Websecurity - Веб безпека

У лютому, 14.02.2014, вийшов Mozilla Firefox 27.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 27. І в ній виправлено два баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 27.0.1 у якому усунуті наступні проблеми:

• усунуто проблеми зі стабільністю роботи, що виявляються при обробці JavaScript-кода, що використовує виклик ClearTimeoutOrInterval.
• виправлено помилку, що приводить до появи некоректних значень при використанні математичної функції Math.fround().

Хоча офіційно жодних дірок не виправлено, я відношу проблему з ClearTimeoutOrInterval до уразливостей. Це DoS уразливість в браузері.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Data Protection Directive
• General Data Protection Regulation
• Advanced persistent threat
• Advanced volatile threat
• Content Security Policy

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.center.gov.ua (хакером eRRoR 7rB) - 16.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.aids.km.ua (хакерами з Armageddon Hackers)
• http://guramishvili.org (хакером d3b~X) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://aurora.ua (хакером d3b~X) - 06.11.2013, зараз сайт вже виправлений адмінами
• http://china-avto.com.ua (хакером HighTech) - 06.01.2013, зараз сайт вже виправлений адмінами

Виявлена Buffer Overflow уразливість в Python.

Уразливі версії: Python 2.5, Python 3.3, Python 3.4.

Переповнення буфера в socket.recvfrom_info()

• Vulnerability in Python (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Suco, iThemes2 та Optin Fire. Для котрих з’явилися експлоіти. Suco - це тема движка, iThemes2 - це тема движка, Optin Fire - це плагін для створення сторінок продажів.

• WordPress Suco Shell Upload (деталі)
• WordPress iThemes2 Shell Upload (деталі)
• WordPress Optinfirex Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про лютневі DDoS атаки в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з оголошенням Путіним війни Україні, в цьому місяці хакерська активність збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими хакерами були атаковані наступні сайти:

DDoS на hromadske.tv - 02-03.03.2014
DDoS на www.unian.net - 03.03.2014
DDoS на mvs.gov.ua - 04.03.2014
DDoS на www.pravda.com.ua - 04.03.2014
DDoS на www.1plus1.ua - 04.03.2014
DDoS на glavred.info - 04.03.2014
DDoS на www.telekritika.ua - 04.03.2014
DDoS на www.rnbo.gov.ua - 06.03.2014
DDoS на censor.net.ua - 13-14.03.2014 (сайт працював з перервами)
DDoS на www.ukrinform.ua - 16.03.2014
DDoS на www.segodnya.ua - 16.03.2014

В лютому сайти hromadske.tv і censor.net.ua вже зазнавали Distributed Denial of Service атак.

Також на протязі березня відбулися численні DDoS атаки на російські опозиційні сайти.

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 08-31.03.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 08-31.03.2014
DDoS на referendum2014.org.ua - 11.03.2014 - після атаки сайт закрили і змінили домен на .ru
DDoS на www.mid.ru - 14.03.2014
DDoS на www-ki.rada.crimea.ua - 15-31.03.2014 (сайт працював з перервами)

Проукраїнськими хакерами були взломані наступні сайти:

rt.com - 02.03.2014 - сайт російського ЗМІ Russia Today
rg.ru - 07.03.2014 - сайт російського ЗМІ Российская газета
www.rada.crimea.ua - 09.03.2014 - я відмінив референдум в Криму
www.rada.crimea.ua - 13.03.2014 - я відправив у відставку прем’єра і спікера Криму

В даній добірці уразливості в веб додатках:

• MiniDLNA v1.0.25 Multiple Vulnerabilities (деталі)
• SQL Injection vulnerability in “Project’Or RIA” allow arbitrary access to the database and the file system (деталі)
• Multiple XSS vulnerabilities in “Project’Or RIA” (деталі)
• Vulnerability in Pydio/AjaXplorer <= 5.0.3 (деталі)
• Trend Micro DirectPass 1.5.0.1060 - Multiple Vulnerabilities (деталі)

У березні, 09.03.2014, я знайшов Cross-Site Scripting та інші уразливості на сайті Верховної Ради АР Крим - http://www.rada.crimea.ua. Про що в той день повідомив на Twitter і Facebook. Де я розмістив PoC і скріншот з демонстрацією того, як я відмінив референдум в Криму.

Стосовно державних сайтів в останнє я писав про уразливості на president.gov.ua.

XSS:

• alert(document.cookie)
• цікавий
• відміна референдуму в Криму

На сайті є й інші дірки. Дані уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vneshexpo.kiev.ua - інфекція була виявлена 05.03.2014. Зараз сайт входить до переліку підозрілих.
• http://vizyt.com - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://dodatoz.pp.ua - інфекція була виявлена 23.02.2014. Зараз сайт входить до переліку підозрілих.
• http://tsp.com.ua - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://tsp.zp.ua - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• Franklin Fueling TS-550 evo 2.0.0.6833 - Multiple Vulnerabilities (деталі)
• A10 Networks Loadbalancer - Directory Traversal (деталі)
• pfSense 2.1 build 20130911-1816 - Directory Traversal (деталі)
• SoapUI 4.6.3 - Remote Code Execution Vulnerability (деталі)
• HP Data Protector Backup Client Service Directory Traversal (деталі)