Overblog
Suivre ce blog Administration + Créer mon blog
25 février 2011 5 25 /02 /février /2011 21:01

For those who feel concerned with website/webapp security, I'm gonna post here a few hints to :

- find the technology behind a website/portal (based on the fingerprinting idea, within the URL itself)

- check that the default admin URL is still accessible (leading to the questions: accessible for everyone? with default password?...)


This comes from my own experience, and also from the work of the guys owning the Nikto project (BTW: great job for the tool!).

 

Obviously, you may complete that with a real (HTTP?) headers check: very often the website will tell you its version and even what's running on it!

 

Here is the list, first version, and to my knowledge, there is not equivalent list on the web:


/backend_dev.php
/admin
/admin/login.php
/admin/phpinfo.php
/admin/system.php3
/administrator
/administration
/.admin
/stats
/server-status
/phpinfo
/phpinfo.php
/phpmyadmin/
/manager/list
/cfide/administrator
/wp-login.php
/?q=admin
/cgi-bin/printenv
/.htaccess
/bin/fpadmin.htm
/iisadmin
/_vti_bin/fpadmin.htm
/webadmin.nsf
/admin-serv/config/admpw
/servlet/AdminServlet
/lists/admin
/server
/siteminder/smadmin.html
/forum/admin/wwforum.mdb
/hostadmin/?page=
/sips/sipssys/users/a/admin/user
/simplebbs/users/users.php
/SiteServer/Admin/knowledge/persmbr/vs.asp
/IDSWebApp/IDSjsp/Login.jsp
/signon

/wp-admin
/login_form
/phpmyldap

/misc/drupal.js



And to finish with, I have been told that a well know french website hoster uses this port for the admin interface: 10000...
(so the URL to test could be something like subdomain.domain.tld:10000 ....)

 

I'll do my best to update that bill (update 1, done).

 

Please note that I can't be held responsible if you use that piece of information without having the right to assess security level (I mean auditing a system/app).

 

 

Partager cet article
Repost0
12 février 2011 6 12 /02 /février /2011 05:58

Once again, Chrome jumped to a new version. It is now at 9.0.597.84.

 

But what I find interesting to point out is that:

- the new version detection is silently done, without any user agreement nor notice

- the download of the new version is also being silently and automatically done 

In short, the next time you restart Chrome, the new version is there. And whereas Chrome is a quite recent browser, it has already had 9 versions... (remember: IE 9 is still a beta version, Firefox 4 too, Safari still a v5... and yes Opera v10)

 

The thing is, if you use G Chrome as a lightweight client, this kindda "forced update" may lead to compliance issues, for instance application not being tested/validated with the new Chrome version before it is being deployed.

 

Furthermore, there are only a few details about this update, except: 

http://googlechromereleases.blogspot.com/2011/02/stable-channel-update.html  

But who owns this blog? is it really an official "G Chrome" web blog? sorry, I don't find any proof of authenticity.

 

There is also http://www.google.com/support/forum/p/Chrome/thread?tid=4125a7f102c8ae9e&hl=en , but this is a forum, not an official portal...

 

In a nutshell, Chrome updates itself without (almost) any notification... therefore it is a software that a company does not manage completely, thus I do not recommend to use Chrome as a default web browser for production applications... (unless the firm has got real efficient proxies with filtering layer and reports...).

 

I hope this helps.

Partager cet article
Repost0
9 janvier 2011 7 09 /01 /janvier /2011 23:30

The Clam version I'm gonna talk about is there: http://www.clamav.net/about/win32/  So it's about the famous new technology "in the cloud".

It runs on Win 7 fully patched, and also on WXP SP3 with all security patches.

 

Since it's not the first false positive I notice while using Clam ITC, I'm gonna report here a few examples I find interesting.

 

Filezilla :

First I had an issue while trying to download Filezilla client.

I was there: http://filezilla-project.org/download.php?type=client

then I went to: http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.3.5.1/FileZilla_3.3.5.1_win32-setup.exe/download 

At the beginning of the download Clam ITC prompted a warning telling me that a W32.corrupt had been detected and deleted.

