Websecurity - Веб безпека

22.12.2010

У серпні, 26.08.2010, я знайшов SQL Injection уразливість на сайті http://citycom.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на citycom.ua. Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.foxtrot.com.ua.

Детальна інформація про уразливість з’явиться пізніше.

29.09.2011

SQL Injection:

http://citycom.ua/search/?sort=desc&q='/**/and/**/version()=5.1/**/limit/**/0,1%23

Зараз змінили домен з http://citycom.ua на http://city.com.ua.

Дана уразливість вже виправлена. Лише треба не зубувати дякувати людям, що дбають про безпеку вашого сайта (що неодноразово траплялося з адмінами citycom.ua).

За повідомленням www.xakep.ru, навіть подвійна інфраструктура безпеки не в змозі захистити Інтернет.

Аналітики в області інформаційної безпеки попереджають, що хакери можуть почати потужні атаки, яким буде дуже складно протистояти, тому що вони будуть поєднувати в собі взлом DNS-серверів (такого типу, як атака на сайт The Register й інші відомі сайти в вересні) з підробкою цифрових сертифікатів у стилі DigiNotar.

Атака на DNS-провайдера NetNames, що відбулася на початку місяця, торкнулася безлічі відомих веб сайтів, включаючи такі сайти як Daily Telegraph, UPS, Acer, National Geographic, BetFair і Vodafone. Інтернет-серфери, що відвідали несправні сайти, були переспрямовані на сторінку, створену турецькою групою хакерів Turkguvenligi.

Про атаки через захоплення домену (Domain hijacking), що в останні роки набули поширенності, я писав в своїй статті ще в лютому. Але ні домен провайдери з дірявими сайтами, ні власники сайтів, що користуються послугами таких провайдерів, досі не звернули увагу на цю проблему.

За повідомленням www.anti-malware.ru, MySQL.com знову взломаний.

Сайт популярного рішення для керування базами даних піддався нальоту взломщиків. Хакери змогли одержати адміністративний доступ до сервера проекту і внесли несанкціоновані зміни в код сторінок ресурсу. У підсумку всі відвідувачі, що відкривали ці сторінки у своєму браузері, ризикували стати жертвою атаки шкідливого програмного забезпечення.

Це вже другий взлом mysql.com за цей рік. І якщо попереднього разу (в березні) в результаті взлому було викрадено дані з БД ресурсу, то цього разу сайт було інфіковано. Зловмисники все більше інфікують діряві сайти як в Уанеті, так і в Інтернеті в цілому. І з 2008 року, коли я писав про уразливість на сайті MySQL, їх адміни так і не почали краще слідкувати за безпекою своїх сайтів.

За повідомленням www.opennet.ru, представлено перший успішний спосіб атаки на SSL/TLS.

Тхай Дионг і Джуліано Ріццо, відомі дослідники комп’ютерної безпеки, власники премії Pwnie Awards 2011 за розробку методу компрометації додатків ASP.NET, мають намір на конференції Ekoparty 7 розкрити завісу над новим способом атаки на SSL/TLS.

Для здійснення атаки підготовлений інструментарій, що розвивається під ім’ям BEAST (Browser Exploit Against SSL/TLS) і що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії. Зокрема, дослідники продемонстрували успішне перехоплення захищеної сесії для сервісу PayPal і стверджують, що метод може бути застосований і для будь-яких інших сайтів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів та банків України:

• abcstuff.com.ua
• ktc-ua.com
• opensource.com.ua
• prom.ua
• www.alfabank.com.ua

Також я писав про уразливості в движках для Інтернет магазинів:

• Cetera eCommerce
• Cetera eCommerce
• PBV MULTI для VirtueMart

А також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• www.atlant-s.com.ua
• www.estil.com.ua
• www.skorostroy.com.ua
• japansan.com.ua
• economstirka.com.ua
• vdvshop.com.ua
• julietta.com.ua
• kancler.kiev.ua
• spain-gastronom.com
• babyshopping.kiev.ua
• d-sport.com.ua
• d-market.in.ua

Так що українським e-commerce сайтам є куди покращувати свою безпеку.

07.12.2010

У серпні, 12.08.2010, я знайшов Denial of Service та Insufficient Anti-automation уразливості на сайті http://www.foxtrot.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на kshop.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

28.09.2011

DoS:

http://www.foxtrot.com.ua/ressearch.aspx?page=1&search=%25%25%25

Insufficient Anti-automation:

http://www.foxtrot.com.ua/feedbacks.aspx

В даній формі немає захисту від автоматизованих запитів (капчі).

Дані уразливості так і не були виправлені. А зараз даний сайт не працює, тому що він закритий по політичним мотивам.

Новий тест для вашого браузера. Даний експлоіт, що я знайшов в Інтернеті ще в 2008 році, виконує DoS атаку на Mozilla Firefox.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, цей експлоіт працює в Mozilla (1.7.x і попередні версії) та в старих версіях Firefox. В версіях Firefox 3.0 і вище він вже не працює.

Протестувати Mozilla та Firefox

Останній тест для Firefox був Експлоіт для Mozilla Firefox 2.0 та 3.0, з яким ви також можете ознайомитися.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vodoleyalushta.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://luiza.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://motokaravan.com.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://gektar.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://kg.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами

Що цікаво, тоді ж, під час масового взлому даного російскього сервера (де хостилися зазначені сайти), хакери з RKH також взломали обмінник онлайн валют ROBOXchange (roboxchanger.ru, roboexchenge.com, roboexchange.net).

В даній добірці уразливості в веб додатках:

• HP Systems Insight Manager (SIM) for HP-UX, Linux, and Windows, Remote Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Execution of Arbitrary Code, Denial of Service (деталі)
• PHPShop 0.8.1 <= | Cross Site Scripting Vulnerability (деталі)
• Imageview v6.0 Remote [and] Local Directory Traversal Vulnerability (деталі)
• Alcatel-Lucent OmniVista 4760 NMS ‘lang’ Directory Traversal Vulnerability (деталі)
• SnapProof (cart.php) Cross Site Scripting (деталі)
• Alcatel-Lucent OmniPCX Enterprise CS CGI Cookie Buffer Overflow Vulnerability (деталі)
• pywebdav security update (деталі)
• dtc security update (деталі)
• AT-TFTP Server Remote Denial of Service Vulnerability (деталі)
• PhotoPost PHP 4.8c (showgallery.php) Cross Site Scripting (деталі)

14.12.2010

У серпні, 22.08.2010, я знайшов Brute Force, Abuse of Functionality та Insufficient Anti-automation уразливості на сайті https://easypay.ua. Це сайт системи процесінга пластикових карток (PCI DSS сертифікований і при цьому дірявий). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах онлайнових платіжних систем останній раз я писав про уразливості в Приват24 (версія для Facebook) та уразливість в LiqPAY.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.09.2011

Brute Force:

https://easypay.ua в формі логіна або через GET запит (https://easypay.ua/Default.aspx?action=login&login=1&password=1).

Зараз можливі лише POST запити до форми логіна.

Abuse of Functionality:

По відповідям в формі логіна можна визначати логіни користувачів.

Зараз змінили адресу форми логіна на https://easypay.ua/auth/signin, але уразливість залишилася.

Insufficient Anti-automation:

На головній сторінці в формі “Быстрое пополнение” або через POST чи GET запит до неї. В даній формі не було капчі. Зараз форму прибрали.

В формі “Поддержка” не було і немає капчі.

В формах реєстрації (https://easypay.ua/Registration.aspx) та відновлення паролю (https://easypay.ua/RestorePassword.aspx, зараз її адреса https://easypay.ua/restore) використовалася уразлива капча - в адресі капчі був вказаний її код. Зараз замінили її на рекапчу.

Частина уразливостей вже виправлена, а частина досі не виправлена. На цьому PCI DSS сайті.

В попередні роки я розповідав про численні небезпеки для дірявого сайта - це можливість закриття сайта в зв’язку з різними причинами, в тому числі пов’язаними з порушенням законодавства, а також можливість притягнення до відповідальності (по кримінальому кодексу) в таких випадках. В останнє я згадував про можливість закриття сайтів через розміщення персональних даних та про небезпеку для дірявого сайта від Black SEO.

Зараз розповім вам про ще один напрямок атаки - для закриття сайта і навіть до притягнення до кримінальної відповідальності власника сайта. Це закриття сайтів по політичним мотивам. Це коли через дірки на сайті, його взламують і розміщують провокаційну інформацію політичного змісту, що може підпасти під кримінильний кодекс країни, де хоститься цей сайт (чи приживає його власник), або може просто не сподобатися правлячій політичній партії чи її керівнику.

Наприклад, в таких країнах як Іран і Білорусія на законодавчому рівні заборонені випади в сторону президента країни (є також країни де заборонени випади проти правлячої партії). І знайдеться чимало країн, де навіть без офіційної заборони в законодавстві подібні випади будуть каратися. І якщо на сайті розміщена подібна інформація (а власник сайта її розмістив, чи його взломали - правоохоронні органи на це звертати увагу не будуть), то сайт закриють, а проти його власника відкриють кримінальну справу.

І потім йому довго доведеться пояснювати, що це сайт дірявий (бо він, ламер, за безпекою не слідкував), ось хтось і взломав сайт і підставляє його подібними провокаційними заявами. І немає повних гарантій, що йому вдасться довести свою невинуватість (в залежності від конкретної країни і від того, наскільки вдало взломали сайт, щоб підставити його власника).

Зокрема те, що з 22.09.2011 не працює дірявий сайт www.foxtrot.com.ua - це цілком може бути пов’язано з обшуками, що з недавніх пір проводить МВС в офісах Фокстрота. І в подібній ситуації може опинитися будь-який власних дірявого сайта.

Так що всім адмінам і власникам сайтів (в усіх країнах) варто слідкувати за безпекою власних сайтів, щоб не потрапити під дію подібних законів своїх країн.

У вересні місяці Microsoft випустила 5 патчів. Що значно менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 5 бюлетенів по безпеці. Що закривають 15 уразливостей в програмних продуктах компанії. Всі п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, SharePoint, Groove і Office Web Apps, Excel Viewer та Office Compatibility Pack.