Showing posts with label spicon. Show all posts
Showing posts with label spicon. Show all posts

20061020

SPICON: Clearing Confusion

Link

In reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion on ha.ckers.org, regarding my earlier posts:

To clarify - I liveblogged many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sessions I attended at SPICON. I think RSnake's original post ("it’s a fairly embarrassing read") was mostly in reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" web hacking class. The advanced web hacking class was not advanced at all (IMO, anyhow), but I didn't ask people individually if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y learned anything new. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" hacking class was only one of two sessions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first (and optional) day of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sessions I attended had some value. Allen Paller's session was exceedingly interesting, and I failed to do it justice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog. Billy's information was probably helpful to some, but not new information for me - but he's quite passionate about what he's finding. When I spoke to Billy afterwards, he confirmed my original thoughts - AJAX doesn't make new vulnerabilities, it just exposes more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing ones. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 roundtable with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry was very valuable - although SPI just facilitated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion.

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I can't discuss - I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 roadmap and a beta of an upcoming product. The roadmap just showed SPI was moving in mostly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same direction as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, and has some really cool ideas for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products - I can't go into details. And I saw a demo of a product going into beta that looks very promising, but again, I can't go into detail.

All that said, I'm sorry I got myself into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of this - I'm a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellence RSnake applies to his work and writing - in my job I use a lot of his references. I admire SPICON for having excellent researchers, and I admire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir leadership in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were able to secure some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did. But if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference solidified anything for me, my job is secure (unless I stink at it) - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many real issues that are engineering flaws that a semantic analysis will never find - regardless of how early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool is applied.

RSnake caught me

Link

Well, I've been noticed. Er...at least RSnake made note of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first day "advanced" web hacking class (part 1, part 2). RSnake, I'm honored to have been discovered. You were exactly right - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was nothing really "advanced" about it at all. There were some beginners in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, but I think as a whole, nobody really learned much. But thanks for noticing and taking time to point ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs my way.

And so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reading public knows where I'm going with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog, I prolly will never find a new type of vulnerability. I don't get (much) research time at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job or at home. But if you follow along, I think you'll discover that I have some insights you might not have considered before. Try it for a month. I won't give you any money back.

20061019

SPICON: The Importance of Application Security

Live Q&A

  • Rhonda MacLean, former CSO of Bank of America and Founder of MacLean Risk Partners, LLC;
  • Caleb Sima, Co-founder & CTO, SPI Dynamics;
  • Guy Denton, Associate Partner, CISSP, CISM, ICEH, IBM Certified Professional, Ethical Hacking WW Compentency Leader/PCi/Wireless Security, IBM;
  • Mike Gailey, Managing Director, Global Security Solutions, CS Consulting;
  • Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w Morgan, Director of Product Marketng, Mercury;
  • Shirley Wyatt, CISSP, Strategic Security Advisor, Microsoft Corporation;
  • Closing Comments by Crian Cohen, President & CEO, SPI Dynamics
Maclean: App security became one of three priorities in security at Bank of America.

Morris: Q/A is moving more to application readiness, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just core functionality.

Wyatt: Role is to help customers to develop a secure environment.

Lowe:

Sima: Background in Pen-testing/consulting

Gailey:

