Websecurity - Веб безпека

За повідомленням www.xakep.ru, drive-by завантаження на популярних сайтах: статистика.

Компанія Barracuda Labs протягом лютого провела автоматичне сканування 25000 самих популярних сайтів Інтернету на предмет drive-by експлоітів.

Результати сканування можна назвати неоднозначними. З одного боку, протягом місяця шкідливого ПЗ не було ні на одному з 1000 самих популярних сайтів. З іншого боку, ситуацію ніяк не назвеш райдужною: за місяць експлоіти типу drive-by виявилися на 58 доменах. Фактично, кожний календарний день хоча б один сайт був заражений.

За повідомленням www.itsec.ru, експерти говорять про небезпеку “соціо-ботів”.

Згідно результатам останнього дослідження, проведеного фахівцями з канадського Університету Британської Колумбії у Ванкуверу, так звані “соціальні боти” - програми, створені для імітації поводження людей у соціальних мережах, здатні ефективно викрадати персональні дані користувачів. Так, в одній лише Facebook канадські дослідники за допомогою “соціо-ботів” одержали майже 250 гігабайт інформації про користувачів цієї мережі.

Двомісячне дослідження проводилося з метою визначити, наскільки уразливі соціальні мережі та їхні користувачі перед обличчям масштабних операцій, пов’язаних з викраденням особистих даних. Як можна зрозуміти з отриманих 250 гігабайт даних, дуже уразливі.

За повідомленням www.xakep.ru, двоскладні паролі, посилені за допомогою CAPTCHA.

Приблизно рік тому група вчених - Костянтин Кладко, Сергій Флах і Тетяна Лаптєва - з Інституту фізики складних систем суспільства Макса Планка в Дрездені опублікували наукову працю, в якій запропонували інноваційне рішення “проблеми простих паролів”. Ідея полягає в наступному. Замість того, щоб змушувати користувача запам’ятовувати великий набір символів, довгий пароль розбивається на дві частини.

При цьому від користувача потрібно запам’ятати тільки першу частину, а друга частина генерується автоматично і кодується у виді CAPTCHA, причому досить хитрої - заснованої на фізичних даних від двовимірної динамічної системи, близької до фазового переходу.

В даній добірці уразливості в веб додатках:

• Mozilla Foundation Security Advisory 2012-11 (libpng integer overflow) (деталі)
• Family Connections 2.7.2 Multiple XSS (деталі)
• XSS in OneOrZero AIMS (деталі)
• appRain CMF <= 0.1.5 (uploadify.php) Unrestricted File Upload Vulnerability (деталі)
• Webcalendar 1.2.4 ‘location’ XSS (деталі)
• Apache MyFaces information disclosure vulnerability (деталі)
• eFront Community++ v3.6.10 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - File Include Vulnerabilities (деталі)
• OnxShop CMS v1.5.0 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - SQL Injection Vulnerabilities (деталі)

В лютому була виявлена та оприлюднена у березні SQL Injection уразливість (обмежена до Information Leakage) в WordPress. А також цікава можливість виявлення кількості користувачів на сайті (через той же вразливий функціонал). Вони були знайдені HauntIT.

Раніше я вже писав про DoS уразливість в WordPress.

SQL Injection (Information Leakage):

Дана уразливість в profile.php в параметрі user_id дозволяє зареєстрованому користувачу з правами Subscriber та вище провести SQL Injection атаку. Вона обмежена лише можливістю отримати імена користувачів в системі, тобто це Information Leakage.

• WordPress 3.3.1 Post-Auth SQL Injection (деталі)
• WordPress 3.3.1 User Count Enumeration (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

Продовжуючи розпочату традицію, після попереднього відео про атаку через ActiveX в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про Address Bar Spoofing в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Google Chrome Location Bar Spoofing

В ролику демонструється Address Bar Spoofing уразливість в браузері Google Chrome. Дана уразливість дозволяє підробити URL в адресному рядку браузера (що може бути використано для проведення фішинг атак). Спочатку в адресному рядку відображається одна адреса, а потім у вікні завантажується інший сайт (при збереженні адреси попереднього сайта).

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявленні численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 7, JRE 7.

19 різних уразливостіей, у тому числі з можливістю доступу до файлів і виконання коду.

