Websecurity - Веб безпека

Сьогодні в мене день народження - мені виповнився 31 рік. З чим вас і себе поздоровляю .

В зв’язку з цією подією, дарую вам свою композицію Look into the future.

В даній добірці уразливості в веб додатках:

• Sophos Web Protection Appliance Multiple Vulnerabilities (деталі)
• Stored Cross Site Scripting in Ektron CMS 8.7 (деталі)
• Security advisory for Bugzilla 4.5.3, 4.4.3, 4.2.8, and 4.0.12 (деталі)
• Apache Archiva Remote Command Execution (деталі)
• HP ProCurve Manager (PCM), HP PCM+ and HP Identity Driven Manager (IDM), SQL Injection, Remote Code Execution, Session Reuse (деталі)

Сьогодні я знайшов Cross-Site Scripting уразливість в In-Portal CMS. Про що найближчим часом повідомлю розробникам системи.

Це уразливість в tagcloud.swf, яку я виявив ще в 2009 році в WP-Cumulus для WordPress, а потім писав про численні плагіни і теми для різних CMS з даною флешкою. Ось цього разу виявив її в темі для In-Portal CMS на офіційному сайті системи.

Раніше я вже писав про уразливості в In-Portal CMS.

Cross-Site Scripting (WASC-08):

http://site/themes/theme_name/inc/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

З 01.09.2012 по 02.12.2012, з 02.01.2013 по 27.12.2013 та з 09.01.2014 по 26.07.2014 відбувся десятий масовий взлом сайтів на сервері Delta-X, після дев’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний новий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 4 сайти були дефейснуті в 2012 році, 136 сайтів в 2013 році та 88 сайтів в 2014 році.

Всього було взломано 228 сайтів на сервері української компанії Delta-X (IP 91.206.200.43). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти krp-grcz.gov.ua (в 2013) і sev.archives.gov.ua (в 2014).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Продовжуючи розпочату традицію, після попереднього відео про атаку на веб браузер на Android, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS атаки та захист від них. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 21 - Evil DoS Attacks and Strong Defenses

Рік тому на конференції DEFCON 21 відбувся виступ Sam Bowne та Matthew Prince. В своєму виступі вони розповіли про злі DoS атаки та сильний захист від даних атак.

Вони розповіли про відомі та нові DoS і DDoS атаки, а також про ефективні методи захисту від них. Рекомендую подивитися дане відео для розуміння сучасних атак в LAN та Інтернет.

У серпні, 06.08.2014, вийшла нова версія WordPress 3.9.2.

WordPress 3.9.2 це багфікс та секюріті випуск нової 3.9 серії. В якому розробники виправили декілька багів та 5 уразливостей. Серед виправлених уразливостей:

• виправлений Denial of Service уразливість в обробнику XML движка (XML Blowup Attack DoS).
• виправлений потенційний Code Execution при обробці віджеті (WordPress не вразливий по замовчування).
• виправлена Information Disclosure через XML entity атаки в GetID3 бібліотеці.
• доданий захист проти підбору CSRF токенів (можливість їх підбору була відома багато років, вже одно разу покращували алгоритм генерації токенів, але знову в WP поскаржилися на слабкість алгоритму і вони знову його покращили).
• виправлена Cross-Site Scripting уразливість в адмінці, що розробники назвали “additional security hardening”.

Також для гілок 3.7.x і 3.8.x були випущені версії 3.7.4 і 3.8.4 з виправленням цих уразливостей.

Виявлена можливість обходу перевірки клієнтського сертифіката в Apache HttpComponents.

Уразливі версії: Apache HttpComponents 4.3.

Обхід перевірки сертифіката через конструкції типу O=”foo,CN=www.apache.org”

• Apache HttpComponents client: Hostname verification susceptible to MITM attack (деталі)

В даній добірці експлоіти в веб додатках:

• Citrix Netscaler 9.3-62.4 Disclosure / Cross Site Scripting Vulnerabilities (деталі)
• Barracuda Networks Message Archiver 650 - Persistent XSS Vulnerability (деталі)
• Raritan PowerIQ 4.1.0 - SQL Injection Vulnerability (деталі)
• Adobe Flash Player Type Confusion Remote Code Execution Exploit (деталі)
• McAfee ePolicy Orchestrator 4.6.0-4.6.5 (ePowner) - Multiple Vulnerabilities (деталі)

Вісім років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося вісім років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною був презентований Webcam Monitor, оновлені DAVOSET та Backdoored Web Application.

Також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mediarnbo.org (проросійськими хакерами) - 09.08.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.zoulg.gov.ua (хакером Nofawkx Al) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://energomarket.net.ua (хакером Hmei7) - 10.03.2014, зараз сайт вже виправлений адмінами
• http://www.pallet-west.com.ua (хакером d3b~X) - 20.03.2014, зараз сайт вже виправлений адмінами
• http://www.lenivets.info (хакером d3b~X) - 31.03.2014, зараз сайт вже виправлений адмінами