How do you find app sec on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radar screen?
Morris: Mercury-con - 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers stated security as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir top priority over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 12 months. Customers want to bring security into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle and into QA in particular.
Wyatt: Talks to CSO - App security is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 5 disciplines to add emphasis on.
Lowe: Issue of awareness. Initiatives are derived from that. App Security isn't worse or better now, it's just that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's awareness.
Audience: Do you see security moving more into QA? Or is it just a security role?
Morris: He's starting to see that people are understanding it's an application problem.
Wyatt: Seeing Security Departments writing policy, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people to carry it out are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appdev department.
Gailey: Much more awareness - unfortunately, it's not a quick fix, so it's not central on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radar screen.
Sima: It only makes sense that testing is moving toward QA. But scanning will always be in IT, not in development. Ideally, web scanning is just to validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development and QA groups.
Lowe: Assurance and checks and balances need to be in place. QA Testing groups will never go away.
Morris: QA folks are generalists, not specialists, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're being asked to do really expert stuff - like security.
Wyatt: At Microsoft - a security advisor is assigned to every development task - from requirements and throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 life-cycle.
Maclean: Lifecycle. There's not a mature lifecycle for development in general. How do you apply security to that when it's a moving target.
Morris: It has to be dealt with, or it hits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WSJ.
Wyatt: MS has developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDL internally, working with customers in helping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. It's important to define a process so it can be followed.
Gailey: You have to push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se policies out early to be adopted. You have to work through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle hurdles.
Sima: in an SDLC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y try to do everything right and completely all at once. His recommendation is to do one thing - something small, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n build upon that. Implementing an entire SDLC at once is overwhelming. Take baby-steps.
Audience: What doesn't work - security as a function of audit - it's too late by that point. Management doesn't know where to place Information Security, however.
Morris: There are ways for security to add gates throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process.
Wyatt: A company that has defined a working plan, and it includes gates throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process.
Gailey: Do customers have to do what Microsoft did by shutting down for weeks?
Maclean: Training is needed. What are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs doing?
Lowe: A huge difference between in-house and off-shore development. There's a lot of desire to help internally, but not to outsourced because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high turnover. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're applying very strict process and tools to compensate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of training.
Morris: Training is a challenge - how do you give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence to a generalist. Tools have to abstract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge to help make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needed ideas accessible.
Maclean: Where are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges?
Audience: Push by management to rush to market
Audience: Org charts - different groups have different goals.
Audience: Who receives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate benefit and who's ultimately responsible?
Audience: Lack of understanding is slowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption process.
Gailey: What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impacts if you don't do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things.
Audience: Where are we in getting this done in design? Security is too late.
Morris: Lines of business finally identify that it "has to be secure" but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know what that means.
Wyatt: Promotes SDL because it defines where security is involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole lifecycle.
Maclean: So many problems are a change management issues - legacy systems being exposed more (web interface added to already insecure code).
Lowe: Using tools such as threat modeling to apply to legacy systems to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se early. We still have to take baby steps. One approach he's seen work is to implent a whole SDLC in pilot over a single LOB.
Morris: When new concepts become standards, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools become a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process.
Audience: How is a professional supposed to help QA, or what is QA supposed to use as a checklist to check for?
Morris: Successful company - using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are forced to follow a process. Security tools are integrated into that whole process.
Maclean: Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re specific compliance standards that are forcing this to happen?
Morris: HIPAA, SOX, have to prove that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're doing this, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to have sign-off that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're being done.
Wyatt: Anybody dealing with PCI is really being forced into this.
Maclean: PCI just got updated to enforce software assurance
Gailey: Privacy standards are starting to enforce things, too. Things work when security is seen as an engager, not an inhibitor.
Lowe: PCI is a strong driver, but it's not a core reason that security is implemented. PCI is just a checkbox, so people will go no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Business is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real driver for doing things right.
Wyatt: Metrics are helping to drive some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.
Maclean: We used to reward developers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of lines of code cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wrote. Are we measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong things all over again?
Audience: A lot of development is done outsourced. There's a dramatic increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of backdoors. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re an increase in risk because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backdoors added by outsourced?
Morris: 40% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers are outsourcing a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir development. Make sure security is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're contractually obligated. Then validation.
Lowe: This underscores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of having separation of duties. You can't outsource security.
Sima: A blatant back door is usually not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things are usually leftover development artifacts.
Maclean: There are lots of insider threats
Morris: If you're letting strangers build your apps, you're letting strangers build your business. this discipline can't be outsourced.
Maclean: Some organizations don't have what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business. Some organizations have to go outside to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security expertise. You need a really good liason, and good folks on your side to drive things.
Morris: He didn't mean don't outsource, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business still has to own everything.
Audience: Companies that know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're doing and bring in outsourcing, it's successful. If you truly partner, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not strangers.
Gailey: Background checks don't help much overseas.
Maclean: NASCOM has created a database of when people are let go in India - so when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues, we might not see it, but we can see it when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're let go. Offshore companies know that this is an inhibitor, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've come up with some creative ways to deal with this.
Audience: How do you assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of an offshore company prior to engaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? NASCOM is helping.
Maclean: You have to work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offshore companies to figure this out. There is a tiering of companies in India. Who are your companies sourcing to? Governance and oversight. Trust but verify.
Morris: There will be malpractice with software where exposed defects fall into a civil liability.
Wyatt: Microsoft is working to try to get SDL in part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curriculum.
Maclean: Innovation is going to be a big push coming soon
Audience: What steps short of malpractice canwe do?
Lowe: We have to make security a requirement. Make security a measure of how you're doing your job.
Maclean: We will start to see some financial ties to security requirements. Some legal drivers are going to push it. Too much opportunity for lawyers to make money for it not to.
Audience: Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-risk security components are being given over to security - is that a trend?
Morris: Having a security center of excellence is very helpful.
Wyatt: Having a security buddy is helping in
Audience: Who is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner of specific security components. Re-use of security components.
Lowe: Has done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security CoE model. Working in teams really improves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectivencess of security.

