Websecurity - Веб безпека - Безпека веб-додатків та веб-систем

Веб додатки на інфікованих сайтах

16:23 24.09.2012

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2012, я згадував, що в першому півріччі було інфіковано 98 сайтів (з них 9 державних сайтів).

Всі ці сайти в основному використовують опенсорс веб додатки. На це я весь час звертав увагу в під час досліджень взломаних та інфікований сайтів, та вирішив провести детальне дослідження, щоб підтвердити свої спостереження.

Учора я провів дослідження 98 сайтів, що були інфіковані в першому півріччі 2012 року, і на 41 сайті вдалося виявити движки. Частина з 98 сайтів вже не працювала (у деяких домен не працював, у деяких хостер тимчасово заблокував сайт), декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти (що також опенсорс веб додатки, лише custom made).

На перевірених сайтах використовуються наступні движки:

Joomla - 21
WordPress - 7
DataLife Engine - 4
osCommerce - 2
WebAsyst Shop-Script - 2
Danneo CMS - 1
Drupal - 1
Megapolis.Portal Manager - 1
phpWebSite - 1
Serendipity - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на 23.09.2012) відкриті веб програми.

Опубліковано в Дослідження | Без Коментарів »

Уразливості в плагінах для WordPress №68

23:51 22.09.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Forum, Cloudsafe365 та HD Webplayer. Для котрих з’явилися експлоіти. Simple Forum - це плагін для створення форуму, Cloudsafe365 - це секюріті плагін (і при цьому дірявий, як й інші плагіни для WP), HD Webplayer - це флеш відео плеєр.

WordPress Simple Forum Shell Upload (деталі)
WordPress Cloudsafe365 Local File Inclusion (деталі)
WordPress HD Webplayer 1.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Опубліковано в Новини сайту, Уразливості | Без Коментарів »

Новини: витік даних користувачів Apple, черговий взлом Sony та діра в Oracle

22:46 22.09.2012

За повідомленням www.xakep.ru, видавець BlueToad визнав, що базу Apple UDID украли в них.

Четвертого вересня з’явилася інформація, що хакери вкрали дані 12 мільйонів користувачів Apple. Тоді члени хакерської групи AntiSec повідомили у своєму Twitter-блозі про викрадення з комп’ютера ФБР більш 12 мільйонів ідентифікаційних номерів UDID пристроїв Apple разом з іншими персональними даними про власників цих пристроїв.

Спочатку Apple і ФБР виступили із запереченнями. Компанія Apple категорично спростувала припущення, що вона передала у ФБР номери UDID своїх користувачів. А прес-служба ФБР опублікувала заяву про відсутність доказів того, що база украдена саме в них, а також того, що ФБР узагалі коли-небудь, мало подібну інформацію. А вже через тиждень виконавчий директор американської компанії BlueToad зізнався в ефірі телеканала NBC, що це його компанія допустила витік бази даних ідентифікаторів Apple UDID, що була частково опублікована в онлайні.

За повідомленням ura-inform.com, імена 400 клієнтів Sony потрапили до хакерів.

Компанія Sony заявила, що хакери одержали доступ до імен і адрес електронної пошти клієнтів її мобільного підрозділу.

3 вересня хакери з групи NullCrew оголосили у своєму микроблозі про злом Sony. Вони опублікували адреси електронної пошти і логіни десятків користувачів, а також кілька паролів, що нібито належать адміністраторам взломаного сервера. У коментарі до документа хакери заявили, що це тільки один з восьми серверів Sony, що знаходяться під їх контролем.

Це черговий взлом Sony. Схоже, що після трьох минулорічних взломів компанія нічого не навчилася і все ще недостатньо слідкує за безпекою.

За повідомленням www.xakep.ru, два роки дірі в протоколі аутентифікації Oracle Database с 10.1 до 11.2.

