Websecurity - Веб безпека

У жовтні місяці Microsoft випустила 8 патчів. Що більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. З них два патчі закривають критичні уразливості, а інші шість пачтів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, .NET Framework і Silverlight, Forefront UAG та Host Integration Server.

21.02.2011

У січні, 09.01.2011, після знаходження уразливостей на сайтах спецслужб sbu.gov.ua та dsszzi.gov.ua, я знайшов Information Leakage та SQL Injection уразливості на http://acsk.uss.gov.ua - сайті державного підприємства “Українські спеціальні системи” (УСС). Про що найближчим часом сповіщу адміністрацію сайта.

УСС - це ще один державний орган, секюріті напрямку. Підприємство надає послуги електронного цифрового підпису та видає сертифікати.

Детальна інформація про уразливості з’явиться пізніше.

26.10.2011

Information Leakage:

http://acsk.uss.gov.ua:8080

http://acsk.uss.gov.ua:8080/ca/a

Витік інформації про версію та стара версія СУБД.

SQL Injection:

http://acsk.uss.gov.ua:8080/ca/a?a=1

Визов довільних процедур з довільними параметрами.

Дані уразливості вже виправлені (шляхом обмеження доступу до СУБД). Але Basic Authentication вразлива до Brute Force атак.

Продовжуючи тему тестування DNS серверів, після додатку Porkbind - сканера DNS серверів, пропоную вашій увазі новий онлайн сервіс для даної задачі. Це DNSreport від DNSstuff - онлайновий сервіс перевірки DNS серверів.

За допомогою даного сервіса можна перевірити стан DNS сервера вашого хостера. DNSreport - це платний сервіс і потрібно бути офіційним клієнтом компанії DNSstuff. Необхідно оплатити (на рік) послугу Professional Toolset, що включає DNSreport, Mail Server Test Center, Email Path Analyzer та ще більше 30 різних інструментів.

Але є безкоштовний DNSreport Demo. В демо версії можна провести перевірку лише семи визначених доменів, включаючи google.com. В результаті перевірки видається звіт про стан DNS сервера. Користь від демо версії в тому, що ви можете побачити які саме параметри DNS сервера перевіряються і в чому можуть бути проблеми (і відповідно перевірити дані параметри у власного сервера).

За повідомленням www.xakep.ru, від 85% нападів можуть допомогти 4 найпростіших методи захисту.

Кращий спосіб захисту від більшості мережевих уразливостей - це боротьба з найпростішими нападами, говорить австралійська спецслужба, відповідальна за безпеку комунікацій (Defence Signals Directorate, DSD).

Аналіз DSD заснований на вивченні реальних атак, спрямованих на мережі австралійського уряду. І відповідно до останньої роботи організації, 85% атак можуть бути відвернені за допомогою чотирьох відносно простих методів захисту.

За повідомленням www.opennet.ru, Tor і Firefox не вразливі до атаки проти SSL/TLS.

Розробники Firefox проаналізували вразливість браузера нещодавно анонсованому методу атаки проти SSL/TLS, що дозволяє на проміжному шлюзі організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.

У підсумку, був зроблений висновок, що незважаючи на використання TLS 1.0, Firefox не підданий даній проблемі, тому що без залучення додаткових плагінів неможливо забезпечити необхідні для проведення атаки умови (повний контроль над вмістом з’єднання). Проте, повідомляється, що атака теоретично може бути зроблена у випадку наявності в користувача Java-плагіна. Тому в даний час розробники розглядають можливість відключення Java-плагіна для існуючих інсталяцій.

За повідомленням www.xakep.ru, тестування стану безпеки стане частиною освіти в Німеччині.

Компанія Codenomicon і Університет прикладних наук міста Бранденбургу (Brandenburg University of Applied Sciences, FH Brandenburg) оголосили про угоду, заключену, щоб допомогти освіті німецьких ІТ-фахівців. Програмне забезпечення Codenomicon під назвою Defensics буде доступно для студентів у FH Brandenburg у рамках програми управління безпекою.