What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best practices to keep in mind?
Gailey: Get started. Don't try to do everything at once. Work on one department or one idea and show success.
Sima: Train developers. Don't try to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all about security - try to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about input validation and make a policy. (I say output filtering, too, but I digress). Input validation will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app 80% more secure. (If input validation solves all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things, why do we tell developers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have SQL Injection, XSS, buffer overflows, etc. instead of just telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have failed input validations.)
Lowe: Investing in your people is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important thing. When Microsoft shut down, it was to train people.
Wyatt: Start simple. Work on policy and process to make security a standard part of your business. Show cost benefit to management.
Morris: Evangelism is key - proving that security reduces risk and ultimately reduces cost.

Brian Cohen:
Thanks everybody.

20061018

SPICON: The Future of Cybercrime and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Changing Threat from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web

This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sessions I attended. Paller is super knowledgable at a technical level, and at a global level. I could've gone to ten of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.

Allan Paller, SANS

How cybercrime has changed

  • Moved from ameteur to full-time professional
  • From recreational "explorers" to financial
  • From hackers to killers
  • From individuals to organized groups
  • From financial criminals to terrorists and nation-states
A massive cyber crime wave - mostly because of demographic changes online (primarily Asia).

How do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y make money?
  • Exortion
  • Spam from zombies
  • Identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft for stealing bank balances or credit card fraud
  • Spyware
  • Web defacement
DoS Extortion
A huge source of extortion - threaten a gambling site with furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r DoS if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't pay up. Many are paying multiple extortionists.

How widespread is Cybercrime?
"Any organized crime group that isn't using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques should be sued for malpractice"

Extortion in Government
Amundsen-Scott South Pole Station. Romanian Pair. Extorted Money from NSF. Why worry?

Identity Theft: Viruses, Phishing
Why worry? Keyloggers Spyware. Botnets.

SANS Threat Map
Really useful.

What can attackers do with this?
About anything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want.
Normal users should not be admins. Some applications force it - QuickBooks, for example.

Financial use of zombies
  • Spam
  • Collect zombies
  • Zombies can be rented for really cheap DDoS/extortion attack and spamming
  • Zombies can be infected with spyware
  • Can be used to compromise VPN channels
Interesting Q - one guy is mostly scared about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home user - those are where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnets are. Paller says education simply doesn't work, so we have to work on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security - more secure OS's; red and green internet; reference to EDUCAUSE - but it's only motivational for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who see it, and only for a limited time.

Web Defacing
Changing "official information". Changed information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front page to not believe something else on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, which altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stock price.

US State Department Reports
Terrorists raise money for bombs using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same techniques. Imam Samudra - al Qaeda in Indonesia is a hacker who's using hacking to earn money for al Qaeda. Wrote a really good book on how to be a hacker.

