Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• JBoss AS Administration Console - Password Returned in Later Response (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• Voice Logger astTECS - bypass login & arbitrary file download (деталі)
• Verax NMS Password Disclosure (деталі)
• Verax NMS Hardcoded Private Key (деталі)

У березні, 14.03.2013, я знайшов Brute Force та Insufficient Process Validation уразливості в Privat24 для Android та iOS (тоді в Android версії, а на початку вересня перевірив у iOS версії). Про це я згадував коли писав про іншу уразливість в Приват24.

Після мого повідомлення у березні ПриватБанк 2,5 місяці думав над цими уразливостями і відмовився їх виправляти. Після чого додав нову уразливість в Приват24, про яку я писав у вищезгаданому записі (причому вони погодилися з тим, що це уразливість й її потрібно виправити, але не зробили це до цих пір).

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://odb.kiev.ua - інфекція була виявлена 25.07.2013. Зараз сайт входить до переліку підозрілих.
• http://domdonetsk.in.ua - інфекція була виявлена 13.07.2013. Зараз сайт входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://autoshrot.zp.ua - інфекція була виявлена 26.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://tunikaindia.com - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.

14.11.2012

Виявлені уразливості безпеки в WebKit, Apple Safari, Google Chrome.

Уразливі продукти: Apple Safari 6.0. Google Chrome 22.0.

Короткочасні умови, використання пам’яті після звільнення.

• APPLE-SA-2012-11-01-2 Safari 6.0.2 (деталі)

10.09.2013

Додаткова інформація.

• Apple Safari Heap Buffer Overflow (деталі)

В даній добірці експлоіти в веб додатках:

• Performance Guard Arbitrary File Read / Traversal Vulnerabilities (деталі)
• TP-Link TD-W8951ND - Multiple Vulnerabilities (деталі)
• Cisco WebEx One-Click Client Password Encryption Information Vulnerability (деталі)
• Cogent DataHub HTTP Server Buffer Overflow Vulnerability (деталі)
• Mozilla Firefox 3.5.4 - Local Color Map Exploit (деталі)

09.07.2013

Сьогодні я знайшов Insufficient Authorization та інші уразливості на сайті http://act.yapc.eu. Про що найближчим часом сповіщу адміністрацію сайта.

Мене зацікавила конференція “Future Perl”, що буде проводитися у Києві у серпні. Й відвідавши сайт в черговий раз, що одразу видався мені дірявим, я швидко знайшов уразливості. Що дуже типово для сайтів конференцій - раніше я вже писав про багато дірявих сайтів конференцій (в тому числі на тему безпеки).

Детальна інформація про уразливості з’явиться пізніше.

31.08.2013

Insufficient Authorization (WASC-02):

http://act.yapc.eu/ye2013/edittalk?talk_id=1

Будь-який аутентифікований користувач може редагувати довільні доповіді (вказавши id). А також видаляти їх (через функцію редагування).

Дана уразливість вже виправлена.

В документі File Download Injection розповідається про FDI атаку. Про включення файлів для скачування з інших сайтів.

Дана атака проводиться через уразливості, що дозволяють включати серверні заголовки, такі як HTTP Response Splitting (WASC-25) та HTTP Response Smuggling (WASC-27). І вона призначена не для проведення класичних атак, як то XSS чи редирекції, а для збереження зловмисних файлів (таких як bat-файли) на локальних комп’ютерах з метою виконання довільних команд на комп’ютерах користувачів.

В статті розглянуті наступні аспекти FDI:

1. Короткий опис.
2. Технічні деталі.
3. Опис атаки.
4. Content-Length заголовки.
5. Reflected і Stored File Download Injection варіанти.
6. Приклади використання FDI.
7. Захист від FDI.

File Download Injection являє собою цікавий вектор атаки на HTTP Response Splitting та HTTP Response Smuggling уразливості у веб додатках.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.3. В новій версії:

• Додав підтримку кукісів.
• Додав підтримку задання портів.
• Додав нові сервіси в повний список зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.3.rar.

Виявлена проблема символьних лінків в Perl Proc-ProcessTable.

Уразливі продукти: Proc::ProcessTable 0.45 модуль для Perl.

Проблема символьних лінків при роботі з /tmp/TTYDEVS. Що дозволяє локальному користувачу перезаписувати довільні файли.

• Vulnerability in perl-Proc-ProcessTable (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах HMS Testimonials, ThinkIT WP Contact Form та BackWPup. Для котрих з’явилися експлоіти. HMS Testimonials - це плагін для написання рецензій, ThinkIT WP Contact Form - це контактна форма, BackWPup - це плагін для створення бекапів.

• WordPress HMS Testimonials 2.0.10 XSS / CSRF (деталі)
• WordPress ThinkIT 0.1 CSRF / Cross Site Scripting (деталі)
• WordPress BackWPup 3.0.12 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.