Нещодавно на конференції по безпеці Ekoparty була представлена proof-of-concept утиліта підбора паролів для Oracle Database. Розробник Естебан Файо знайшов уразливість у протоколі аутентифікації Oracle і повідомив компанію про неї в травні 2010 року. Oracle закрила уразливість у середині 2011 року, але не включила патч у критичний апдейт, а випустила нову несумісну версію протоколу аутентифікації для Oracle Database 12, у той час як у старих версіях Oracle Database від 10.1 до 11.2 уразливість залишилася незакритою й досі.

Опубліковано в Новини | Без Коментарів »

Похакані сайти №203

19:13 22.09.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

http://tcso.gov.ua (хакером VirusDuba) - 20.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
http://khkr.gov.ua (хакером MeGo) - 07.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
http://kava.vn.ua (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
http://www.ekstramed.com.ua (хакером Hmei7) - 11.07.2012, зараз сайт вже виправлений адмінами
http://privat-agent.if.ua (хакером aLLiGaToR) - 01.09.2012, зараз сайт вже виправлений адмінами. До речі, це сайт агента ПриватБанк (і за безпекою він слідкує так само як і ПБ)

Опубліковано в Новини сайту, Дослідження | Без Коментарів »

Вийшли PHP 5.3.17 та PHP 5.4.7

17:29 22.09.2012

У вересні, 13.09.2012, вийшли PHP 5.3.17 та PHP 5.4.7. В яких виправлено більше 20 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Опубліковано в Новини, Програми | Без Коментарів »

Уразливості на iss.incom.ua та it-consulting.incom.ua

23:53 21.09.2012

У жовтні, 20.10.2011, я знайшов нові уразливості на http://iss.incom.ua та http://it-consulting.incom.ua. Це Insufficient Anti-automation та Denial of Service уразливості на сайтах секюріті компанії Інком. Я вже писав про аналогічні уразливості на incom.ua (вони є також на інших сайтах Інкома). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на iss.incom.ua.

Детальна інформація про уразливості з’явиться пізніше.

Опубліковано в Уразливості | Без Коментарів »

Інфіковані сайти №134

22:48 21.09.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

http://dobrostroy.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
http://kishta.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.
http://megasuperomatic.com - інфекція була виявлена 21.09.2012. Зараз сайт входить до переліку підозрілих.
http://insel.kiev.ua - інфекція була виявлена 12.09.2012. Зараз сайт не входить до переліку підозрілих.
http://muzfan.in.ua - інфекція була виявлена 25.07.2012. Зараз сайт не входить до переліку підозрілих.

Опубліковано в Новини сайту, Дослідження | Без Коментарів »

Вийшов Google Chrome 21

19:25 21.09.2012

У липні, 31.07.2012, більше ніж через місяць після виходу Google Chrome 20, вийшов Google Chrome 21.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 15 уразливостей, з яких 1 позначена як критична, 6 - небезпечні, 5 - помірні і 3 - незначні.

Уразливості, знайденій в коді обробки вкладок, привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера. Зазначена критична уразливість виявлена співробітником Google і проявляється тільки на платформі Linux. З уразливостей, що мають статус небезпечних, можна відзначити цілочисленне переповнення, вихід за границі буфера і звертання до вже звільненої пам’яті у вбудованому переглядачі PDF, переповнення буфера в декодувальнику WebP, звертання до звільненого блоку пам’яті в коді CSS DOM.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Релиз web-браузера Chrome 21 (деталі)

Опубліковано в Новини, Програми | Без Коментарів »

CSRF та XSS уразливості в IFOBS

17:11 21.09.2012

01.06.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Cross-Site Request Forgery та Cross-Site Scripting. Це третя порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.09.2012

Це наступні 35 уразливостей в IFOBS: 1 CSRF та 34 XSS.

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force в формі логіна (http://site/ifobsClient/loginlite.jsp), згадану раніше, також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.

Cross-Site Scripting (WASC-08):

http://site/ifobsClient/regclientalerts.jsp?labelname=%3Cscript%3Ealert(document.cookie)%3C/script%3E

POST запит на сторінці http://site/ifobsClient/regclientform.jsp параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerialpassportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerialtempDocNumber, tempDocSerial, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

Розробники системи проігнорували і не виправили дані уразливості.

Опубліковано в Уразливості | Без Коментарів »