US Government Computers Hacked
British Government first disclosed it - lots of information available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ukraine.

Where are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys going now?
Changing targets because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (bad guys) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no space. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers are working to innovate.
Attacks are now moving to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application space. There aren't any users left to get, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers are going after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications.

@RISK - Weekly vulnerabilities list
Application vulnerabilities outnumber Windows and Unix vulnerabilities 4 to 1

Where will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y go next?
Places cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can extort money if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can get in to unprotected resources. Appliances (printers, for example).

Strategies for dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new attacks
  • Tools
  • Secure Programming Skills
  • Contracts
Must-have tools
Webapp security testing
Vulnerability testers that stay up to day
IPS
Exfitreation monitors

Can your programmers code secure web applications?
SANS is working on an exam to determine if a company's developers are capable of writing secure code.

SPICON: Product Updates

Obviously, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's going to be some sensitive information in this demo, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not much I can share here. At a high level, it looks like in broad-strokes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going exactly where everybody else is - trying to merge all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing technologies across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDLC, but with some exciting improvements in WI 7 Beta.

SPICON: Eploiting Ajax Applications

Billy Hoffman - Lead Researcher - SPI Dynamics

Focus today on hacking Ajax. Lots of buzz on Web 2.0.

Traditional app:
Javascript verification on top of HTML that was produced by dynamic data, which was published from backend source. User activity goes back into load/reload cycle. User looks at a blank screen while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is waiting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server to perform calculations and render results. Map Quest, for example - whole screen has to refresh to make changes only to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 map.

Ajax (XmlHttpRequest) does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backend to re-render only necessary portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. Google maps is a perfect example. The trough of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server performing calculations still exists, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application is still responsive during that time. The requests are still taking place, but only hidden, rendered off screen.

XmlHttpRequest is full-featured - if you wanted, you could do WebDAV if you wanted. Orignation policy - can't do Ajax requests to a different host from whence it came.

Security Issues with Ajax:
Issues with architecture:

  • Information leakage
  • Direct Access to API
  • Increaed attack surface
  • Code complexity
Issues with Ajax implementations
  • Repudiation of HTTP Requests/XSS Amplification (server can't tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between user-initiated or XmlHttpRequest-initiated).
  • Ajax bridges/gateways/proxies
Q: Why can't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server tell where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request came from (auto or user initiated?)
A: We'll see later, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request has to include all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser knows.

Clearing some myths:
  • Ajax doesn't change security
  • SSL protects me
  • User supplied content is awesome
  • Thin clients more secure than thick
  • RAD is a good thing
Ajax actually amplifies info leakage, parameter attacks, XSRF, XSS, SQL Injection.
New attacks that didn't exist before client apps - HTTP request origin issues, business logic leakings, client trust issues, presentation layer attacks, client-side storage attacks.

SSL doesn't protect you - this all happens at layer 7. SSL can actually hurt you - so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers get to do all this stuff without being noticed by NIDS (unless NIDS has secret keys, or if you break SSL early).

User-supplied content is dangerous. MySpace, or from a bunch of RSS feeds - information you have no control over is being put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to publish on your own site. You take content from somebody you don't trust and present it in your own security context.

Thin-client vs. thick-client security. In thick client - if I bust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app, I bust my own. If I bust a webapp, it busts for everybody.

The entry level for writing webapps for old-school people is really low - but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frameworks don't do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security for us. (I knew Java already - so writing server-side Java is much easier).

RAD is not a good thing. Build a new webapp in 10 minutes. I can't perform security testing in that amount of time, let alone DESIGN it securely. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backend SOA components weren't secure to begin with (not necessarily a bad thing), now I expose that to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I've just exposed a vulnerability to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world.

In Ajax, we extend business logic down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. Now attackers are inside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application. Any web services you contact in your Ajax app, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can contact. The trust relationship doesn't matter anymore (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app layer assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server layer is cool because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're both in-house - now when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webapp does that, that trust is no longer legitimate).