FP_filezilla_W32.corrupt_090111-copie-2.jpg

 

But if I refresh the page, the download will then start without any alert...

To a lambda user, this could be annoying / worrying. But what I try to understand is why this happens only from time to time, and not always, with the same link... is there any problem with Clam ITC signatures spreading or generating? 

 

Liberkey - HDspeed :

 

While trying to update my local Liberky install, Clam did prompt an alert about several detections... 

FP1_HDspeed_unkpacker_090111.jpg

FP2_HDspeed_w32.trojan_090111.jpg

Why the French version of HDSpeed should be detected as a quite different threat from the standard (international) version?

 

FP_smsniff_W32.Rozena_090111.jpg

This one, I don't really know if Clam is right or not. I'll find out and update my post.

 

Partager cet article
Repost0
14 novembre 2010 7 14 /11 /novembre /2010 13:10

Don't think only "non-IT people", and above all "non-IT security people" would forget to harden their servers...

 

Even some well know players in Computers security seem to be concerned, such as VirusTotal:

VT_err_Squid_141110.jpg

 

What about Squid 3...? and in any cases, hide those horrible "by default"error messages...

This messages came up while I was reloading my browser, which had saved my previous tabs.

Partager cet article
Repost0
9 novembre 2010 2 09 /11 /novembre /2010 18:48

Encore une fois, il ne m'a pas été nécessaire d'auditer quoi que ce soit pour tomber sur cette page intéressante, lorsque l'on tente de s'authentifier sur le site de Viadeo :

 

viadeo.com_erreur__tomcat_5.5.12_091110.jpg

 

 En plus du fait que cela n'est pas très "joli", et incompréhensible aux yeux du néophyte, il conviendrait peut être de rappeler que les bonnes pratiques de développement de site Internet recommandent de ne pas laisser de telles pages d'erreur (modèle par défaut).

 

En outre, Apache Tomcat 5.5.12 est quasiment obsolète... ! cf. http://tomcat.apache.org/download-55.cgi 

Au passage, il est recommandé de migrer au moins vers la version 6, en tenant compte du cycle de vie du produit.... y compris Java, puisque Tomcat 5 repose sur Java 1.4 (voir http://tomcat.apache.org/whichversion.html) qui est en fin de vie depuis 2009.

 

Vu les données que peut détenir Viadeo sur tous ses membres, il serait certainement souhaitable que leur infrastructure informatique soit un minimum sécurisée, et qu'elle respecte donc les bonnes pratiques en la matière... espérons que cette découverte ne soit pas révélatrice.

 

Partager cet article
Repost0
27 octobre 2010 3 27 /10 /octobre /2010 23:22

Une fois n'est pas coutume : un peu d'humour sur fond de virologie. Les juristes pourraient certainement parler de parasitisme de nom de domaine... ceux qui ont oublié le français diraient probablement "cybersquatting".

Il n'est pas nécessaire (c'est un euphémisme) de présenter Facebook. Outre les fotes de frappe sur le nom (facebooc, facebouc, etc), une autre ruse tourne autour de l'homophonie...

Je vous présente donc fessebook. Et voici ce que nous dit l'ami Google...

google_fessebook_271010.jpg

 

Il fallait y penser. Mais pour rester sérieux malgré tout, il convient d'alerter sur les faits suivants :

- le site fessebook n'est pas le vrai Facebook, et n'a apparemment pas grand chose à voir avec liu

- il s'agit de contenus de type pornographiquequ'il convient de catégoriser et bloquer via un système de filtrage de navigation (chez Ironport, le site est classifié "porn").

- on notera la ressemblance graphique entre ce site et le vrai Facebook, qui peut inciter l'utilisateur à se connecter... (et donc donner son vrai compte et mot de passe Facebook)

- enfin, l'indexation Google révèle que le site ne semble pas respecter les bones pratiques de sécurisationde site Internet : on voit qu'ils utilisent un Ubuntu Serveur avec Apache 2.2.12... pour rappel, la 2.2.17 est la dernière en date !

Je posterai normalement d'autres éléments bientôt sur d'autres cas similaires...

