Websecurity - Веб безпека

В серпні, 01.08.2013, вийшла нова версія WordPress 3.6.

WordPress 3.6 це перший випуск нової 3.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Thirteen по замовчуванню, покращені ревізії, закріплення постів та налаштовуване автозбереження. А також вбудований HTML5 медіа плеєр та покращений редактор меню.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. А також були виправлені деякі уразливості, про які умисно не згадали в анонсі нової версії WP. Що розробники роблять дуже часто (приховуючи виправлені дірки).

Зокрема виправлені Full path disclosure уразливості в адмінці та покращене виведення помилок БД: тепер помилки виводяться якщо включені обидва WP_DEBUG і WP_DEBUG_DISPLAY.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• CRIME (security exploit)
• Cyberwarfare
• Cyber-collection
• Industrial espionage
• Information warfare

22.08.2013

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Обхід захисту, міжсайтовий скриптінг, пошкодження пам’яті.

• Microsoft Security Bulletin MS13-059 - Critical Cumulative Security Update for Internet Explorer (2862772) (деталі)

11.09.2013

Додаткова інформація.

• Microsoft Internet Explorer “ReplaceAdjacentText” Use-after-free (MS13-059) (деталі)
• Microsoft Internet Explorer Protected Mode Sandbox Bypass (Pwn2Own 2013 / MS13-059) (деталі)

В даній добірці уразливості в веб додатках:

• JBoss AS Administration Console - Password Returned in Later Response (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• Voice Logger astTECS - bypass login & arbitrary file download (деталі)
• Verax NMS Password Disclosure (деталі)
• Verax NMS Hardcoded Private Key (деталі)

У березні, 14.03.2013, я знайшов Brute Force та Insufficient Process Validation уразливості в Privat24 для Android та iOS (тоді в Android версії, а на початку вересня перевірив у iOS версії). Про це я згадував коли писав про іншу уразливість в Приват24.

Після мого повідомлення у березні ПриватБанк 2,5 місяці думав над цими уразливостями і відмовився їх виправляти. Після чого додав нову уразливість в Приват24, про яку я писав у вищезгаданому записі (причому вони погодилися з тим, що це уразливість й її потрібно виправити, але не зробили це до цих пір).

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://odb.kiev.ua - інфекція була виявлена 25.07.2013. Зараз сайт входить до переліку підозрілих.
• http://domdonetsk.in.ua - інфекція була виявлена 13.07.2013. Зараз сайт входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://autoshrot.zp.ua - інфекція була виявлена 26.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://tunikaindia.com - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.

14.11.2012

Виявлені уразливості безпеки в WebKit, Apple Safari, Google Chrome.

Уразливі продукти: Apple Safari 6.0. Google Chrome 22.0.

Короткочасні умови, використання пам’яті після звільнення.

• APPLE-SA-2012-11-01-2 Safari 6.0.2 (деталі)

10.09.2013

Додаткова інформація.

• Apple Safari Heap Buffer Overflow (деталі)

В даній добірці експлоіти в веб додатках:

• Performance Guard Arbitrary File Read / Traversal Vulnerabilities (деталі)
• TP-Link TD-W8951ND - Multiple Vulnerabilities (деталі)
• Cisco WebEx One-Click Client Password Encryption Information Vulnerability (деталі)
• Cogent DataHub HTTP Server Buffer Overflow Vulnerability (деталі)
• Mozilla Firefox 3.5.4 - Local Color Map Exploit (деталі)

09.07.2013

Сьогодні я знайшов Insufficient Authorization та інші уразливості на сайті http://act.yapc.eu. Про що найближчим часом сповіщу адміністрацію сайта.

Мене зацікавила конференція “Future Perl”, що буде проводитися у Києві у серпні. Й відвідавши сайт в черговий раз, що одразу видався мені дірявим, я швидко знайшов уразливості. Що дуже типово для сайтів конференцій - раніше я вже писав про багато дірявих сайтів конференцій (в тому числі на тему безпеки).

Детальна інформація про уразливості з’явиться пізніше.

31.08.2013

Insufficient Authorization (WASC-02):

http://act.yapc.eu/ye2013/edittalk?talk_id=1

Будь-який аутентифікований користувач може редагувати довільні доповіді (вказавши id). А також видаляти їх (через функцію редагування).

Дана уразливість вже виправлена.

В документі File Download Injection розповідається про FDI атаку. Про включення файлів для скачування з інших сайтів.

Дана атака проводиться через уразливості, що дозволяють включати серверні заголовки, такі як HTTP Response Splitting (WASC-25) та HTTP Response Smuggling (WASC-27). І вона призначена не для проведення класичних атак, як то XSS чи редирекції, а для збереження зловмисних файлів (таких як bat-файли) на локальних комп’ютерах з метою виконання довільних команд на комп’ютерах користувачів.

В статті розглянуті наступні аспекти FDI:

1. Короткий опис.
2. Технічні деталі.
3. Опис атаки.
4. Content-Length заголовки.
5. Reflected і Stored File Download Injection варіанти.
6. Приклади використання FDI.
7. Захист від FDI.

File Download Injection являє собою цікавий вектор атаки на HTTP Response Splitting та HTTP Response Smuggling уразливості у веб додатках.