Websecurity - Веб безпека

18.05.2009

У вересні, 17.09.2008, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://intv-inter.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

23.12.2011

SQL Injection:

http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='%20or%201='1
http://intv-inter.net/tv/programm/?id=7429146&act='%20or%201='1&channel=1plus1
http://intv-inter.net/radio/ch/?id=-1'%20or%201='1
http://intv-inter.net/tv/channel/intv/?id=-1%20or%201=1

XSS (IE):

http://intv-inter.net/tv/programm/?id=7429146&act=tvp&channel='style='xss:expression(alert(document.cookie))
http://intv-inter.net/tv/programm/?id=7429146&act='style='xss:expression(alert(document.cookie))'&channel=1plus1
http://intv-inter.net/tv/programm/?id='style='xss:expression(alert(document.cookie))'&act=tvp&channel=1plus1

Дані уразливості вже виправлені шляхом заміни движка сайта. Змінили один дірявий движок на інший дірявий (про уразливості в DLE я вже писав неодноразово).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Featurific For WordPress, Enable Latex та Meenews. Для котрих з’явилися експлоіти. Featurific For WordPress - це плагін, що являє собою інтерфейс до Featurific Free, Enable Latex - це плагін для включення LaTeX формул в записи, Meenews - це плагін для створення розсилок та управління списками підписчиків.

• Wordpress featurific-for-wordpress plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress enable-latex plugin Remote File Include Vulnerabilities (деталі)
• Wordpress meenews 5.1 plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За інформацією http://antifa.zp.ua, 04.06.2011, запорізькі антифашисти провели DDoS атаку на 27 сайтів. Це неонацистські сайти, що розміщені на одному сервері.

Торік 161 Kozak City Hack Team вже проводили подібну атаку на цей сервер (на 8 сайтів на ньому), а цього року вони повторили атаку - при цьому вона заторкнула більше сайтів (мабуть за рік на сервері збільшилася кількість подібних сайтів). DDoS атака тривала як мінімум на протязі червня.

Були атаковані наступні сайти: www.sol-krest.org, nsportal.org.ua, nswap.info, hvatitbuhat.info, biblioteka.nswap.info, links.nswap.info, ntz.org.ua, sxe.ukrright.info, www.acab.in.ua, rus-imperium.info, orientyry.com, murman.sumno.com, chat.nswap.info, nord.nswap.info, rediski.org, zentr.org, 1may.org.ua, ukrright.info, gb.nswap.info, untp.org.ua, rafront.org, redscum.info, rne-rusi.org, nsi14.info, raum88.nswap.info, divizion24.nswap.info, inv.org.ua.

У грудні місяці Microsoft випустила 13 патчів. Що значно більше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів по безпеці. Що закривають 13 уразливостей в програмних продуктах компанії. З них три патчі закривають критичні уразливості, а інші десять патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та Windows Media Player.

В даній добірці уразливості в веб додатках:

• Trend Micro Control Manager CasLogDirectInsertHandler.cs Remote Code Execution Vulnerability (деталі)
• Zones Web Solution (index.php?manufacturers_id) Remote SQL injection Vulnerability (деталі)
• Funnel Web (items.php?&cat_id) Remote SQL injection Vulnerability (деталі)
• pango 1.0 security update (деталі)
• Funnel Web (directory.php?cid) Remote SQL injection Vulnerability (деталі)
• Funnel Web (selected_product.php?t) Remote SQL injection Vulnerability (деталі)
• HP StorageWorks P4000 Virtual SAN Appliance, Execution of Arbitrary Code (деталі)
• iPhotoAlbum v1.1 (header.php) Remote File Include Vulnerability (деталі)
• Softerra Time-Assistant <= 6.2 (inc_dir) Remote File Inclusion Vulnerability (деталі)
• DrakeCMS multiple vulerabilities (деталі)

В презентації General Principles of Web Security, Justin Emond розповідає про загальні принципи веб безпеки. Про SQL iн’єкції, міжсайтовий скриптінг та загальні погляди на безпеку при розробці веб додатків.

У листопаді, 28.11.2008, я знайшов Cross-Site Scripting та Redirector уразливості на сайті http://img.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на translate.meta.ua.

XSS (Strictly social XSS):

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://img.meta.ua/mclick.asp?go=http://websecurity.com.ua

Про цей редиректор я вже писав в 2009 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у листопаді 2008 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

Виявлені численні уразливості безпеки в серії програмних продуктів Websense. Випускати вразливі додатки є типовим для секюріті компаній, в цьому вони не відрізняються від інших компаній виробників ПЗ. Зокрема це стосується Websense, про уразливості в програмах якої я вже неодноразово писав.

Уразливі продукти: Websense Web Security Gateway Anywhere v7.6, Websense Web Security Gateway v7.6, Websense Web Security v7.6, Websense Web Filter v7.6.

Виконання коду, міжсайтовий скриптінг.

• Websense Triton 7.6 - Authentication bypass in report management UI (деталі)
• Websense Triton 7.6 - Stored XSS in report management UI (деталі)
• Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - Reflected XSS in report management UI (деталі)

У грудні, 10.12.2011, я знайшов Certificate Spoofing уразливість в браузері Google Chrome для Android. Яку я виявив на своєму планшеті з Android 2.3.3. Про що вже сповістив розробників.

Можна викрадати сертифікати від інших сайтів через iframe. Тому я назвав атаку Certificate Stealing. Причому це можна робити не тільки для https, але й для http сайтів. Як видно з моїх скріншотів, http сайт (мій) отримав сертифікат від https сайта (Google).

PoC скріншоти:

Google Chrome for Android-1.jpg
Google Chrome for Android-2.jpg
Google Chrome for Android-3.jpg
Google Chrome for Android-4.jpg
Google Chrome for Android-5.jpg

№1 - Відкрити веб сайт з iframe, що вказує на інший сайт.
№2 - Вибрати Page info в контекстному меню.
№3 - В вікні буде кнопка “View certificate”, якої там бути не повинно, тому що це http сайт.
№4, №5 - Поточний сайт має валідний сертифікат іншого сайта.

Уразливі Google Chrome для Android 2.3.3 та попередні версії (та потенційно наступні версії).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mytv.ua - інфекція була виявлена 23.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://bel-trans.com.ua - інфекція була виявлена 23.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://legionfort.com.ua - інфекція була виявлена 09.12.2011. Зараз сайт входить до переліку підозрілих.
• http://yaposhka.kh.ua - інфекція була виявлена 06.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://ukr-lider.com.ua - інфекція була виявлена 27.10.2011. Зараз сайт не входить до переліку підозрілих.