicura che se questo scenario si pone, si trova su di esso presto perché il sito è regolarmente in fase di test per le vulnerabilità di configurazione come questa. Naturalmente per lo sviluppatore, l'opzione migliore è quella di utilizzare ELMAH per registrare gli errori da qualche parte visibile solo a loro - fintanto che tenere al sicuro. E c'è il nostro caso d'uso successivo - è facile da configurare ELMAH errata (vedere quel link precedente) e, anche se si ritiene che il configurazione di sicurezza è buona, la guida può cambiare nel corso del tempo, così come il lavaggio-up dal mio post.

Un altro caso classico è l'uso di nuove vulnerabilità. La questione hash DoS da dicembre colto tutti di sorpresa, ma il giorno dopo la patch di Microsoft, ASafaWeb era in grado di rilevare a distanza la presenza della patch. Ora, con lo scheduler, quando qualcosa del genere accade prossimo (e ricordate, hash DoS non è stato il primo episodio del genere ) ASafaWeb sarà in grado di identificare la non-patched siti e avvertire coloro che hanno configurato un programma in brevissimo tempo.

Impostazione di un programma di

Quindi, come si fa a impostare un programma di ASafaWeb? Ho fatto il più semplice possibile con un minimo assoluto nudo di attrito. Tutto quello che dovete fare è lì solo perché non avrebbe funzionato senza di essa e voglio spiegare ognuno di questi passi adesso.

In primo luogo, è necessario registrarsi . In realtà ci sono alcune ragioni per questo tra cui il fatto che avete bisogno di un po 'di metodo di accesso al scansioni personali. È necessario lasciare un indirizzo e-mail in modo da poter essere contattati, se necessario, dopo l'esecuzione della scansione e, infine, il programma di pianificazione consente di eseguire un sacco di scansioni su base regolare e non ci deve essere una qualche forma di responsabilità per questo. Tale responsabilità è che avete bisogno di identificarsi (più su quello a breve).Passando, ecco cosa ti verrà richiesto al momento della registrazione:

Il fuso orario è probabilmente l'unico campo che non esporre immediatamente il suo scopo.Quando si pianifica una scansione, tutto viene riconvertito l'ora locale e l'unico modo ASafaWeb può fare è che ha bisogno di sapere che cosa "locale" significa per voi.

Dopo l'iscrizione è necessario per verificare il tuo indirizzo e-mail. Avete tutti visto in azione su altri siti prima - subito dopo registrati si ottiene una e-mail con un "clicca qui per verificare" link allora sei in Questo torna alla responsabilità di nuovo, vi è il rischio di abuso e la verifica delle e-mail in qualche modo a mitigare tale.

Una volta verificato, si può immediatamente il login e iniziare a creare le scansioni pianificate dal link "Schedule" nella barra di navigazione:

Non avrete alcun scansioni pianificate per cominciare così la prima cosa che si vede è un grande grande link "Crea". Ecco che cosa c'è dietro (l'ho già compilato per indicare scopo dei campi):

Lasciate che si esegue attraverso ciò che sta succedendo qui. In primo luogo, è necessario un URL, che è molto più evidente. Ciò che non è immediatamente evidente è che l'URL deve essere univoco per ogni utente, non si può effettivamente eseguire la stessa scansione ogni ora con la creazione di 24 programmi giornalieri per lo stesso URL.

A proposito di orari, è possibile pianificare le scansioni per funzionare sia ogni giorno o ogni settimana. Quando sono settimanale è possibile scegliere il giorno della settimana e in entrambi i casi si sceglie l'ora del giorno in cui si desidera che venga eseguito fino ad un intervallo di cinque minuti. Ciò consente di pianificare la scansione attorno a un ciclo di rilascio o di un incontro settimanale o semplicemente in modo che ti sta aspettando prima cosa ogni mattina.

Le notifiche sono ASafaWeb modo di comunicare i risultati della scansione a voi. Si può essere im Plicit o ex Plicit su come si desidera essere comunicato con. L'approccio esplicito deve essere notificata ogni volta il programma viene eseguito indipendentemente dal fatto che trova qualcosa o no. Significa che è possibile ottenere un feedback positivo sullo stato del vostro sito (s) senza chiedersi se la cosa funziona, semplicemente perché non ha trovato un problema. Naturalmente l'approccio inverso è solo una notifica quando qualcosa è andato storto. In realtà inizialmente questo è quello che ho pensato la maggior parte delle persone vorrebbe - dimmi solo dopo che l'ho rotto - ma il feedback del beta privata era che alcune persone vogliono la comunicazione in più, o per lo meno la possibilità di scegliere.

Se si decide di essere informato una volta che qualcosa va storto, è quindi necessario scegliere cosa deve andare male per essere notificato. Lasciate che vi faccia un esempio: dire che hai un sito DotNetNuke e si desidera impostare una pianificazione ASafaWeb. Ora, purtroppo, DotNetNuke fallirà sempre la scansione convalida della richiesta in modo da essere in grado di scegliere di ignorare questo è importante.

Una volta che la scansione impostato apparirà indietro sulla pagina programma insieme a tutti quelli successivi si aggiunge:

Ora si può sempre basta premere il pulsante "Scan Now", che richiama verso il ASafaWeb classico scansione su richiesta, ma anche aggiornare il record pianificato. Oppure, in alternativa, aspettare fino a quando il programma viene intorno e fa sì che venga eseguita la scansione in questo caso si otterrà una bella email con tutti i dettagli:

Una volta che l'esecuzione della scansione, lo stato nella pagina programma sarà aggiornato e in questo caso, la scansione non riesce:

È inoltre possibile sempre e solo mettere in pausa la scansione poi reattiva in un secondo momento (per esempio, si sa che ha problemi si sta risolvendo) o eliminare la cosa in modo permanente. Inoltre, naturalmente, puoi sempre tornare indietro e modificarlo.

