Websecurity - Веб безпека

За повідомленням www.xakep.ru, виплата винагород за уразливості дуже вигідна компаніям.

Учені з Каліфорнійського університету в Берклі провели емпіричне дослідження ефективності програм грошових винагород за уразливості. Як відомо, подібні програми діють у Mozilla, Google, Facebook, Microsoft та інших компаніях: усі вони виплачують винагороду хакерам, що знайдуть небезпечні уразливості у фірмових програмних продуктах.

Як з’ясували дослідники, подібні програми надзвичайно ефективні. За звітний період 27,5% усіх закритих уразливостей у браузері Chrome (371 з 1347) сталі відомі саме завдяки програмі винагород за баги, у Firefox - 24,1% (148 з 613), що теж хороший показник.

Те, що приблизно за три роки у Chrome було знайдено 1347 уразливостей, а у Firefox 613 уразливостей свідчить про рівень дірявості цих браузерів. Особливо виділяється Chrome - за той же період в ньому було знайдено в 2,2 рази більше дірок, ніж у Firefox. При тому, що в своїх офіційних анонсах релізів браузера Google не згадав про таку кількість уразливостей, переважно він згадував лише про дірки знайдені по програмі виплат (що менше третини від всіх знайдених дірок). Не кажучи про всі ті випадки, коли розробники браузерів приховано виправили повідомлені мною уразливості. Тобто про переважну більшість уразливостей Гугл навіть не згадав, приховавши від людей справжню ситуацію з низьким рівнем безпеки їхнього браузера.

За повідомленням ain.ua, київський суд засудив трьох хакерів до 5 років в’язниці за віруси.

Печерський райсуд Києва засудив до кримінальної відповідальності трьох хакерів, що поширювали вірус Carberp. Вірус призначався для крадіжки коштів з рахунків клієнтів кредитно-фінансових установ, зокрема - банків.

Учасників хакерської групи визнали винними в злочині по ч.2 ст. 361-1 Кримінального кодексу. Вірмейкерів засудили до п’яти років позбавлення волі з відстрочкою в три роки.

За повідомленням www.xakep.ru, Microsoft виплатила першу нагороду за уразливість в IE11.

18 червня компанія Microsoft оголосила про запуск трьох програм Microsoft Security Bounty, по яких компанія вперше у своїй історії обіцяє платити хакерам за інформацію про небезпечні уразливості у Windows 8.1 та Internet Explorer 11.

Старший стратег по інформаційній безпеці Microsoft Кеті Муссуріс пише в офіційному блозі, що хакерське співтовариство “з ентузіазмом” сприйняло нову програму виплат винагород. За перші два тижні її дії було подано “більше десяти заявок з описом уразливостей”, що більше ніж у два рази перевищує нормальний потік повідомлень про баги. Отже, 10 липня Microsoft прийняла рішення здійснити першу виплату.

Раніше я вже писав про програми винагород за уразливості від Microsoft. Компанія зрозуміла переваги таких програм і в червні запустила власні програми. Й результати не забарилися.

Сьогодні вийшла нова версія програми DAVOSET v.1.1. В новій версії:

• Додав логування.
• Покращив з’єднання з деякими серверами.
• Виправив підрахунок трафіку.

Також додав в readme.txt опис різних атак з використанням мого інструменту.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.rar.

В даній добірці експлоіти в веб додатках:

• OpenPLI v3.0 beta (OpenPLi-beta-dm7000-20130127-272) - Multiple Vulnerabilities (деталі)
• Raidsonic IB-NAS5220 and IB-NAS4220-B - Multiple Vulnerabilities (деталі)
• Ultra Mini HTTPD 1.21 - Stack Buffer Overflow Vulnerability (деталі)
• nginx 1.3.9/1.4.0 x86 Brute Force Remote Exploit (деталі)
• WinRM VBS Remote Code Execution Vulnerability (деталі)

18.05.2013

У квітні, 14.04.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

12.07.2013

Cross-Site Scripting (WASC-08):

http://site/path/images/js/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/path/images/js/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Content Spoofing (WASC-12):

http://site/path/images/js/swfupload/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E
http://site/path/images/js/swfupload/swfupload.swf?buttonImageURL=http://demo.swfupload.org/v220/images/logo.gif

Уразливі TinyMCE Image Manager 1.1 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Private Messages, Xorbin Analog Flash Clock та Xorbin Digital Flash Clock. Для котрих з’явилися експлоіти. WP Private Messages - це плагін для відправлення приватних повідомлень, Xorbin Analog Flash Clock - це аналоговий годинник на флеші, Xorbin Digital Flash Clock - це цифровий годинник на флеші.

• WordPress WP-Private-Messages SQL Injection (деталі)
• Xorbin Analog Flash Clock 1.0 For WordPress XSS (деталі)
• Xorbin Digital Flash Clock 1.0 For WordPress XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• SAP Portal PDC Information Disclosure (деталі)
• SAP SDM Denial of Service (деталі)
• Certain HP LaserJet Pro Printers, Unauthorized Access to Data (деталі)
• Stored Cross-site Scripting (’XSS’) in Airvana HubBub C1-600-RT Femtocell (деталі)
• Denial of Service vulnerability in War FTP Daemon 1.82 (деталі)

У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Content Spoofing (WASC-12):

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf

В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.

Full path disclosure (WASC-13):

http://site/wp-content/themes/iloveit/

FPD в index.php та інших php-файлах (в папці та підпапках).

Вразливі всі версії теми I Love It для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://korsunr.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gprda.gov.ua (хакерами з z3ran gaza hack3er tema) - 24.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivea.com.ua (хакером MMCF)
• http://eloplast.com.ua (хакером ghost-dz) - 13.02.2013, зараз сайт вже виправлений адмінами
• http://www.fanphone.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами

Виявлене переповнення буфера в nginx.

Уразливі версії: nginx 1.4.

Переповнення буфера при обробці відповіді сервера HTTP зазначеного в proxy_pass.

• nginx security update (деталі)

В даній добірці експлоіти в веб додатках:

• Zoom X4 / X5 SQL Injection / Authentication Bypass Vulnerabilities (деталі)
• TP-Link TL-WA701N / TL-WA701ND - Multiple Vulnerabilities (деталі)
• Edimax EW-7206-APg and EW-7209APg - Multiple Vulnerabilities (деталі)
• SikaBoom Remote Buffer overflow exploit (деталі)
• Apache CXF prior to 2.5.10, 2.6.7 and 2.7.4 - Denial of Service (деталі)