 

Voici un cousin germain (dans la famille Facebook) : facebouk.com

facebouk.com_271010.jpg

On remarquera d'ailleurs que certains des liens affichés dans la page pointent en fait sur edarling.com... (le concurrent direct ?) ...

 

Autre membre de la famille, non moins drôle (pour les francophones) : facebooc.fr 

facebouc.fr_271010.jpg

 

Partager cet article
Repost0
15 septembre 2010 3 15 /09 /septembre /2010 21:05

Once again, I did not expect I could write an article about that while I was updating my Firefox.

The issue appears to be the same on 2 different configurations:

- Win XP 32 SP3,

- Win7 64 

 

On Win 7, I launch Firefox to check for updates. I have to do it using the RunAs feature since my account is not an administrator.

Very well then, Firefox tells me there is an update: FF 3.6.9 (I was using 3.6.8). Therefore I download it. To finish the install procedure, it tells me Firefox has to be closed, OK...

 

Then, I have got the now famous warning telling that the Flash plugin, that is being incorporated to Firefox, is outdated.

 

FF_Flash_avert_150910.jpg

 

So I click on the link to get the new Flash Player version...

This is where my first remark stands: why does Firefox block the Flash installation? How could lambda users understand that?

FF_block_flash_install_150910-copie-1.jpg

Okay, I click on the warning to allow the plugin installation anyway...

Then, it tells me that Firefox has to be restarted to get the installation procedure done, fine.

I restart Firefox. An Adobe installation screen appears, then nothing... I have just to click on the 'close' orange button.

 

getplus_bug_150910.jpg

But because I am kindda not a lambda user, I think of checking my configuration. Therefore I use the "plugin update checker" feature in FF.

This is where the problem comes:

plugin_detect_version_150910.jpg

 

According to Mozilla.com, my Flash plugin is not up to date!

If I click on "update now", here is the warning I get:

 

no_plugin_found_flash_150910.png

Translation: 'no plugin found. PLugin applicatioin/getplusadobe16291 is unknown'...

What's happening there?

Update: the answer is there: http://www.mozilla.com/en-US/firefox/3.6.10/releasenotes/ 

 

 

 

 

 

Partager cet article
Repost0
28 août 2010 6 28 /08 /août /2010 13:36

Quite surprisingly, I was not even thinking about writing an article when I set up my Thunderbird for a MS Live mail account. 

One day, without any notice, I had the following warning:

Shredder_pop3.live.com_cert_280610.jpg

 

Because I use a 64 bits version (Shredder), there is no locale version of if, ie. in French. So I wonder what a lambda user is supposed to understand about this warning...

Let's have a look at the certificate by itself:

pop3.live.com_cert_sympatico.ca_280610.jpg

 

It appears that the POP3 Server of MS Live Mail tries to present a certificate for pophm.sympatico.ca. Where, yes, it seems to be a problem there... and Shredder is right warning me about it.

Once again, how a lambda user is supposed to handle that? How could he or she make the difference between that case (which could certainly be accepted as an exception), and a real fraud/phishing attempt?

 And the most surprising part could be that MS Live Mail client does not prompt any warning while retrieving the same MS Live Mail account... does it hide a security weakness?

Partager cet article
Repost0
17 août 2010 2 17 /08 /août /2010 21:55

Cet article s'adresse aux Chefs de projets et/ou responsables techniques / opérationnels, notamment lorsqu'ils cherchent un hébergement web indépendant.

Prenons le cas d'un des gros hébergeurs francophones : OVH.

 

Tout d'abord, rappelons qu'OVH est régulièrement dans la liste des pires hébergeurs de phishing (hameçonnage) au niveau International, même s'il est vrai que le classement fluctue. Cf : http://toolbar.netcraft.com/stats/hosters  (Google Cache montre encore OVH en top 20 en date du 12 août 2010 04:52:16 GMT http://webcache.googleusercontent.com/search?q=cache:uw8co-g4qqsJ:toolbar.netcraft.com/stats/hosters+netcraft+phishiest+hosters+ovh&cd=1&hl=fr&ct=clnk&gl=fr)

On peut trouver d'autres informations ici : http://maliciousnetworks.org/

Encore d'autres là : http://www.spamhaus.org/sbl/listings.lasso?isp=ovh.net

et ici aussi : http://sitevet.com/db/asn/AS16276

...

