Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP ProCurve, H3C, 3COM Routers and Switches, Remote Information Disclosure and Code Execution (деталі)
• pdirl PHP Directory Listing 1.0.4 - Cross Site Scripting Web Vulnerabilities (деталі)
• CSRF Horde Groupware Web mail Edition (деталі)
• XSS and CSRF Horde Groupware Web mail Edition (деталі)
• DoS vulnerability in libxml2 (деталі)

У січні, 06.01.2014, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості на сайтах http://translate.yandex.ru, http://translate.yandex.ua та http://translate.yandex.net. Про що найближчим часом сповіщу адміністрацію сайтів. Раніше я вже додав ці сайти в DAVOSET.

Це онлайн перекладач Яндекса на трьох доменах. Даний сервіс може використовуватися для проведення атак на інші сайти. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

XSS (Remote XSS/HTML Include):

• редиректор
• редиректор

Abuse of Functionality:

http://translate.yandex.ru/translate?srv=yasearch&lang=ru-uk&url=http://google.com

http://translate.yandex.ua/translate?srv=yasearch&lang=ru-uk&url=http://google.com

http://translate.yandex.net/tr-url/ru-uk.uk/google.com/

Можна проводити атаки на інші сайти. А також проводити DoS атаки на сервер самого сайта, що описано у моїй статті.

Insufficient Anti-automation:

Із-за відсутності захисту від автоматизованих запитів (капчі) в даному функціоналі, атаки на інші сайти можна автоматизувати. Наприклад, з використанням DAVOSET.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://lockspoint.com.ua - інфекція була виявлена 26.01.2014. Зараз сайт входить до переліку підозрілих.
• http://neptm.com.ua - інфекція була виявлена 07.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://3d.co.ua - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://gorod-online.net - інфекція була виявлена 19.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://weblist.kharkov.ua - інфекція була виявлена 07.02.2014. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість виконання JS коду в Mozilla Thunderbird.

Уразливі продукти: Mozilla Thunderbird 17.0.6.

Можна виконати JavaScript код через теги object і embed з використанням base64 кодування.

• Mozilla Bug Bounty #5 - Thunderbird Remote Web Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• ASUS RT-N56U - Remote Root Shell Buffer Overflow (ROP) (деталі)
• Teracom Modem T2-B-Gawv1.4U10Y-BI - Stored XSS Vulnerability (деталі)
• BLUE COM Router 5360/52018 - Password Reset Exploit (деталі)
• ProFTPD 1.3.3g Server Remote Root Exploit (деталі)
• vTiger CRM SOAP AddEmailAttachment Arbitrary File Upload Vulnerability (деталі)

Пертурбації з сайтом Президента України www.president.gov.ua. Після кривавих подій 18-20 лютого, президент утік, а в суботу в Верховній Раді обрали нового спікера та оголосили відставку президента. А в неділю спікера обрали в.о. президента.

Вже 18.02 почалася DDoS атака на www.president.gov.ua. А 22.02 почалася більш активна DDoS атака на офіційне представництво Президента України. З суботи сайт зовсім не відповідав (можливо, що сайт зовсім відключили, бо сам сервер працював). А вже 25.02.2014 сайт запрацював в оновленому вигляді, на якому зазначається, що зараз це представництво в.о. президента. Таким чином Янукович був остаточно відсторонений.

За повідомленням www.xakep.ru, браслет з електрокардіографом як універсальний пароль і гаманець.

Канадська компанія Bionym розробила браслети Nymi. Це дуже цікавий пристрій, що дозволяє здійснити трьохфакторну біометричну авторизацію. Щоб підтвердити свою особистість, користувач повинний 1) мати персональний браслет; 2) мати смартфон з персональним кодом у додатку Nymi; 3) мати пульс.

Розробники пропонують використовувати браслет не тільки як універсальний ключ від усіх пристроїв і пароль для комп’ютера, але і як гаманець. Програмне забезпечення підтримує роботу з Bitcoin.

За повідомленням threatpost.ru, хакери взломали Kickstarter.

У середині лютого адміністрація сервісу Kickstarter заявила про факт взлому їх сайта хакерами. Відповідна запис з’явився в корпоративному блозі компанії відразу після події.

У результаті атаки хакерам стали доступні імена, фізичні й електронні адреси, номери телефонів, а також авторизаційні дані користувачів. Цього рорку це черговий значний взлом після Yahoo.

У січні, 01.01.2014, я знайшов численні уразливості в Joomla-Base. Це Denial of Service, XML Injection, Cross-Site Scripting, Full path disclosure та Insufficient Anti-automation уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Joomla-Base - це сбірка Joomla. Яка містить різні плагіни, в тому числі Google Maps плагін для Joomla, і тому має всі його уразливості. Що я оприлюднив в 2013-2014 роках.

Всі дірки мають місце в файлі plugin_googlemap2_proxy.php. Ось опис DoS та XSS уразливостей, опис інших дірок в попередніх записах.

Denial of Service (WASC-10):

http://site/plugins/system/plugin_googlemap2/plugin_googlemap2_proxy.php?url=google.com

Cross-Site Scripting (WASC-08):

http://site/plugins/system/plugin_googlemap2/plugin_googlemap2_proxy.php?url=%3Cbody%20onload=alert(document.cookie)%3E

Уразливі всі версії пакета Joomla-Base.

В даній добірці уразливості в веб додатках:

• HP Networking Products including H3C and 3COM Routers and Switches, OSPF Remote Information Disclosure and Denial of Service (деталі)
• Vulnerability in Roundcube (деталі)
• GTX CMS 2013 Optima - Multiple Web Vulnerabilities References (деталі)
• Olat CMS 7.8.0.1 - Persistent Calender Web Vulnerability (деталі)
• HP ProCurve Switches, Remote Unauthorized Information Disclosure (деталі)

У січні, 01.01.2014, я знайшов численні уразливості в JoomLeague плагіні для Joomla. Це Denial of Service, XML Injection, Cross-Site Scripting, Full path disclosure та Insufficient Anti-automation уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Цей плагін містить Google Maps плагін для Joomla і тому має всі його уразливості. Що я оприлюднив в 2013-2014 роках.

Всі дірки мають місце в файлі plugin_googlemap3_proxy.php. Ось опис DoS уразливості, опис інших дірок в попередніх записах.

Denial of Service (WASC-10):

http://site/components/com_joomleague/plugins/system/plugin_googlemap3/plugin_googlemap3_proxy.php?url=google.com

Уразливі плагін JoomLeague 2.1.12 для Joomla та попередні версії. Та пакет joomleague-2-komplettpaket, що містить цей плагін.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mriya.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://hansaukr.com.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://gazcomp.com.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://schooldance.com.ua (хакером WildClique) - 17.02.2014, зараз сайт вже виправлений адмінами