Increased attack surface. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication that used to only take place between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web tier and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app tier now takes place between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user tier and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app tier. More functions exposed to user. Three types of input to filter: GET/POST form input (we're really bad at this), File formats (images, ZIP files), Exposed functions and web services.

How many web services does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework expose for you? How do you secure what you don't know.

Input validation:
Should be easy, but we don't do it.

An attacker only needs one mistake. Example of Atlas exposing three web vulns to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user,

Function exporting. Most Ajax frameworks export server-side user functions - even system calls.

Ajax apps are now written in at least two languages - making things more complex. Javascript is loosely typed and higly dynamic.

Stealing from client-side storage. Dojo storage, Cookies, IE's Persistence. FSO doesn't do javascript domain checking?

Presentation layer attacks - using absolute position to swap a from application and a to application.

Request Repudiation. Being able to deny you did something. The browser adds cookies for you, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server has no way of determining that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request was user-initiated. XSS viruses. Samy, Yamanner. Samy to Yamanner was 8 months. Criminals now are using this stuff.

When we allow you to upload HTML, it's really hard to determine what's safe vs. unsafe.

Ajax bridges/proxies/gateways. XmlHttpRequest can't call domains outside where it came from. Lots of services will do backend third-party requests. Code calls site 1 -> site 1 calls site 2. This type of aggregation is encouraged. Generally any commercial use requires a formal agreement. These bridges just pass on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same kind of garbage.
Vectors: database cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. My amazon key won't allow me to get all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books from Amazon. Billy's books uses Amazon, and his key has a higher permission level (more books, more concurrent requests, etc.) So I can use Billy's books to do my queries to speed up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requests. Attacking third parties through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge - send XSS or SQL Injections - ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Web attacks through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge. Third party notices that something bad is happening, but it's a way for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third party doesn't even notice?

Design checklist:
Should you Ajax enable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?
Retrofitting an old aplication - document current inputs. Ensure input validation on all existing inputs.
Design Ajax applications - minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program logic you need to expose. Implement validation on all function input. Use clear standards, not hacks (SOAP, JSON).

SPICON: Opening Session

Brian Cohen, President & CEO SPI Dynamics
The Latest Trends in Application Vulnerability Testing Across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lifecycle

  • Gartner - 75% of hacks happen at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer.
  • CERT - 11 of 13 top issues are app layer
  • Gartner - if we fixed half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems early, we'd fix 75% of our problems.
  • It's about fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer, and earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle.
  • Microsoft - 64% of developers aren't confident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to develop secure apps.
  • Hacking is about money.
When SPI started, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y started with WebInspect. Now, SPI is trying to penetrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole lifecycle - development, QA, Production.

First to:
  • Support entire development lifecycle
  • Introduce a scalable platform (AMP)
  • Introduce Hybrid Analysis
  • Introduce Intelligent Engines
Secure Software Forum - develop more interest in software security.
http://www.securesoftwareforum.com
Findings - everybody's interested in security, but nobody's done anything about it. Regulatory compliance is a driver for security.
PCI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one of most concern - section 6.5 has exact requirements for what needs to be checked in web applications.

To reduce false positive rates:
Intelligent Engines. Logically mimics cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 behavior a professional pen tester would perform (not much detail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re yet think that'll be covered in a later session.)
Gartner predicts that source code review and pen testing tools will merge. (note: it's already happening - see Wathcfire/Fortify).

DevInspect - SecureObjects automagically remediates software defects (in .NET).

Stop talking about vulnerabilities - talk about application defects (right on! MANY semantic vulnerabilites are a result of a semantic code defect - lack of output filtering, dynamic SQL, etc.)

Joseph Feiman, Vice President and Research Director, Gartner Inc.

Joseph used to have a really nice laser pointer, but it was taken at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport since it could be used as a weapon.