В даній добірці уразливості в веб додатках:

• Likewise Open vulnerability (деталі)
• ‘Andy’s PHP Knowledgebase’ SQL Injection Vulnerability (деталі)
• HTC / Android OBEX FTP Service Directory Traversal Vulnerability (деталі)
• “Simple PHP Newsletter” Remote Admin Password Change With install path (деталі)
• Elitecore Cyberoam UTM - Authenticated Cross-Site Scripting Vulnerability (деталі)
• “WESPA PHP Newsletter v3.0″ Remote Admin Password Change With install path (деталі)
• Cisco SA500 vulnerabilities - details (деталі)
• “Simple PHP Newsletter” Remote Admin Password Change With install path (деталі)
• Cisco SA 500 Series Security Appliances Web Management Interface Vulnerabilities (деталі)
• XSS vulnerability in InTerra Blog Machine (деталі)

11.03.2011

У січні, 15.01.2011, а також додатково сьогодні, я знайшов Cross-Site Scripting та Brute Force уразливості на http://www.vab.ua - сайті VAB Банка. Та на https://banking.vab.ua - сервісі Інтернет-банкінгу VAB Банка. Про що найближчим часом сповіщу адміністрацію сайтів.

Раніше я вже писав про уразливості на www.vab.ua.

Детальна інформація про уразливості з’явиться пізніше.

21.10.2011

XSS:

• alert(document.cookie)
• html включення

Код виконається при кліку. Це Strictly social XSS.

Це уразливість в b-cumulus - у флешці з цього віджету, який використовується на сайті VAB Банка (що являє собою модифіковану версію tagcloud.swf розроблену автором WP-Cumulus).

Brute Force:

https://banking.vab.ua
https://banking.vab.ua/Demo/Default.aspx

Дані уразливості досі не виправлені.

В презентації Total Browser Pwnag3 V1.0 Public, Rafal M. Los та Joshua D. Abraham розповідають про тотальне захоплення браузера. Про небезпеки сучасних браузерів, як через їхні дірки можна атакувати користувачів браузерів та як можна від них захиститися, щоб убезпечити себе і свій комп’ютер.

В даній добірці уразливості в веб додатках:

• Alice (Telefonica Germany) Modem 1111 DoS + XSS (деталі)
• XSS in Spitfire CMS (деталі)
• EMC Documentum eRoom Indexing Server OpenText HummingBird Connector Remote Code Execution Vulnerability (деталі)
• New mahara packages fix several vulnerabilities (деталі)
• EMC Documentum eRoom Indexing Server HummingBird Client Connector Buffer Overflow Vulnerability (деталі)
• DataDynamics Report Library CoreHandler XSS (деталі)
• CA Total Defense Suite Gateway Security Malformed HTTP Packet Remote Code Execution Vulnerability (деталі)
• XSS Vulnerability in Tracks 1.7.2 (деталі)
• Security Notice for CA Gateway Security and Total Defense (деталі)
• “WESPA PHP Newsletter v3.0″ Remote Admin Password Change With install path (деталі)

02.03.2011

У січні, 15.01.2011, я знайшов Cross-Site Scripting уразливості на http://www.vab.ua - сайті VAB Банка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.kontrakt.ua.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Як видно з наведених прикладів, уразливими є будь-які параметри (в тому числі і довільні придумані параметри, що безпосередньо не обробляються скриптом пошуку - як параметр “a”). Що призводить до появи на даному сайті довільного числа уразливостей (у довільному числі параметрів) у пошуковому скрипті, хоч мільярда уразливостей. Про подібні нескінченні дірки я писав торік у своїй статті Як знайти мільярд XSS уразливостей.

Дані уразливості досі не виправлені.

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі продукти: Apple Safari 5.1, WebKit.

Міжсайтовий скриптінг, виконання коду, численні пошкодження пам’яті.

• APPLE-SA-2011-10-12-4 Safari 5.1.1 (деталі)