Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Rootkit
• Backdoor (computing)
• Zombie computer
• Botnet
• Internet_bot

В даній добірці уразливості в веб додатках:

• Majordomo2 - Directory Traversal (SMTP/HTTP) (деталі)
• SQL injection in KaiBB (деталі)
• Majordomo2 ‘help’ Command Directory Traversal (Patch Bypass) (деталі)
• SQL injection in KaiBB (деталі)
• Aruba Mobility Controller - multiple advisories: DoS and authentication bypass (деталі)
• BBcode XSS in KaiBB (деталі)
• HP OpenView Performance Insight Server, Remote Execution of Arbitrary Code (деталі)
• Geeklog 1.7.1 <= Cross Site Scripting Vulnerability (деталі)
• HP OpenView Performance Insight Server Backdoor Account Code Execution Vulnerability (деталі)
• New phpmyadmin packages fix several vulnerabilities (деталі)

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Після попередніх записів на тему DNS Rebinding (також відомого як Anti-DNS Pinning), пропоную вам нові записі на дану тему.

В своєму записі DNS Rebinding for Scraping and Spamming, RSnake розповідає про використання даної техніки для відправки запитів на цільові сайти та спаму. Зокрема для навантаження запитами пошукові системі, такі як Гугл.

В своєму записі MitM DNS Rebinding SSL/TLS Wildcards and XSS, RSnake розповідає про проведення XSS атаки на сайти з wildcard SSL сертифікатами з використанням даної техніки атак на браузери.

В своєму записі DNS Rebinding In Java Is Back, RSnake розповідає про те що, DNS Rebinding знову можливий в Java. Хоча в 2007-2008 роках даний вектор атак був офіційно прикритий розробниками, але Stefano Di Paola виявив можливість як можна це обійти і знову провести DNS Rebinding атаку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.mastergood.com.ua (хакерами з RKH) - 08.06.2011, зараз сайт вже виправлений адмінами
• http://spider.mastergood.com.ua (хакерами з RKH) - 08.06.2011 - зараз сайт не працює (немає контенту)
• http://tuning-club.lviv.ua (хакером PaRaNoYa)
• http://novosvit.com (хакером B.Y) - 23.06.2011, був взломаний форум проекту, що зараз вже виправлений адмінами
• http://advertise-autoweb.info (хакером Mr.VeNuS)

15.04.2011

У серпні, 16.08.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості в модулі Print для Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS та BT уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам модуля.

30.06.2011

Abuse of Functionality:

Форму відправки контента по електронній пошті (http://site/printmail/1) можна використати для відправки спама, при цьому можна вказати всі основні поля форми: зворотній емайл (шляхом зміни його в профілі), ім’я, емайл або декілька емайлів адресатів, тема і текст повідомлення. А також можна вибирати для відправки в тексті листа сторінки створенні самим користувачем, що дозволяє створювати спам повідомлення на сайті для наступної їх відправки по емайлу (щоб максимально контролювати зміст спам-листів).

Insufficient Anti-automation:

На сторінці відправки контента по електронній пошті (http://site/printmail/1) немає капчі. Що дозволяє автоматизовано слати спам на довільні емайл-адреси. Обмеження на максимум 3 повідомлення на годину обходиться шляхом відправки повідомлень з різних IP (навіть будучи залогіненим в той же акаунт).

Drupal Print IAA.html

А враховуючи дві Brute Force уразливості в Drupal (відсутність капчі), про які я згадував раніше, то можливий автоматизований логін, що дозволить повністю автоматизувати цей процес. Про що я писав в статті Атаки на незахищені логін форми.

Уразливі версії Print 5.x-4.11, 6.x-1.12, 7.x-1.x-dev та попередні версії.

26.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://3s.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.06.2011

SQL Injection:

http://3s.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена. Хоча адміни повипєндривалися (намагаючися позбутися цієї дірки, але так її і не виправивши) і видалили весь контент сайта. Тому даний запит більше не спрацює і звичайна SQLі атака через цю дірку вже не працює, але все ще можна проводити blind SQLi атаки (для виведення даних з БД і проведення DoS атак).

Нещодавно, 21.06.2011, вийшов Mozilla Firefox 5. Нова версія браузера вийшла через три місяця після виходу Firefox 4.

Після виходу версії 4.0, Mozilla випустила 4.0.1 і потім вже 5.0. При цьому підтримка гілки 4.x браузера припинена (так само як і 3.5.x). Тому виправлення уразливостей в Firefox 4.0.1 випускатися не будуть і всім користувачам рекомендується оновити браузер до версії 5.0.

Реліз веб браузера Firefox 5 вийшов одночасно для настільних систем і мобільної платформи Android. Реліз випущений у рамках нового 16-тижневого циклу розробки.

• Релиз web-браузера Firefox 5 для настольных и мобильных систем (деталі)

Виявлена Cross-Site Scripting уразливість в Microsoft Certificate Services.

Уразливі продукти: Microsoft Certificate Services на Windows 2003 Server, Windows 2008 Server.

Міжсайтовий скриптіг в Active Directory Certificate Services Web Enrollment. Це одна з багатьох уразливостей виправлених в червневому вівторок патчів.

• Microsoft Security Bulletin MS11-051 - Important Vulnerability in Active Directory Certificate Services Web Enrollment Could Allow Elevation of Privilege (2518295) (деталі)

В даній добірці уразливості в веб додатках:

• Cisco Content Services Gateway Vulnerabilities (деталі)
• Multiple Vulnerabilities in CruxCMS 3.0.0 (деталі)
• MyBB 1.6 <= SQL Injection Vulnerability (деталі)
• HP OpenView Storage Data Protector, Remote Denial of Service (DoS) (деталі)
• Pligg XSS and SQL Injection (деталі)
• OpenJDK vulnerabilities (деталі)
• Multiple Vulnerabilities in OpenClassifieds 1.7.0.3 (деталі)
• Social Engine 4.x (Music Plugin) Arbitrary File Upload Vulnerability (деталі)
• Cisco Security Advisory: Default Credentials for Root Account on Tandberg E, EX and C Series Endpoints (деталі)
• Path disclosure in KaiBB (деталі)

23.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://www.3s-training.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

28.06.2011

SQL Injection:

http://www.3s-training.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.