Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• NETGEAR ReadyNAS Remote Root (деталі)
• Spring Security Blank password may bypass user authentication (деталі)
• XSS when using Spring MVC (деталі)
• SQL injection in InterWorx Web Control Panel <= 5.0.13 (деталі)
• Watchguard Server Center v11.7.4 Multiple Non-Persistent Cross-Site Scripting Vulnerabilities (деталі)

Існує сервіс Norse, що в реальному часі демонструє атаки в Мережі. Зокрема описи атак, типи, цілі та джерела атак. Це карта Інтернет атак (map of Internet attacks).

Подивіться відео, що демонструє роботу цього сервісу:

Виявлене цілочисленне переповнення в Python.

Уразливі версії: Python 2.7.

Цілочисленне переповнення в buffer().

• Integer overflow in Python (деталі)

Додав свою програму BWA в репозиторій на https://github.com/MustLive. Тепер в мене на GitHub три програми з числа секюріті додатків, що я розробив за 2005-2014 роки:

• Backdoored Web Application (BWA).
• DDoS attacks via other sites execution tool (DAVOSET).
• Custom Flash Player for VideoJS (video-js-swf) - версія плеєра з виправленою XSS уразливістю, про яку я повідомив розробникам в 2013 році.

Потім додам на GitHub інші програми. Як свої програми на тему безпеки, так і веб додатки в яких я виправив уразливості.

В даній добірці експлоіти в веб додатках:

• Nessus Web UI 2.3.3 Cross Site Scripting Vulnerability (деталі)
• BMC Track-It! - Multiple Vulnerabilities (деталі)
• D-Link DIR645, DIR865, DIR845 authentication.cgi Buffer Overflow (деталі)
• Cogent DataHub Command Injection Exploit (деталі)
• HP AutoPass License Server File Upload Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Felici, Custom, HTML Sitemap та Quick Page/Post Redirect. Для котрих з’явилися експлоіти. Felici, Custom - це теми движка, HTML Sitemap - це плагін для створення карти сайта, Quick Page/Post Redirect - це плагін для створення перенаправлення в постах і сторінках сайта.

• WordPress Felici / Custom Background Shell Upload (деталі)
• WordPress HTML Sitemap 1.2 Cross Site Request Forgery (деталі)
• WordPress Quick Page/Post Redirect Plugin 5.0.3 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://aviamodel.org.ua - інфекція була виявлена 22.10.2014. Зараз сайт входить до переліку підозрілих.
• http://isheika.com - інфекція була виявлена 22.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://edem.ck.ua - інфекція була виявлена 26.10.2014. Зараз сайт входить до переліку підозрілих.
• http://man.ck.ua - інфекція була виявлена 23.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://archive.org.ua - інфекція була виявлена 20.10.2014. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• openssl security update (деталі)
• Local File Inclusion in Vtiger CRM (деталі)
• SQL Injection in Procentia IntelliPen (деталі)
• Spring MVC Incomplete fix for CVE-2013-4152 / CVE-2013-6429 (XXE) (деталі)
• RSA Authentication Agent for Web for Internet Information Services (IIS) Security Controls Bypass Vulnerability (деталі)

21.05.2014

У квітні, 30.04.2014, я виявив уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router). Це Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості.

Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Раніше я вже писав про численні уразливості в D-Link DAP 1150.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

25.10.2014

Abuse of Functionality (WASC-42):

Логін постійний: admin.

Brute Force (WASC-11):

В формі логіна http://192.168.0.50 немає захисту від Brute Force атак.

Для атаки потрібно відправляти кукіс з логіном і паролем:

Cookie: cookie_lang=ukr; client_login=admin; client_password=1

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF уразливості в панелі керування.

Для атаки потрібно відправляти кукіс з логіном і паролем (він може бути вказаний використовуючи Flash чи інший плагін):

Cookie: cookie_lang=ukr; client_login=admin; client_password=1

Нова версія прошивки з виправленням даних уразливостей вийде в першій половині листопада, за виключенням AoF дірки, яку вони не будуть виправляти.

Розповім вам про передвиборчі взломи КіберБеркуту.

24 жовтня вони взломали рекламні білборди в Києві. Є відео чотирьох таких білбордів, на яких транслювався їх відео-ролик. Хоча КіберБеркут заявив про десятки взломаних білбордів, але доказів в них немає, тому схоже, що вони перебільшили кількість хакнутих білбордів (як це вони полюбляють робити) й їх всього було чотири (до яких є відео докази).

25 жовтня вони заявили про взлом сайту і системи ЦВК. Доказом чому є дефейс сайту vyborkom.org (це система онлайн навчання членів виборчих комісій, а не офіційний сайт ЦВК) та розміщення заяви Яреми на своєму офіційному сайті (який взломав КіберБеркут і розмістив підробну заяву). Також вони виклали підроблений документ, неначе ЦВК (за підписом голови комісії) розіслав заяву про порушення функціонування системи ЦВК. Тобто їхні заяви - це фейк і 25.10.2014 КіберБеркут лише взломав сайти yarema.info і vyborkom.org.

Також в цей день повільно працював сайт cvk.gov.ua. Що було пов’язано з DDoS атакою на нього та від напливу користувачів подивитися чи не взломали цей сайт.