  • Firewalls, IDS, VPN's, SSL, and auth are not sufficient for application protection
  • Security is not a synonym of quality (QA is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only place to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work)
  • Security testing is not just assuring that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application is doing what it is supposed to do (we have to see what happens when we do counter-intuitive behaviors to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app)
  • Vulnerabilities don't only exist in production (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get introduced all through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifecycle)
  • SOA does not necessarily make software more secure (we could be re-using insecure code)
  • You cannot make chaos secure (you have to build processes that include security)
  • You cannot secure a system that that you don't understand. The key to legacy security is legacy understanding. (With SOA, we're a lot of times web-enabling existing really old insecure code - even without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code)
Key Issues:
  1. Hou should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDLC change to make more seucre?
  2. Which methodologies will improve security
  3. What tools?
Application security - system for protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application against unforseen actions (intentional or unintentional) that cause its cease of function or exploitation
It's a set of means for protecting application quality under attack
It should provide assurance throught detection, prevention, and correction.

There's a new miscommunication - where on and off-site people miscommunicate. This is in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing miscommunication between steps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization itself. (Example, a tester changes test scenarios to where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use cases - so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're testing for something that never existed).
Most CMM Level 5's are consultancies and off-shore development.

Vulnerabilities are introduced at all phases, including analysis and design, so security must be included at all phases.

Gartner Hype Cycle:
Technology Trigger
Peak of inflated Expectations
Trough of Disillusionment
Slope of Enlightenment
Plateau of Productivity (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 productivity is never as high as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peak of expectations).

Blackbox testing tools - whatever tools are available from whitehat vendors are also available to attackers, open source, highly-available, just not as user friendly. Since good and bad guys both have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools - get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys.

We lack security professionals IN cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development groups, so we need tools that integrate with what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers are using so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't have to learn anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tool.

Merging black-box and white-box testing to correllate discovered semantic vulnerabilites to actual vulnerabilities real-time in black box. (I tend to disagree to a point - even if it's not exploitable, if you're writing crummy code, it needs to be fixed. Just because my tool didn't find XSS doesn't mean you oughtn't perform output filtering. However, fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitable ones ought to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority.)

Gartner predicts that WASVS and SCSVS will start to combine features. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, Software Lifecycle (SLC) vendors will begin to integrate WASVS and SCSVS into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tools. By 2009, 40% of organziations will use a single vendor to provide both features. By 2009, 60% of IT organization swill make security vulnerability detection an integral part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SLC.

Business criteria for selecting WASVS:
  • Product/Services
  • Overall financial viability
  • Market understanding
  • Innovation
How much security is enough? Determining impact based on vulnerabilities and threats that would exploit those (including insider threats). Determine probabilithy.

Our biggest problem today is that developers live in denial - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't take responsibility for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir primary concern is functionality. There's a huge gap between developers and security specialists (hence my call for more security engineers - not just specialists).

Q/A:
Q: Will slides be available
A: Yes

Q: We see stats, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come from Gartner. Where do you get your stats?
A: Carnegie-Melon, and CMM

Q: Application firewalls
A: They do some menaingful jobs, but quite limitied. Not nearly as practical as software scanning.

Q: Why don't tools prevent us from writing insecure code?
A: Stopping doing naughty stuff is a methodology, not a function call. Integration between systems only furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r complicates things.

Q: SOA. Not necessarily individual compents are vulnerable, how do we test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interactivity?
A: Creating a service out of insecure components makes an insecure service. Short answer: Not sure how to do that well.


Q: Communications problem between what customer wants and Q/A approves are different. Is anything improving some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se miscommunications, or are we just adding layers to bad communication?
A: The communication problem is really serious. Outsourcing was due to simple macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matics. We don't save as much as we thought because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 miscommunication actually makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit ratio go down.

20061017

SPICON: Advanced Web Hacking (thoughts)

Matt really is knowledgable. Unfortunately, because of several factors, he wasn't really able to show that off. He's dealing with slides from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Advanced Web Hacking class, which is usually geared to non-customers, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material isn't that deep. He only had a short amount of time to cover (I believe) what's typically a 2-3 day class. He's presenting to sharp customers, not a huge group of managers. And with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited aMatt and I got to talk, and I think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real root cause of any deficiencies is because this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first customer conference, so it's a re-work of material used in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places. Since it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first customer conference, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've had a hard time working out exactly how to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new audience.

