Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• SAP NetWeaver SPML - XML CSRF user creation (деталі)
• Cross-site scripting (XSS) vulnerability in Webmin (деталі)
• redmine security update (деталі)
• SAP NetWeaver - Authentication bypass (Verb Tampering) (деталі)
• movabletype-opensource security update (деталі)
• myBloggie 2.1.6 SQL-Injection, Advanced INSERT INTO Injection technique (деталі)
• Javascript Injection in Microsoft Lync 4.0.7577.0 (деталі)
• JFreeChart - Path Disclosure vulnerability (деталі)
• EQDKP plus Cross Site Scripting and Bypass file extension (деталі)
• moodle security update (деталі)

Існує такий сервіс як AOS. AhnLab Online Security (AOS) - це повнофункціональне й економічно ефективне рішення для захисту віддалених банківських операцій. AOS являє собою браузер, що запускається автоматично, як тільки користувач підключається до системи інтернет-банкінга, і проводить ряд превентивних мір, таких як запобігання перехоплення паролів доступу і паролів підтвердження платежу, захист від підміни платіжних реквізитів, блокування вірусів та іншої хакерскої активності.

Таким чином, ця система здатна протистояти таким хакерським інструментам як ZUES - найбільш небезпечним, на сьогодні, шкідливим комплексам стосовно онлайн-транзакцій.

І з грудня 2010 року розробник AOS співпрацює з компанією Інком, про уразливий сайт якої я вже писав.

AhnLab Inc, постачальник інтегрованих рішень по забезпеченню інформаційної безпеки, оголосив про початок партнерських взаємин із системним інтегратором “Інком”. Головною задачею співробітництва є забезпечення українських компаній можливостями пропонувати своїм клієнтам безпечні сервіси інтернет-банкінга.

• AOS - сервис для безопасности интернет-банкинга (деталі)

Продовжуючи розпочату традицію, після попереднього відео про обхід аутентифікації через SQL Injection, пропоную нове відео на веб секюріті тематику. Цього разу відео про 50 шляхів для ін’єкції SQL. Рекомендую подивитися всім хто цікавиться цією темою.

50 Ways to Inject Your SQL

В даному відео ролику розповідається про SQL Injection уразливості. Це музичне відео (такий собі музичний кліп), в якому йдеться про 50 шляхів якими можна провести ін’єкцію SQL коду у веб додатках. І звертається увага веб розробників, що потрібно слідувати за даними, які передаються в SQL запиті .

У відео також показані приклади SQL Injection на різних сайтах. Рекомендую подивитися дане відео для розуміння векторів атак через SQL Injection.

19.10.2011

У липні, 11.07.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://incom.ua - сайті секюріті компанії Інком. Про що вже попередньо повідомляв представникам компанії (але вони забили на ці дірки) і найближчим часом детально сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Що цікаво, деякий час тому Інком завершив PCI DSS аудит сайта Альфа-Банка. При тому, що я ще торік знайшов численні дірки на www.alfabank.com.ua, про які неодноразово повідомляв представникам банка, але ні в минулому році, ні в цьому, вони так і не спромоглися виправити жодної дірки. Зате знайшли кошти на PCI DSS аудит . Зазначу, що навіть якщо вони виправлять дірки (виявлені в рамках PCI DSS аудиту) в своєму онлайн-банкінгу, все рівно залишиться можливість атак через головний домен, на якому багато уразливостей.

10.12.2011

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://incom.ua/administrator/

Дані уразливості досі не виправлені. Використавши Джумлу дирумлу на своєму сайті й при цьому не виправивши дірок в ній, Інком отримав чимало дірок (ці та інші уразливості). І встановлення WAF не виправило ситуації повністю, так як його, при бажанні, можна обійти, що я показав на прикладі цих двох дірок.

У листопаді, 17.11.2011, я виявив численні уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router). Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це другий advisory з серії записів про уразливості в продуктах D-Link. Попередній був про уразливості в D-Link DSL-500T ADSL Router.

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Predictable Resource Location:

http://192.168.0.50

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів та інших мережевих пристроїв, але D-Link в нових своїх пристроях почав змінювати цю ситуацію.

Для захисту від проблем з дефолтним паролем, D-Link зробили в адмінці наступне: при першому заході в адмінку обов’язково потрібно змінити пароль. Тобто перед тим як почати змінювати налаштування, потрібно буде змінити пароль по замовчуванню. І подібний підхід потрібно використовувати всім виробникам мережевих пристроїв. Але Windows-додаток для конфігурування пристрою, що постачається на CD, не змінює пароля, лише змінює інші налаштування точки доступа. Таким чином можна налаштувати пристрій, при цьому залишивши дефолтний пароль, що залишить пристрій вразливим до атак.

Brute Force:

В формі логіна http://192.168.0.50 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF уразливості в панелі керування, про які я розповім згодом.

За повідомленням www.xakep.ru, Imperva прогнозує тенденції в сфері кібер-безпеки на 2012 рік.