• Security vulnerabilities in Java SE (деталі)

В даній добірці уразливості в веб додатках:

• Integer overflow in libpng, as used in Google Chrome before 17.0.963.56 (деталі)
• PHP code Injection in Kayako Support Suite (деталі)
• Information disclosure in Kayako Support Suite (деталі)
• Cross-Site Scripting in Kayako Support Suite (деталі)
• openttd security update (деталі)
• Integer signedness error in libpng, as used in Google Chrome before 17.0.963.83 and other products (деталі)
• ATutor 2.0.3 Multiple XSS vulnerabilities (деталі)
• BoltWire 3.4.16 Multiple XSS vulnerabilities (деталі)
• phpVideoPro Multiple XSS vulnerabilities (деталі)
• Beehive Forum 101 Multiple XSS vulnerabilities (деталі)

В WordPress 2.9, що вийшла 19.12.2009, як було заявлено розробниками системи, зокрема була виправлена Abuse of Functionality уразливість в WordPress. Що могла привести до DoS, а в деяких випадках до повного захоплення сайта (при наявності інсталятора на сайті). Розробники WP заявили, що вони зробили автоматичне виправлення таблиць в БД.

Але 24.03.2012 я знайшов Denial of Service уразливість в даному секюріті функціоналі движка, а потім також перевірив, що виправлення таблиць в БД не є автоматичним. Тільки адмін сайта, коли виявить, що його сайт не працює, понен сам вручну запустити виправлення таблиць (і щоб не використовувати інші програми, до WP був доданий зручний скрипт). Тобто AoF уразливість, про яку я писав в травні 2009, так виправлена не була. І все ще можливе проведення атак через неї.

В WP 2.9 і вище, скрипт repair.php - це захист проти моєї атаки на WP через атаку на MySQL. Який сам має DoS уразливість.

Раніше я вже писав про XSS та FPD уразливості в WordPress.

DoS:

Постійно відправляючи запити до скрипта http://site/wp-admin/maint/repair.php (функції “Repair Database” та “Repair and Optimize Database”) можна створити велике навантаження на сайт (і увесь сервер). І чим більше даних в БД сайта, тим більше навантаження від кожного запиту.

http://site/wp-admin/maint/repair.php?repair=1&_wpnonce=a4ca36d5ff
http://site/wp-admin/maint/repair.php?repair=2&_wpnonce=a4ca36d5ff

Атака спрацює лише при увімкненому WP_ALLOW_REPAIR в wp-config.php. Захист від CSRF (токенами) обходиться тим, що для використання цього функціоналу не потрібна авторизація. Тому можна віддалено отримати _wpnonce та провести DoS атаку.

Якщо до раніше згаданої AoF вразливі всі версії WordPress, то до DoS вразливі версії 2.9 - 3.3.1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uecr.gov.ua (хакером Over-X) - 16.01.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kostopil-rada.gov.ua (хакером SouTHRaNDA) - 11.02.2012 - похаканий державний сайт, адмінка сайта все ще дефейснута
• http://invtur.com.ua (хакерами з S.V Crew) - 03.2012, зараз сайт вже виправлений адмінами
• http://сходница.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт не працює (на цьому домені)
• http://dspdesign.rv.ua (хакером Edo) - 08.04.2012

20.12.2011

У листопаді, 25.11.2011, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті https://www.allmoney.com.ua (іших дірок там також вистачає). Про що найближчим часом сповіщу адміністрацію сайта.

ALLmoney - це електронна платіжна система. При цьому з численними уразливостями на сайті. Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на easypay.ua.

Раніше на цьому домені знаходився дірявий сайт обмінника www.allmoney.com.ua, про одну зі знайдених мною уразливостей в якому я вже писав. В 2009 році вони продали домен і купили для свого обмінника новий домен. А нові власники allmoney.com.ua з часом запустили на ньому свою ЕПС, при цьому продовживши старі “діряві традиції”.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.04.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

IAA:

В даній формі немає захисту від автоматизованих запитів (капчі).

https://www.allmoney.com.ua/reg/recover.php

Дані уразливості досі не виправлені. Що дуже несерйозно для електронної платіжної системи.

В лютому були виявлені та оприлюднені у березні Cross-Site Scripting та Full path disclosure уразливості в WordPress. Вони були знайдені HauntIT.

Раніше я вже писав про Persistent XSS уразливість в WordPress.

XSS (persistent):

Дана уразливість в post.php дозволяє зареєстрованому користувачу з правами Editor та вище провести Persistent XSS атаку. XSS код можна розмістити в полі content і він виконається на індексній сторінці та сторінці запису. Якщо для адміна підтримка всіх тегів - це звичайна практика і стандартний функціонал, то для Editor контент повинен бути обмежений. І вбудовані анти-XSS фільтри обмежують деякі вектори атак для менших ролей в системі, але не всі вектори й фільтри можуть бути обійдені.

FPD:

http://site/wp-admin/media-upload.php?type=image&tab=’&post_id=1

Одна з багатьох FPD в адмінці (про багато інших в попередніх версіях WP я писав раніше) - це уразливість в media-upload.php.

• WordPress 3.3.1 Post-Auth Cross Site Scripting (деталі)
• WordPress 3.3.1 Post-Auth Information Disclosure (деталі)

Уразливі WordPress 3.3.1 та попередні версії.