Monitoraggio e privacy

Fino ad oggi, una cosa che ho sempre stato irremovibile circa con ASafaWeb non è in possesso di alcun dato assolutamente, positivamente non ha bisogno di tenere. Non c'è modo più sicuro di non averlo rivelato piuttosto che non avere in primo luogo!

I cambiamenti di programma, ma solo per un po '. Chiaramente ASafaWeb deve ora seguire l'URL da controllare nel programma e, ovviamente, per il raggiungimento degli stati nella schermata afferra sopra di esso ha bisogno di memorizzare questi contro tali URL. Per ovviare a questo, non ci sono dati storici memorizzati (è solo lo stato della scansione) più non c'è fedeltà memorizzate su ciò scansione non riuscita (stack ad esempio).

Nel corso del tempo, terrò d'occhio il feedback in merito alla legittimità di questo approccio rispetto al valore di contenere più dati. Già ho avuto feedback da parte della beta privata che la gente vorrebbe essere in grado di visualizzare i risultati storici (vale a dire come profilo di sicurezza di un sito è cambiato nel corso del tempo), e questa è una possibilità per il futuro (tra molte altre possibilità).

Avvertenze

Sono finora riuscita a evitare termini e condizioni e gli accordi inane che soddisfano nessuno al di fuori della professione di avvocato e sarò mantenendo in questo modo il più a lungo possibile. Ma ci sono alcune cose di essere a conoscenza e sono per lo più le cose di buon senso:

1. Le scansioni pianificate sono un "Best Effort" sforzo. In altre parole, ASafaWeb farà tutto il possibile per eseguire la scansione, al momento previsto, ma non ci sono garanzie. Ci potrebbe essere una coda massiccia di scansioni contemporaneamente, ci potrebbero essere interruzioni della rete, ci potrebbero essere interruzioni piattaforma.Detto questo, è dimostrato altamente affidabile nel mesi di test, quindi sono cautamente ottimista.
2. Non c'è ancora la prova della proprietà necessaria per eseguire una scansione su un sito web, è possibile letteralmente correre contro qualcosa. Tuttavia, vi è ora una funzione "lista nera", che è un peccato sottoprodotto di incidenti precedenti (sì, c'è stato più di uno) in cui un proprietario del sito ha richiesto ASafaWeb non eseguire la scansione del sito. E `una reazione eccessiva? Forse, sono innocui richieste HTTP in un mare di quelli maligni (a giudicare da alcune delle richieste che vedo), ma è meglio per giocare a questo al sicuro. In breve, si prega di pianificare le scansioni contro ivostri siti!
3. Mi tengo il tag "beta". A torto oa ragione, questo è un esempio che io ancora non considerano ASafaWeb essere "completo". Ora, naturalmente, implica che ci uno stato assoluto in cui non succede un ulteriore sviluppo che tutti conosciamo se non il caso (né deve essere), ma ci sono un paio di cose in cantiere che a mio avviso devono essere completate prima di considerare questo un approccio olistico offrendo. Tutto questo è quello che accadrà dopo ...

Che cosa succederà dopo?

ASafaWeb ha una tabella di marcia - orari è una delle fermate lungo il percorso, ma ci sono molti, molti di più a venire. La tabella di marcia si rompe in realtà giù in un paio di sfaccettature che si può pensare come funzioni su un asse (di cui la programmazione è uno) e analizza sull'altro asse.

Le caratteristiche hanno una tabella di marcia che prevede la ricerca di modi migliori per legare scansioni in punti chiave del ciclo di rilascio di un'applicazione oltre a rendere più facile per eseguire la scansione di più dei vostri siti. Terrò i dettagli un po 'tranquilla, per ora, ma questo è il senso generale.

Ci sono molte opzioni a sinistra per le scansioni troppo, in realtà ci sono una serie di attributi aggiuntivi configurazione di sicurezza che possono essere rilevati dai modelli esistenti di richiesta per non parlare di quelli che possono essere perseguiti facendo più richieste. Il trucco è che con le scansioni fatte richieste HTTP è costoso . Non in termini di dollari (almeno non direttamente), ma in termini di risorse di sistema legare con lunghi processi in esecuzione.

La tabella di marcia per entrambe le caratteristiche e le scansioni scorrerà sulle con contributi continui a ciascuno. In realtà parlare di continuo, il concetto di erogazione continua è molto caro al mio cuore e alcune di queste nuove funzionalità si legano in quella molto bene. Restate sintonizzati!

Go for it!

In modo che è tutto per ora - gli orari sono finalmente dal vivo! Mi piacerebbe il tuo feedback su questa funzione e, infatti, che è il modo migliore per assicurarsi che sia pertinente e utile a tutti. Come prima, anche al di fuori delle nuove funzionalità ASafaWeb continuerà ad evolversi, non una settimana è passato dal momento del lancio, che non ho scritto almeno un manciata miglioramenti che vanno da semplici modifiche CSS alla compatibilità cellulare per modifiche funzionali per la scansione comportamento. In modo da mantenere il feedback venire e mi aiuta a fare ASafaWeb una risorsa davvero preziosa per voi.

Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla