Websecurity - Веб безпека

26.11.2010

У серпні, 09.08.2010, я знайшов Cross-Site Scripting уразливість на сайті http://www.4post.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.4post.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.09.2011

XSS:

• alert(document.cookie)

Адміни спробували виправити дану уразливість (при цьому мені не подякувавши, як за звичай роблять ламєра). Але зробили це некоректно і при невеликій зміні коду вона знову працює.

XSS (з MouseOverJacking):

• alert(document.cookie)
• цікавий

Дана уразливість досі не виправлена.

В період з 09.08.2010 по 11.08.2011 відбувся масовий взлом сайтів на сервері 1GB (по 13 сайтів в 2010 і 2011 році). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом, що складався з серії взломів (під час яких взломувалися по одному або декілька сайтів), відбувся приблизно в той же час як і згаданий масовий взлом сайтів на сервері Freehost.

Всього було взломано 26 сайтів на сервері української компанії 1GB (IP 195.234.4.52). Це наступні сайти: www.kyivobljust.gov.ua, www.ukrprodresurs.com.ua, www.ffgn.org.ua, palar.com.ua, antares-co.com.ua, hram-krasoty.com.ua, morozovmebel.com, www.s-mobila.com.ua, www.a-e.com.ua, maximhorses.com, oberegy.lviv.ua, stroyderevo.com.ua, www.sopromat.kiev.ua, albomu.com.ua, decibel.com.ua, real-estate.ltd.ua, budka.net.ua, www.zerg.com.ua, marketzoo.com.ua, www.vorzelkurort.com.ua, kreativ.dp.ua, mykolaivka.com.ua, patatuyki.com.ua, kavaratake.com, www.artgallery-nadezhda.com.ua, www.informnk.com.ua. Серед них український державний сайт www.kyivobljust.gov.ua.

26 зазначених сайтів були взломані наступними хакерми: Ashiyane Digital Security Team, iskorpitx, Metropolis, 1923Turk, VHZ-CREW, kaMtiEz, By_aGReSiF, rkh, Hmei7, queSt, AlbanianHackersGr0up та K-E-H.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Виявлені численні уразливості в Google Chrome.

Уразливі версії: Google Chrome 13.0 та попередні версії.

DoS, витік інформації, пошкодження пам’яті.

• chromium-browser security update (деталі)

В даній добірці уразливості в веб додатках:

• McAfee Firewall Reporter GeneralUtilities.pm isValidClient Authentication Bypass Vulnerability (деталі)
• Multiple XSS vulnerabilities in Photopad (деталі)
• Novell ZENworks Asset Management Path Traversal File Overwrite Remote Code Execution Vulnerability (деталі)
• File Content Disclosure in Wikipad (деталі)
• Certain HP Photosmart Printers, Remote Unauthorized Access, Cross Site Scripting (XSS) (деталі)
• Information Disclosure in Arctic Fox CMS (деталі)
• IBM Tivoli Directory Server ibmslapd.exe SASL Bind Request Remote Code Execution Vulnerability (деталі)
• Path disclosure in ArtGK CMS (деталі)
• RSA, The Security Division of EMC, announces the release of Adaptive Authentication (On-Premise) Flash File Security Patch (деталі)
• XSS vulnerability in Gollos (деталі)

02.12.2010

У серпні, 09.08.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.htmlvalidator.com. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на online.htmlvalidator.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.09.2011

XSS:

https://www.htmlvalidator.com/htmlval/webemailform.php?s=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Insufficient Anti-automation:

https://www.htmlvalidator.com/htmlval/webemailform.php

Якщо XSS вже виправлена, то IAA досі так і не виправлена.

У серпні, 18.08.2011, вийшов PHP 5.3.7, а вже через п’ять днів, 23.08.2011, вийшов PHP 5.3.8. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.7 вияснилося, що в ній має місце уразливість - в функції crypt(). Тому розробники опублікували на сайті офіційне застереження з цього приводу і вже за добу випустили нову версію, в якій зокрема виправили дану уразливість.