My apologies to Matt in advance for publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first page without him getting to review it. The last thing I want to do with this blog is to say anything false or unfair about any person in particular.

SPICON: Advanced Web Hacking (part 2)

Injection
Identifying output - looking for information that you send in that's going back out to you. (Finding injection in jump pages). Dynamic outputs, file parameters.
Identifying inputs - Referer, Cookies, Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication headers (rare) - used to pull user from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auth headers to get state info, User-agent.
Input Validation
Blacklisting not so good - you don't know all permutations of bad characters. Whitelisting is better, but blacklisting is inevitable. Addslashes and magic quotes (php backslash-itis).
.NET validators - built-in controls
Common input validation mistakes - whitelist regex errors, blacklist regex failures (and shortfalls), top mistake - performing it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client and not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server.

Script Injection
XSS is just a subest of HTML Injection, which is just a subset of Response Injection. Find it by any time you see what you put in coming right back out.
Three ways to inject - by tags, &script src="" /> tags, and injecting directly into existing tags. (He didn't mention injecting into existing script.)
DOM elements that are useful: window, location, document, form - reference to a really good PDF DOM Reference.

Validators
Validators are a fact of life. Assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have errors, and work around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m until you can find out what it will allow through. Validators will vary every time. A lot of time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for functional reasons, not security reasons.
Criteria:
1) Stripping, Escaping, or Rejecting?
2) What do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y identify? Phrases? Words? ("select", or "union" or "union select")
3) Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validator recognize encoded input?

Payloads
What can you do once you prove you can get through XSS.
- Write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir login page to go to your site
- tag with session token to your site
- XMLHttpRequest.

Types of attack:
Reflective attack - used for phishing
Persistent - stored for hitting lots of folks

XSS Vectors:
In SCRIPT tags
SCRIPT src
You can get script inside of JPEG (really early testing on that)

Great scenario (I love scenarios) of using persisted XSS to deploy a 0-day to

Remote Scripting / XSS Proxy
DOM trusts IFRAME as a child - use IFRAME to shovel your information off to your site. (He references this whitepaper from Apple).

Ajax
Stuff has been around forever, but it's starting to get unified enough to hang a name on it. Dangerous because it allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser to make background requests without user interaction.
Dangerous because it separates user interaction from actual action. The XMLHttpRequest is a full-featured HTTP client.
What can you do with it? Enumerate browsing history (CSS and DOM), Determine search terms, port scanning, XSRF (None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se really need XMLHttpRequest).

He went into a little bit of detail on XSRF, assuming XmlHttpRequest is somehow required for it. The best examples are change password.

Client-Side framing - including your site in a client frame.

SQL Injection
Very good opener - it's NOT a result of a lack of input validation - it's a result of parameter construction. It happens to be unmitigated by proper validation. These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most pervasive type of webapp vulnerabilities (Editors note: Which is precisely why it's imperative for developers to know how to do data access properly).

Verbose vs. Blind - verbose gives you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results directly. Blind requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "powers of deduction". Step 1 is USUALLY to try to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 db to return an error code directly.

Testing SQL Injection - quotes, bruted numerics.

Runtime error messages are your best friend here.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is identified, doesn't mean it's actually exploitable. Integers are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest to exploit (in his opinion) because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of quotes to have to mess with.

He spent a great deal of time going through very specific examples, most of which syntactically or operationally require M$ SQL Server.

He spent (understandably) a very long time going over SQL Injection, and had some really good examples of dealing with blind. Obviously, if you find blind, a tool is super helpful. (And he didn't inject a shameless product plug. Somebody else did, however).

Overall, a much more in-depth afternoon, but still nothing "advanced".

SPICON: Advanced Web Hacking (part 1)

Most of this is going to be old information, so I'll mostly go over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highlights. I'll fill in gaps in later posts.

Matt Fisher SPI Dynamics

Matt is going to start off with demonstrating for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security folks how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code looks. It's easy to teach security to a coder, but it's more difficult to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security folks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code, but that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differentiator.

