Websecurity - Веб безпека

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, електронних платіжних систем, домен провайдерів та банків України:

• citycom.ua
• www.liqpay.com
• www.imena.ua
• www.vab.ua
• www.vab.ua

Також згадував про атаковані (взломи чи DDoS атаки) онлайн магазини та e-commerce сайти в Уанеті:

• DDoS-атака на seocity.net
• shop.artgpa.com.ua
• youtop.biz
• tattoo-shop.com.ua
• transferskateshop.com
• shop.colibra.com.ua
• coralclub.kharkov.ua
• doktor.kiev.ua
• www.ladiestime.com.ua
• www.begemot.com.ua
• www.magicchest.com.ua
• ocharovashka.com.ua

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• zummer.com.ua
• sabana.com.ua
• ezoloto.com.ua

Так що українським e-commerce сайтам є куди покращувати свою безпеку.

22.10.2010

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, PeopleSoft Enterprise PeopleTools 8.49, Oracle E-Business Suite Release 11i та інші продукти Oracle.

Чергове щоквартальне оновлення закриває майже 90 уразливостей в різних продуктах.

• Oracle Products HTTP Request Remote Buffer Overflow Vulnerability (деталі)
• Oracle Virtual Server Agent Command Injection (деталі)
• Oracle Critical Patch Update Advisory - October 2010 (деталі)

01.12.2010

Додаткова інформація.

• Persistent Log Out Redirection Vulnerability in Oracle I-Recruitment OA.jsp (деталі)
• Oracle Virtual Server Agent Arbitrary File Access (деталі)
• Oracle Virtual Server Agent Local Privilege Escalation (деталі)
• Oracle Virtual Server Agent Remote Command Execution (деталі)
• Oracle BI Publisher Enterprise 10 - Response Splitting (деталі)
• Oracle Application Server - Linked XSS vulnerability (деталі)

20.07.2011

Додаткова інформація.

• Persistent Cross Site Scripting Vulnerability in Oracle I-Recruitment - E-Business Suite (деталі)

18.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://domkomplekt.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

20.07.2011

SQL Injection:

http://domkomplekt.com/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Нещодавно, 09-10.07.2011, відбувся новий масовий взлом сайтів на сервері HostPro (а один сайт ще 21.05.2011). Другий масовий взлом сайтів на сервері HostPro також відбувся цього місяця.

Був взломаний сервер української компанії HostPro. Взлом відбувся в той же час, що і попередній масовий взлом сайтів на сервері HostPro.

Всього було взломано 34 сайти на сервері хостера HostPro (IP 91.223.223.115). Це наступні сайти: www.yamkel.com, supercomputers.kiev.ua, lasunka.com, nfau.in.ua, dr.kh.ua, chic.pro, levashova.com.ua, time-of-pictures.net, safari-service.net, lexmarkcarpet.net, informby.cn, 1000albums.com.ua, alazarevich.com, www.arrtp.com, newpix.info, mala-supoivka.com.ua, s.tar.in.ua, 105-element.ru, jacuzziproject.com, bisalon.ru, samovarik.com.ua, heritage.lviv.ua, fitdoma.ru, medartroz.ru, seoroute.ru, magazine-i.com, worldcomics.ru, www.exeman.ru, storage.kiev.ua, servers.kiev.ua, d-sport.com.ua, d-market.in.ua, monolit-rost.com.ua, www.gazda.cv.ua.

З зазначених сайтів 33 було взломано на протязі 9-10 липня 2011 року хакерами з RKH, а 1 сайт був взломаний ними 21.05.2011.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

16.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://www.mediakit.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.07.2011

SQL Injection:

http://www.mediakit.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Після виходу Google Chrome 12, в браузері було знайдено чимало уразливостей. Які Google виправила в нещодавньому оновленні.

У червні, 29.06.2011, вийшло секюріті оновлення веб-браузера Google Chrome 12, в якому усунуто 7 уразливостей, з яких 6 мають статус небезпечних. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера. Дві уразливості присутні в коді роботи з SVG, одна в CSS-парсері, одна в HTML-парсері, одна в движку v8 і одна в коді виділення тексту.

Одночасно оновлена версія плагіна Adobe Flash, що постачається в складі браузера, в якому виправлені чергові проблеми безпеки.

• Обновление Chrome 12 с устранением уязвимостей (деталі)

Виявлена можливість витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.0, Tomcat 6.0, Tomcat 7.0.

При використанні sendfile не працюють деякі обмеження безпеки.

• Apache Tomcat Information disclosure and availability vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• HP Data Protector Backup Client Service stutil Message Processing Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in F3Site (деталі)
• HP Data Protector Backup Client Service EXEC_INTEGUTIL Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in F3Site (деталі)
• HP Data Protector Backup Client Service EXEC_SCRIPT Remote Code Execution Vulnerability (деталі)
• XSRF (CSRF) in F3Site (деталі)
• HP Data Protector Backup Client Service GET_FILE Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in F3Site (деталі)
• Check Point Endpoint Security Server Information Disclosure (деталі)
• XSS vulnerability in F3Site (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tai.net.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ikaife.at.ua - інфекція була виявлена 01.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://giper-files.at.ua - інфекція була виявлена 16.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://private-design.com.ua - інфекція була виявлена 05.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://porogy.zp.ua - інфекція була виявлена 30.04.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт porogy.zp.ua також хостить в себе Укртелеком.

15.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://shtormovoe.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

18.07.2011

SQL Injection:

http://shtormovoe.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз дана уразливість вже не працює. Тому що адміни змінили движок - один дірявий на інший дірявий.