Websecurity - Веб безпека

Раніше на сайті www.linksmile.com я знайшов Insufficient Anti-automation та Denial of Service уразливості у веб додатку CaptchaSecurityImages. Це скрипт капчі, що використовується на багатьох веб сайтах та движках. Про що найближчим часом сповіщу розробника.

Insufficient Anti-automation уразливість я знайшов 06.10.2007, під час проведення проекта MoBiC, а Denial of Service уразливість я знайшов 17.09.2009.

Insufficient Anti-automation:

В капчі піддаються маніпуляції параметри characters, width і height. Вони можуть бути задані таким чином, що дозволять легший обхід капчі через напівавтоматизований або автоматизований методи:

http://site/CaptchaSecurityImages.php?width=150&height=100&characters=2

Таким чином можна задати два символи та збільшити розмір капчі.

DoS:

http://site/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ikt.hneu.edu.ua (хакером SALDIRAY) - 03.03.2010, зараз сайт вже виправлений адмінами
• http://dpks.dp.ua (хакером MulTiHaCkeR)
• http://www.virtlibrary.dp.ua (хакерами Google і Leon)
• http://www.offshoreservice.com.ua (хакером SarBoT511) - 04.03.2010, був похаканий форум сайта, що вже виправлений адмінами
• http://www.santel.com.ua (хакером bejo6)

В своїй презентації Advanced Web Hacking, Shreeraj Shah розповів про просунутий веб хакінг. Про сучасні загрози в Інтернеті для компаній та їхніх клієнтів.

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Cisco Security Manager Vulnerability (деталі)
• XSS in Achievo - Customized XSS payload included (деталі)
• SQL Injection in Achievo (деталі)
• HTML Injection in BEA (Oracle) WebLogic Server Console (деталі)
• Snitz Forums 2000 Multiple Cross-Site Scripting Vulnerabilities (деталі)
• [IBM Datapower XS40] Denial of Service (деталі)
• DWebPro allow an invader to execute any program at server side (деталі)
• phpcms 2008 Remote File Disclosure Vulnerability (деталі)
• New bugzilla packages fix SQL injection (деталі)
• Twilight CMS XSS (деталі)

У вересні, 17.09.2009, я знайшов Denial of Service уразливість на проекті http://www.linksmile.com (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.linksmile.com. В тому числі я писав про Insufficient Anti-automation уразливість в капчі на www.linksmile.com. І саме в капчі має місце DoS уразливість.

DoS:

http://www.linksmile.com/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

This is English version of my SQL DB Structure Extraction vulnerabilities article.

There is such variety of Information Leakage vulnerabilities as SQL DB Structure Extraction. This vulnerability lie in that there is information leakage in web application about structure of the database. This information leakage can be of use at SQL Injection attack.

Such vulnerability I found first time already in 2006 (at one site) and gave it this name. Such vulnerabilities I found at many web sites, particularly at bizua.com.ua, zoom.cnews.ru and job.ukr.net. And also in many web applications, particularly in WordPress (many times), W-Agora, Nucleus, Athree CMS (twice) and Abton.

Example of information leakage which occurs at using of one from SQL DB Structure Extraction vulnerabilities in WordPress:

SELECT * FROM wp_posts WHERE 1=1 AND (post_status = "publish" OR post_author = 1 AND post_status != 'draft' AND post_status != 'static') AND post_status != "attachment" AND post_status <> ‘trash’ GROUP BY wp_posts.ID ORDER BY post_date DESC LIMIT -30, 15

In this case important information it is name of table (wp_posts), particularly its prefix (wp), which is using in other tables of WP at vulnerable site.

What is the difference between SQL DB Structure Extraction and SQL Error? Because in both cases there is a message about error at request to database.

There are different messages about error in SQL query (SQL Error):

1. Only a message is showing about error at request to DB without any details. Sometimes at that there can be a message about a script, in which error occurs, including there can be mentioned full path to it at the server, which is Full path disclosure vulnerability. And in other cases there can be no details, only mentioning about error at request to DB.

2. A message is showing about error at request to DB and part of SQL query, in which there is error. In this case, usually, there is no leaked information about structure of DB. But in such cases it’s possible the conduction of XSS attacks via errors at requests to DB.

3. A message is showing about error at request to DB with detailed information about current SQL query (or several queries). When information about structure of DB is leaked - about tables and their fields in DBMS. And this variant is SQL DB Structure Extraction.

So SQL DB Structure Extraction vulnerability - it’s such variant of SQL Error, when error at request to database occurs and at the page (at notification about error at request to DB, or even without such notification) the information about structure of DB is showing.

Виявлена можливість звертання по неініціалізованому вказівнику в Apache mod_isapi.

Уразливі версії: Apache 2.2.

За певних умов відбувається виклик функції за адресою після вивантаження бібліотеки.

• Apache mod_isapi Dangling Pointer Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• OCS Inventory NG 1.2.1 (systemid) SQL Injection Vulnerability (деталі)
• Joomla Component idoblog 1.1b30 (com_idoblog) SQL Injection Vuln (деталі)
• 2WIRE Gateway Authentication Bypass & Password Reset Vulnerabilities (деталі)
• Gallarific 1.1 (gallery.php) Arbitrary Delete/Edit Category Vuln (деталі)
• Shorty 0.7.1b (Auth Bypass) Insecure Cookie Handling Vulnerability (деталі)
• Gazelle CMS 1.0 Multiple Vulnerabilities / RCE Exploit (деталі)
• Plume CMS 1.2.3 Multiple SQL Injection Vulnerabilities (деталі)
• JBLOG 1.5.1 Remote SQL Table Backup Exploit (деталі)
• EmbedThis Appweb v3.0B.2-4 Multiple Remote Buffer Overflow PoC (деталі)
• TGS CMS 0.x (XSS/SQL/FD) Multiple Remote Vulnerabilities (деталі)

У вересні, 17.09.2009, я знайшов SQL Injection уразливість в ArtDesign CMS (це українська CMS). Дану уразливість я виявив на fitofarm.ua, де використовується даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

Пропоную вашій увазі добірку цікавих нових на тему безпеки.

За повідомленням www.cnews.ru, Інтернет-шахраї за рік украли $560 мільйонів. Відповідно до нового дослідження, в 2009 р. різного роду Інтернет-злочинці вкрали в користувачів біля $560 мільйонів - це майже в два рази перевищує аналогічний показник 2008 р. Про це говориться в звіті організації Internet Crime Complaint Center (IC3), що підтримується ФБР.

За словами авторів дослідження, у 2009 році IC3 зареєструвала більш 336000 скарг на різні злочини, пов’язані з Інтернетом. Зростання кількості злочинів на 22,3% за рік.

За повідомленням internetua.com, сільський хакер переказував гроші з чужих банківських карток у колонію. На Полтавщині розкрита безпрецедентна для України (як заявляють в МВС) схема крадіжки коштів з банківських карткових рахунків за допомогою веб сайта.

Міліція Полтавщини розкрила раніше невідому схему зняття коштів з особистих рахунків клієнтів банків через Інтернет. Що цікаво, автор цієї схеми використовував зняті з кредиток кошти для поповнення мобільних телефонів в колонії. Ось так, після попереднього разу, знову наша міліція спіймала хакера .

За повідомленням internetua.com, анталітики США знайшли хакера, що атакував пошуковці. Аналітиками США, що працюють в області кібернетичної безпеки, було виявлене джерело, звідки відбувалися атаки на сервери компанії Google. Що мали місце наприкінці грудня - початку січня під час Операції Аврора.