Cеред секюріті покращень та виправлень в PHP 5.3.7:

• Оновлений crypt_blowfish до 1.2.
• Виправлений збій в error_log().
• Виправлений buffer overflow при довгій солі в crypt().
• Виправлений баг #54939 (File path injection уразливість в RFC1867 імені файла для завантаження).
• Виправлений stack buffer overflow в socket_connect().
• Виправлений баг #54238 (use-after-free в substr_replace()).
• Оновлений Sqlite3 до версії 3.7.7.1.
• Оновлений PCRE до версії 8.12.
• Виправлено 20 різних вибивань.

Cеред секюріті покращень та виправлень в PHP 5.3.8:

• Виправлений баг #55439 (crypt() повертав лише сіль для MD5).
• Відмінена зміна в обробці таймаутів, для відновлення поведінки PHP 5.3.6, яка призводила до того, що mysqlnd SSL з’єднання підвисали (баг #55283).

По матеріалам http://www.php.net.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dvdri.at.ua - інфекція була виявлена 03.09.2011. Зараз сайт входить до переліку підозрілих.
• http://nansi.com.ua - інфекція була виявлена 08.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://alfa.sumy.ua - інфекція була виявлена 18.09.2011. Зараз сайт входить до переліку підозрілих.
• http://legko.in.ua - інфекція була виявлена 29.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://sat-tv.org.ua - інфекція була виявлена 29.08.2011. Зараз сайт не входить до переліку підозрілих.

30.08.2011

Виявлена можливість проведення DoS атак проти багатьох HTTP-серверів. Про DoS уразливість в Apache я вже писав нещодавно.

Уразливі продукти: Apache 1.3, Apache 2.0, Apache 2.2.

Обробка заголовків Range і Range-Request може призвести до вичерпання пам’яті.

• HTTPKiller - (Global HTTP DoS) (деталі)
• Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (деталі)
• HTTPKiller - FHTTP Kit by Xianur0 (деталі)
• Apache httpd Remote Denial of Service (memory exhaustion) (деталі)

19.09.2011

Додаткова інформація.

• Apache HTTPd Range Header Denial of Service Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum Server та Fast Secure Contact Form. Для котрих з’явилися експлоіти. WP Forum Server - це плагін для створення форуму, Fast Secure Contact Form - це плагін контактної форми.

• SQL Injection in WP Forum Server wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)
• XSS in Fast Secure Contact Form wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.stateofsearch.com, Google Now Warning WordPress Users They Need To Update. Гугл почав сповіщати користувачів WordPress.

Починаючи з 20 червня компанія Google почала сповіщати користувачів движка WordPress про необхідність оновити движок, якщо вони вокористовують застарілу версію WP. Сповіщення відбувається в інтерфейсі Google Webmaster Tools (GWT), а також по емайлу, якщо користувач зараєструвався в GWT.

Дана ініціатива Гугла повинна сприяти підвищенню безпеки веб сайтів на WP за рахунок стимулювання адмінів сайтів оновлювати свій движок. Цілком імовірно, що Гугл з часом почне сповіщати і власників інших популярних CMS.

За повідомленням www.xakep.ru, кібеpзлочинність масштабніше, ніж наркоторгівля.

Загальні світові витрати, пов’язані з кіберзлочинністю, перевищують комбінований вплив на всесвітню економіку контрабанди і торгівлі маріхуаною, героїном і кокаїном. Вони оцінюються в 388 мільярдів доларів, як повідомляється в новому дослідженні.

За повідомленням www.3dnews.ru, Mail.Ru буде попереджати про шкідливі сайти.

Починаючи з минулого тижня у рамках партнерства з міжнародною системою оцінки сайтів WOT (Web of Trust) поштова служба Mail.Ru буде перевіряти всі зовнішні лінки, що містяться в листах. При переході по зовнішньому посиланню з Пошти Mail.Ru користувачу будуть повідомляти про можливу загрозу для його комп’ютера.

Таким чином Mail.ru додали в свою веб пошту захист від шкідливих сайтів від WOT. Про даного конкурента моєї Web VDS я вже розповідав торік. Компанії Mail.ru варто ще додати антивірус в свою пошукову систему.