16.08.2011
Виявлені численні уразливості безпеки в Adobe Shockwave Player.
Уразливі версії: Adobe Shockwave Player 11.6.
Численні пошкодження пам’яті.
01.09.2011
Додаткова інформація.
В даній добірці експлоіти в веб додатках:
Раніше я вже писав про уразливість в Tumulus для Typepad та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для RapidWeaver, Habari, DasBlog, eZ та Expression Engine, що використовують tagcloud.swf розроблений автором WP-Cumulus.
Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.
В травні, 11.05.2011, я знайшов Cross-Site Scripting уразливість в Tag cloud для RapidWeaver, HB-cumulus для Habari, Cumulus для DasBlog, EZcumulus для eZ Publish та Simple Tags для EE. Про що найближчим часом повідомлю їх розробникам.
XSS:
http://site/path/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3EКод виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.
Уразливі всі версії WP-Cumulus для RapidWeaver, HB-Cumulus для Habari версія 1.4 і попередні вразливі до XSS (і всі версії вразливі до HTML Injection), Cumulus для DasBlog (старі версії до XSS і всі версії до HTML Injection), EZcumulus 1.0 для eZ Publish та Simple Tags для Expression Engine версія 1.6.3 і нові версії (де була додана підтримка даного swf-файла).
Також вразливий плагін eZ Flash Tag Cloud - це інший плагін для eZ Publish (який підтримується розробниками, на відміну від EZcumulus). Вразлива версія eZ Flash Tag Cloud 1.0. В версії 1.1 розробники виправили XSS, після мого повідомлення, але вона все ще вразлива до HTML Injection.
В статті Обхід капч та блокування на сайтах я розповідав про один з методів обходу капч та блокування. А зараз я розповім вам про обхід блокування по IP. Це друга стаття з серії статей про методи обходу блокування на сайтах.
Цей метод я розробив у липні, коли проводив аудит сайта одного свого клієнта, і обійшов капчу методом описаним у вищезгаданій статті. Після чого виявив блокування по IP, яке я також обійшов. І цей метод я зараз детально опишу.
При наявності на сайті блокування по IP (на годину, чи 24 годину, чи навіть постійно блокування), зокрема в формах аутентифікації, що спрацьовує після декількох невдалих спроб логіна, є можливість обійти дане блокування. Що стане в нагоді при Brute Force атаках.
Зазначу, що цей метод призначений саме для обходу блокувань в таких функціоналах як форми аутентифікації (для обходу будь-яких блокувань по IP в будь-яких функціоналах потрібно використовувати проксі), при цьому використовується одна IP адреса. І для використання методу потрібно мати робочий акаунт на цільовому сайті, тобто на сайті повинна бути доступна реєстрація, щоб зробити собі робочий акаунт.
Для проведення Brute Force атаки з обходом блокування потрібно зробити наступні кроки:
1. Створити робочий акаунт на цільовому сайті.
2. Виявити межу блокування - після скількох невдалих спроб логіна відбувається блокування (наприклад, 15).
3. Використати метод обходу для проведення Brute Force атаки з метою підбору паролів.
Суть методу зводиться до наступного. За звичай при блокуванні по IP рахується кількість невдалих спроб, яка обнуляється при вдалій спробі логіна. Тому потрібно періодично, до того як спрацює блокування, посилати запити з коректним логіном і паролем (до власного акаунту), щоб обнулити цей рахівник. Наприклад, при блокуванні після 15 спроб, варто посилати завідомо коректні аутентифікаційні дані після кожної 5 спроби.
І таким чином блокування по IP обходиться і можна нескінченно брутфорсити з одного IP. Тому розробникам захисних механізмів потрібно коректно їх реалізовувати.
В серпні місяці Microsoft випустила 12 патчів. Що значно більше ніж у липні.
У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 22 уразливості в програмних продуктах компанії (кількість уразливостей аналогічна липневому “вівторку патчів”). Зокрема дев’ять патчів закривають критичні уразливості, а інші три патчі виправляють важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та платформи .NET.
В даній добірці уразливості в веб додатках:
10.11.2010
У липні, 25.07.2010, я знайшов Cross-Site Scripting та Brute Force уразливості на сайті http://www.telegroup.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
30.08.2011
XSS:
POST запит на сторінці http://www.telegroup.ua/ru/cms/search
“><script>alert(document.cookie)</script>
В полі пошуку.
Даний варіант атаки вже виправлено. Але неякісно, тому можна використати цей варіант:
“><body onload=alert(document.cookie)>
Brute Force:
http://www.telegroup.ua/admin/
BF уразливість вже виправлена, але XSS досі не виправлена.
Тривалий час секюріті спільнота наголошує на безпеці SSL сертифікатів і необхідності їх використовувати для покращення безпеки сайтів. Зокрема їх використання допоможе проти MITM атак.
Для покращення самих SSL сертифікатів та процесу взаємодії браузерів з сайтами по HTTPS створються нові стандарти. Такі як EV SSL та HSTS. По задумці авторів все це повинно підвищити рівень захищенності сайтів з такими сертифікатами. І якщо не мати інших дірок на сайтах, то користь від цього буде, але я вже розповідав про справжню безпеку сайтів із секюріті логотипами, що діряві сайти полюбляють ховатися за секюріті логотипами (в тому числі SSL логотими, і помилково гадають і переконують відвідувачів, що SSL захистить їх від власник дірок).
При цьому все більше з’являється компаній, що видають SSL сертифікати (і заробляють на цьому). І при цьому нерідко ці компанії не слідкують за безпекою, що призводить до витоків сертифікатів відомих сайтів, які потрапляють в руки зловмисникам і можуть використовуватися при фішинг атаках і MITM атаках.
В березні така ситуація сталася з Comodo, коли вони “помилково” видали зловмисникам сертифікати відомих сайтів, в тому числі сайтів Гугла (www.google.com і mail.google.com). А 27 серпня така ситуація сталася з DigiNotar, виданий якою сертифікат gmail.com витік у вільний доступ.
Підозрюють, що за останнім випадком стоять уряди деяких держав (зокрема Ірану), що хочуть використати даний сертифікат для аналізу SSL-трафіку жителів власних країн. Так що при таких витоках SSL сертифікатів, їх надійність вже не виглядає дуже високою.
В період 24.05-25.05, 30.07-01.08 і 11.08.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи. Цього року це вже другий масовий взлом сайтів на сервері даного провайдера.
Був взломаний сервер української компанії Freehost. Взлом, що складався з трьох окремих взломів, відбувся після згаданого масового взлому сайтів на сервері Goodnet.
Всього було взломано 260 сайтів на сервері української компанії Freehost (IP 91.206.31.138). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти cr.niss.gov.ua, dn.niss.gov.ua, dp.niss.gov.ua, eng.niisp.gov.ua, kh.niss.gov.ua, lv.niss.gov.ua, od.niss.gov.ua, uz.niss.gov.ua, www.niss.gov.ua, www.nbu.gov.ua, www.niisp.gov.ua.
36 зазначених сайтів були взломані 24-25 травня 2011 року хакерами з 1923Turk, а 213 сайтів - 30.07-01.08 хакерами з RKH. Іще один сайт був дефейснутий 11 серпня хакером iskorpitx.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
08.11.2010
У липні, 07.07.2010, я знайшов Cross-Site Scripting та Brute Force уразливості на проекті http://mirdomov.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
29.08.2011
XSS:
Brute Force:
http://mirdomov.ua/admin/
Дані уразливості досі не виправлені.
* 
You are currently browsing the archives.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.