Entre autres pour cette raison, la France se retrouve régulièrement mal classée au niveau international pour les pays hébergeant des contenus malveillants / frauduleux.

Rappelons enfin qu'OVH a été récemment impliqué dans une alerte SSI de portée assez sérieuse.  Il semble à ce sujet qu'OVH n'apprécie pas TOR sur ses infrastructures, ce qui me semble compréhensible : https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/GoodBadISPs

Pourtant, on trouve des adresses IP encore clairement associées à l'architecture TOR : http://proxy.org/tor.shtml

(pour le trouver, il m'a suffit de chercher "ovh tor node" sur Google...).

Certaines de ces adresses OVH / Tor ont été la source d'attaques (je rassemble les preuves :) )

 

On peut donc objectivement lever un drapeau d'alerte sur le fait que les infrastructures informatiques d'OVH hébergent des contenus illicites/dangreux...  Quel impact cela a-t-il sur les services mutualisés par exemple ?

Pourtant, ce n'est pas tout.

 

OVH propose une offre de serveurs dédiés, par exemple pour virtualisation. Le tout est géré par le fameux "manager" que l'on leur connaît bien.

Cependant, il est dit "contractuellement" qu'OVH supprime les serveurs 5 jours après la date de renouvellement, par défaut (en l'absence de paiement donc).

L'expérience montre que :

- OVH supprime effectivement totalement les données de tous les serveurs de votre machine dédiée

- le seul "avertissement" reçu avant black-out est sous forme de relances par courriel

- aucune autre alerte n'est donnée au client avant suppression totale des données

- OVH ne tient pas compte des informations de "contact" que vous pouvez remplir dans la section "paramètres" : même si vous mettez un numéro de téléphone, ils n'appellent pas.

- OVH ne prend pas en compte le fait que le SMTP n'a par défaut pas d'acquittement, et que donc ses fameux courriels de relance peuvent ne pas être reçus par les destinataires

- si vous contactez OVH pour proposer de payer en urgence, en demandant qu'ils récupèrent (recouvrent) les données du serveur, ceci est "malheureusement impossible". 

- OVH supprime même les données que vous auriez mises sur leur service de sauvegarde

 

Dans tous les cas, de telles pratiques sont communément exclues en entreprise, sinon la production aurait de sévères incidents (en plus de la "vraie vie"). 

 

En résumé, ce bref exposé a pour but de sensibiliser ceux qui envisagent d'héberger leur projet chez un fournisseur de services comme OVH.

 

Partager cet article
Repost0
4 août 2010 3 04 /08 /août /2010 23:10

J'ai pu dire, et continue de le faire, beaucoup de bien sur Avira Antivir.

Cependant, cela ne m'empêche pas de vouloir rester objectif et signaler ici une pratique que je trouve douteuse.

 

Voici l'histoire :

Ayant rencontré des problèmes avec mon antivirus payant, sous Windows 7, (gel système à ouverture de session), j'ai donc été contraint de désinstaller au moins temporairement cet antivirus pour pouvoir investiguer et continuer à utiliser ma machine...

 

J'ai donc voulu tester (pour la n ième fois !) Antivir. A usage personnel, sa licence permet de l'utiliser gratuitement, ce qui est bien connu des internautes (quoique la restriction à l'usage uniquement dans le contexte personnel soit souvent oubliée...).

 

Cependant, au bout de 3 mois, Windows 7 a commencé à m'afficher des messages d'avertissement, indiquant que "Antivir était potentiellement obsolète".

Surpris, j'ouvre Antivir et j'ai la désagréable surprise de constater que la licence est marquée comme expirée, et qu'on me recommande vivement de passer à la version "pro", payante évidemment.

Je trouve le procédé des 3 mois de licence gratuite relativement anormal, surtout que cela n'est pas clairement précisé dès le départ...!

antivir_licence_expir_140710-copie-2.JPG

 

Un internaute averti en vaut 2, certainement...

Partager cet article
Repost0