Іmperva анонсувала свої прогнози з приводу тенденцій у сфері кібер-безпеки на 2012 рік. Це аналітичне дослідження покликане допомогти компаніям захистити себе від загрози з боку хакерів та інсайдерів.

У дев’ятку ведучих трендів кібер-безпеки на 2012 рік увійшли:

• SSL виявиться під перехресним вогнем.
• HTML 5 виходить у світ.
• DDoS-атаки продовжать удосконалюватися.
• Спільна робота і його “злий двійник”.
• NoSQL = немає безпеки?
• Зірвано покрив з консумерізації IT.
• Анти-соціальні ЗМІ.
• Збільшення кількості “людей-посередників”.
• “Безпека” перемагає “відповідність”.

За повідомленням www.xakep.ru, у Конго задефейсили Google, Gmail, Youtube, Yahoo, Apple.

Хакер з ніком AlpHaNiX задефейсив домени Google, Gmail, Youtube, Yahoo, Apple і т.д. у Конго. Він використовував тактику отруєння кеша DNS. На початку року в статті Атака через захоплення домену я вже розповідав про такі атаки.

Список взломаних сайтів: http://apple.cd, http://yahoo.cd, http://gmail.cd, http://google.cd, http://youtube.cd, http://linux.cd, http://samsung.cd, http://hotmail.cd, http://microsoft.cd.

За повідомленням www.xakep.ru, Veracode: 80% додатків не є безпечними.

80% додатків як і раніше не є досить безпечними, і помилки в коді можуть зробити біля половини всіх додатків для Android небезпечними, відповідно до останньої доповіді компанії Veracode.

Четверта доповідь State of Software Security Report охопив близько 10 000 додатків - що в два рази більше, ніж у попередньому звіті - і в ньому були застосовані більш строгі критерії аналізу. Близько 8 з 10 додатків не відповідають прийнятим стандартам, відповідно до доповіді, що констатував наявність міжсайтового скриптінга в 68% усіх веб-додатків і SQL Injection уразливості в третині з них.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://mkt.od.ua (хакером FeeLCoMz) - 30.09.2011

Файли, що використовуються для RFI атак:

http://mkt.od.ua/e107_files/downloads/fx29id1.txt - файл все ще розміщений на сайті.

В даній добірці уразливості в веб додатках:

• SAP NetWeaver J2EE MeSync – information disclose (деталі)
• vBulletin - Multiple Open Redirects (деталі)
• subversion security update (деталі)
• SAP NetWaver Virus Scan Interface - multiple XSS (деталі)
• PopScript Multiple Vulnerabilities (деталі)
• rails security update (деталі)
• Squiz Matrix - Cross-Site Scripting Vulnerability (деталі)
• SAP NetWeaver TH_GREP module - Code injection vulnerability (NEW) (деталі)
• Multiple Cross-Site Scripting vulnerabilities in BLOG:CMS (деталі)
• fex security update (деталі)

У квітні, 24.04.2011, я виявив численні уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це перший advisory з серії записів про уразливості в продуктах D-Link.

При цьому даний модем я використовую в офісі ще з жовтня 2005, тому по суті про PRL та BF уразливості мені відомо ще з тих пір, а вже стосовно CSRF я перевірив в квітні цього року. Коли почав досліджувати питання безпеки ADSL модемів (і різних роутерів та інших мережевих пристроїв), зокрема ADSL модема Callisto 821+, про численні уразливості в якому я вже розповідав. Дані три уразливості аналогічні діркам в Iskra Callisto 821+.

Predictable Resource Location:

http://192.168.1.1

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але той же D-Link в нових своїх пристроях почав змінювати цю ситуацію, про що я розповім стосовно іншого пристрою цієї компанії. Але при цьому провайдери повинні вносити зміни, хоча той же Укртелеком цього не робить в модемах Callisto (що він надає своїм клієнтам). При цьому Інтертелеком, що надав нам в аренду цей DSL-500T, як раз змінив дефолтний пароль в адмінці.

Brute Force:

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в панелі керування. Які цілком можуть бути в ній, що я можу сказати виходячи з уразливостей в іншому пристрої D-Link, який я купив в листопаді 2011, а також по діркам в Callisto 821+ (тому що дірки в адмінках модемів і роутерів дуже поширені).

В статті Атака через браузер. Анализ вредоносных Flash-объектов и документов в формате PDF розповідається про сучасні атаки через браузери (сайт журнала в даний момент не працює із-за технічних робіт, тому статтю слід шукати на інших сайтах в Мережі). Зокрема через плагіни до браузерів, такі як Adobe Acrobat та Adobe Flash.

В даній статті розглянуті наступні аспекти атак через плагіни до браузерів:

• Введення.
• Аналіз шкідливих файлів.
• Приклад 1. PDF + JavaScript.
• Приклад 2. SWF.
• Приклад 3. PDF + SWF.
• Висновки.

Використання уразливостей в популярних плагінах до браузерів, таких як Acrobat і Flash, в останні роки стало одним з найбільш популярних напрямків атак на користувачів Інтернету. Окрім шкідливих pdf і swf файлів, також використовуються комбіновані експлоіти, такі як флеш-контент у pdf-файлі.