He's going over

tags and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements that can go in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. He asked if anybody was aware that "hidden" tags are not so hidden, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values in checkboxes, radios, and selects could be manipulated - to gauge experience level - not news to anybody. Unfortunately, he just asked if he was going too slow, only one thought he was going too slow.

He keeps referring to messages as "packets" - so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP Request "packet" and HTTP Response "packet". That's going to annoy me.

He doesn't know much about .NET, and nothing about Java on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web side. All of his examples will be old-school ASP. I'll forgive him cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concepts still work precisely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

Difference between GET and POST.

Plain-text application protocols (like HTTP, SMTP, NNTP, blah, blah, blah)

Script files and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're included. (Interesting side note - at one point he said "script is dangerous" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n moved on. Kinda' like "malicous characters, I guess".

Side story of using WI to break into a site by finding a backup file, which happened to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication script, which had db connection strings, etc., etc.

Discusses, in particular, DSN information kept in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script code. If you're able to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code, you've got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 db (which 99% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time are too privileged for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app).

Morals of tha story
  • Configure safeguards so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server processes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files (.bak, .inc, .old, etc.)
  • Don't store those types of files in web-accessible folders (.htaccess)
  • Actually use a proper development lifecycle where those things are properly culled out prior to a push to production
Browsers deal with a lot of stuff on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own.

HTTP overview. Methods. WebDAV methods == BAD.

Directory browsing and how to turn it off (at least in IIS).

Fingerprinting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 webserver:
  • Header
  • Footers (!)
  • Extensions
Cookies and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attributes. HttpOnly is skipped (no surprise because only IE supports it, and a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP Request poop has been fixed.)

Matt spent a few minutes looking at HTTP Request/Response pairs to see what kind of interesting information can be gleaned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication
Client-side password hashing - easily improperly implemented - just hash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password vulnerable to replay attacks (proper hashing later).
HTTP aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticaiton v. Form-based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication.
Discussed salting vs. nonce, and how salting is used to avoid rainbow attacks, but didn't really mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salt is kept in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 db.
Matt did a good job of explaining a nonce-hashed password. Didn't mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server already has to have session state, though.

Session ID Security
Session to be used to save state, for authorization, for form auth, and for providing short-term memory.

Matt presented an interesting analogy of using your ID to get into a building, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y give you a guest badge - you're not showing your ID anymore, just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guest badge, which is a representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ID. (Not new information, but a good analogy for beginners.)

Defending against Session-ID analysis - he kept mentioning using GUID's - just use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system one! Didn't mention .NET's hard timeout on sessions (not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 click delay, but a hard duration).

Encryption Boundaries:
http://www.webappsec.org/rss/websecurity.rss


Unaucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated/Non-SSL
Anonymous pages
Go-to Login Page

Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated/SSL
Submit Credentials
App sets new session ID
Sensitive information exchange
Logoff

Audit Points
Make sure new session ID once user logs in.
Properly abandond session when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user logs off.

State
Keep track of who is who
Required for form-based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication
Access Control
Required for providing server-side memory

Stateful not necessarily == sensitive
Not only do you need to protect access to anything sensitive, but also to anything that gives access to that sensitive info (i.e., CC# on server side - you must protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session ID as well).

Next talked about sensitive information in GET vs. POST. GET, shows up in history, logs, logs, logs, logs.

Then lunch. Yum - AND I sat next to Jason Schmitt who does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Developer Security blog on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPI site. He didn't have any good excuses for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of new content in his blog.

SPICON: Advanced Web Hacking post forthcoming

The Advanced Web Hacking class is supposed to go until 5. I'll eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r break that into multiple posts and drop it at lunch and at closing, or I'll drop anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r couple of posts here so that you know I've not fallen asleep. So far, very, very rudimentary.

20061013

SPICON Next Week

Link

I'll be going to SPICON next week, and if things work out (read: wireless access, batteries a'plenty) I'll be liveblogging what I can. Be sure to watch here for updates.