Websecurity - Веб безпека

29.12.2011

У жовтні, 20.10.2011, я знайшов Insufficient Anti-automation та Denial of Service уразливості на http://incom.ua - сайті секюріті компанії Інком. Дані уразливості є також на інших сайтах Інкома (на всіх піддоменах incom.ua, де використовується Джумла). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на it-consulting.incom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.10.2012

Insufficient Anti-automation:

http://incom.ua/images/CaptchaSecurityImages.php?width=150&height=100&characters=2

DoS:

http://incom.ua/images/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Дані уразливості досі не виправлені. Дірки в CaptchaSecurityImages - першу з них я оприлюднив ще в жовтні 2008, а другу оприлюднив в березні 2010. Але ні з часу мого оприлюднення дірок в цьому веб додатку та великій кількості веб додатків, що його використовують, ні після мого повідомлення адмінам Інкому, вони так і не виправили ці та багато інших уразливостей (на головному сайті та на всіх інших своїх сайтах).

За повідомленням www.xakep.ru, виявлена універсальна MitB-атака.

Компанія Trasteer знайшла “новий” спосіб викрадання приватних даних, який вона назвала “універсальною MitB-атакой” (Man-in-the-Browser). Як працює дана атака показано на відео.

За повідомленням ain.ua, донецька податкова оштрафувала інтернет-магазин за розрахунки доларами в WebMoney.

Співробітники податкової міліції в Донецьку оштрафували один з інтернет-магазинів за незаконне використання системи WebMoney. Претензії були як за проведення розрахунків у доларах (WMZ), так і за саме використання WebMoney. Загальна сума недонарахованих у бюджет коштів склала 400 тисяч грн.

У квітні в Києві податкова вже проводила обшуки в офісних приміщеннях онлайн магазинів Rozetka.ua і Sokol.ua. І цей новий випадок - це продовження цієї лінії ДПС. Додатковою причиною до закриття сайтів через обшук податкової чи штрафів від ДПС, окрім раніше згаданих причин, може бути й використання WebMoney, зокрема доларів (WMZ).

В тому числі це може й трапитися через взлом будь-якого е-комерс сайта і розміщення на ньому інформації про прийом електронних грошей (WebMoney чи інших), зокрема в доларах. Навіть якщо сам онлайн-магазин (чи будь-який інший е-комерс сайт) офіційно їх не приймає. Це є черговою причиною для всіх адмінів і власників е-комерс сайтів слідкувати за безпекою власних ресурсів, щоб не потрапити у таку ситуацію - щоб не було ні зайвих перевірок, ні закриття сайтів, ні штрафів.

За повідомленням www.xakep.ru, Яндекс почав платити за уразливості.

Як й деякі інші фірми, компанія “Яндекс” теж оголосила про введення програми по пошуку уразливостей з виплатою винагород. Програма називається “Полювання за помилками”.

Грошові призи складають від 3000 до 30000 руб., у залежності від серйозності виявленої уразливості. В особливих випадках розмір нагороди може бути збільшений. Взяти участь у програмі можуть хакери з будь-якої країни.

Раніше Яндекс недостатньо слідкував за безпекою своїх сайтів - про уразливості на яких я писав багато в попередні роки. Подивимося як компанія буде це робити зараз.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ideatrio.com.ua - інфекція була виявлена 09.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://politologs.org.ua - інфекція була виявлена 09.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kdc.kiev.ua - інфекція була виявлена 30.09.2012. Зараз сайт входить до переліку підозрілих.
• http://dana-kiev.com.ua - інфекція була виявлена 16.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://waldorf.in.ua - інфекція була виявлена 07.09.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Squid URL Filtering Bypass (деталі)
• ocPoral CMS 8.x | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• McAfee Web Gateway URL Filtering Bypass (деталі)
• ocPoral CMS 8.x | Session Hijacking Vulnerability (деталі)
• Vulnerabilities in expat (деталі)
• Admidio 2.3.5 Multiple security vulnerabilities (деталі)
• Cyberoam advisory (деталі)
• Group-Office Calendar SQL Injection (деталі)
• Avaya IP Office Customer Call Reporter ImageUpload Remote Code Execution Vulnerability (деталі)
• eFront Educational v3.6.11 - Multiple Web Vulnerabilities (деталі)

У вересні була виявлена та оприлюднена Cross-Site Request Forgery уразливість в WordPress. Яка стосується останньої версії WP. Вона була знайдена Akastep.

Раніше я вже писав про XSS, Redirector та CSRF уразливості в WordPress.

CSRF:

Дана уразливість в /wp-admin/index.php дозволяє відправити міжсайтовий запит залогіненому адміну та змінити RSS лінку на дошці оголошень.

• WordPress 3.4.2 Cross Site Request Forgery (деталі)

Уразливі WordPress 3.4.2 та попередні версії.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• BeEF
• Cross-origin resource sharing
• Timeline of computer security hacker history
• IT risk
• Information security

В підсумках хакерської активності в Уанеті в 1 півріччі 2012 я зазначав, що всього за цей період я виявив 98 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Adamant, Autocenter, BSB Service, Besthosting, Black Sea, CaroNet, Cityhost, Citynet, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Hvosting, Inetmar, Internet-Hosting, Keyweb Online, Lancom, Limestone Networks, Master-Service, MiroHost, NAU, Root, STC Energy, Service Online, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Terabit, Triolan, UARNet, UN, Ukrainehosting, Ukrnames, Volia, VolumeDrive, Webalta, Wnet, iHome, Візор, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Delta-X - 7 сайтів
2. Adamant - 6 сайтів
3. MiroHost - 5 сайтів
4. UARNet - 4 сайтів
5. Compubyte Limited - 4 сайтів
6. Besthosting - 4 сайтів
7. Internet-Hosting - 4 сайтів
8. Volia - 3 сайтів
9. Freehost - 3 сайтів
10. Укртелеком - 3 сайтів

Всього було виявлено хостінги 91 сайта з 98. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Підвищення привілеїв через динамічні бібліотеки, міжсайтовий скриптінг у mod_negotiation.

Раніше вже були XSS і HTTP Response Splitting уразливості у mod_negotiation, а зараз знайдена нова дірка в цьому модулі.

• Vulnerabilities in Apache (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wp-TopBar, Notices Ticker та Sociable. Для котрих з’явилися експлоіти. Wp-TopBar - це плагін для створення панелей на сторінках сайта, Notices Ticker - це плагін для створення приміток, Sociable - це плагін для додання соціальних функцій на сайт.

• WordPress Wp-TopBar 4.02 CSRF / XSS (деталі)
• WordPress Notices CSRF / XSS (деталі)
• WordPress Sociable Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в IBM SDK Java Technology Edition.

Уразливі версії: IBM SDK Java Technology Edition 6.0, IBM SDK Java Technology Edition 7.0.

Понад 10 різний уразливостей з виходом з обмеженого середовища.

• Security vulnerabilities in IBM Java (деталі)