Websecurity - Веб безпека

Сьогодні вийшла нова версія програми DAVOSET v.1.0.8. В новій версії:

• Додав підтримку POST запитів.
• Додав новий сервіс в обидва списки зомбі.
• Виправив баг з введенням URL сайта.

З доданням підтримки POST запитів до уразливих сайтів, також був змінений формат файлів зі списками зомбі-сервісів. Новий формат файла зворотно сумісний з попереднім форматом.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.8.rar.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Linksys WRT160Nv2 (деталі)
• Multiple Vulnerabilities in Linksys WAG200G (деталі)
• Multiple Vulnerabilities in Linksys E1500/E2500 (деталі)
• Sony Playstation Vita Browser - firmware 2.05 - Adressbar spoofing (деталі)
• RSA Archer GRC Multiple Vulnerabilities (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://security.af.gov.ua (хакером LaMiN3 DK) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.af.gov.ua (хакером ghost-dz) - 09.02.2013 - похаканий державний сайт
• http://www.red-scorpio.com (хакером Hmei7) - 25.01.2013, зараз сайт вже виправлений адмінами
• http://kreditnalichnimi.com.ua (хакерами з IndonesianCoder Team) - 31.01.2013, зараз сайт вже виправлений адмінами
• http://chip.ua (хакерами UmiT і Spaut) - 21.06.2013, зараз сайт вже виправлений адмінами

Виявлена можливість проведення DoS атаки проти pymongo - бібліотеки Python для роботи з MongoDB.

Уразливі версії: pymongo 2.5.

Звертання по нульовому вказівнику.

• pymongo security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-SendSMS, NextGEN Gallery та Ultimate WordPress Auction. Для котрих з’явилися експлоіти. WP-SendSMS - це плагін для відправки смс-повідомлень, NextGEN Gallery - це плагін для створення галерей зображень, Ultimate WordPress Auction - це плагін для створення аукціону.

• WordPress WP-SendSMS 1.0 CSRF / XSS (деталі)
• NextGEN Gallery 1.9.12 Shell Upload (деталі)
• Ultimate WordPress Auction 1.0 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

На початку року відбувся другий масовий взлом сайтів на сервері Hvosting. Він тривав у 2010-2013 роках: 08.08.2010, від 22.04.2011 до 29.07.2011 та від 26.12.2012 до 15.04.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів. Раніше я писав про повторний масовий взлом сайтів на сервері Hvosting.

Всього було взломано 23 сайти на сервері хостера Hvosting (IP 91.200.40.48). Це наступні сайти: www.skylight.od.ua, oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua, bioenergy.in.ua, sugarbeet.gov.ua, gora1if.com, gora1-if.com, astravel.od.ua, cmyk.od.ua, kitejgrad.com, notary-odessa.com.ua, richgroup.com.ua, rooms.od.ua, sfvid.com.ua, stem.od.ua, yellowboards.od.ua, web-master4ree.com, sport-sklad.net.ua, zipstyle.com.ua, xdddd.ru, oriflame-fantastic.ru, do.xdddd.ru, berezneguvate.com.ua. Серед них українські державні сайти oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua і sugarbeet.gov.ua.

З зазначених 23 сайтів 2 сайти були взломані хакером Hmei7, 4 сайти хакерами з Ashiyane Digital Security Team, 9 сайтів хакером erreur404 та по 1 сайту хакерами misafir, Sejeal, tn_hacker, xugurx, 1923Turk, K-N-S, iskorpitx та AHG.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

В даній добірці експлоіти в веб додатках:

• Telnet-Ftp Service Server 1.0 Directory Traversal (деталі)
• MS13-009 Microsoft Internet Explorer COALineDashStyleArray Integer Overflow (деталі)
• MoinMoin twikidraw Action Traversal File Upload Vulnerability (деталі)
• TP-Link Print Server TL PS110U - Sensitive Information Enumeration (деталі)
• Baby FTP Server 1.24 - Denial Of Service (деталі)

В 2011 році я вже писав про Content Spoofing в Moxieplayer, що є складовою частиною плагіна Media для TinyMCE (він входить в ядро TinyMCE). Даний візуальний редактор постачається з багатьма веб додатками, зокрема з WordPress. Ця флешка постачається з WP починаючи з версії 3.3.

Раніше я вже писав про Denial of Service в WordPress.

Content Spoofing (WASC-12):

Якщо попередня уразливість виглядала наступним чином (починаючи з TinyMCE 3.4b2 і в версії 3.4.7 вона була виправлена):

http://site/moxieplayer.swf?url=http://site2/1.flv

То нещодавно була виявлена нова уразливість, що дозволяє обійти захист і провести CS атаку:

http://site/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії TinyMCE 3.4b2 - 4.0b3. В червні ця уразливість була виправлена. Оновлена версія Moxieplayer присутня в TinyMCE 4.0.

В WordPress атака з використанням цієї флешки має наступний вигляд.

Попередній варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.4.2.

Новий варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.5.1. Цю уразливість виправили в WP 3.5.2.

Виявлена недостатня перевірка https в python-httplib - пакеті для Python.

Уразливі версії: python-httplib 2.

Сертифікат валідується тільки на першому запиті.

• Vulnerability in python-httplib2 (деталі)

В презентації Web Security Horror Stories, Simon Willison розповідає про різноманітні уразливості у веб додатках та їх ризики. Та наводить приклади успішних атак на популярні сайти з використанням цих уразливостей. Зокрема він розповів про XSS, CSRF, SQL Injection та Clickjacking, а також торкнувся атак пов’язаних з Flash, PDF і JSON.