Websecurity - Веб безпека

Виявлена можливість проведення DoS атаки проти Opera.

Уразливі версії: Opera 10.60.

Звертання по нульовому вказівнику при великому значенні SIZE у тезі SELECT.

• Opera : SELECT SIZE Arbitrary null write (деталі)

За повідомленням www.xakep.ru, хакер обнародував інформацію про взлом поліції.

Під час тестування рівня безпеки американського муніципального органа управління, Кевін Фіністер провів доволі цікавий взлом. Після сканування декількох ІP-адрес, використовуваних міським відділенням поліції, він незабаром виявив, що вони прямо зв’язані з Linux-пристроями, що знаходяться в поліцейських автомобілях. Використовуючи трохи більше, ніж FTP і telnet-команди, він підключився до автомобільного цифрового відеореєстратора, застосовуваному для запису і показу аудио і відео. І отримав пряму трансляцією з поліцейского авто.

За повідомленням hackzona.com.ua, хакери у Ванкувері. На конференції з комп’ютерної безпеки CanSecWest у Ванкувері в березні пройшов популярний конкурс хакерів Pwn2Own.

Apple MacBook з браузером Safari першим “здався” на змаганнях хакерів. У перший же день експерти успішно взломали браузери Safari та Internet Explorer 8. А от спроби взлому Chrome не увінчалися успіхом, попри те, що Google заснував додатковий приз у 20000 доларів тому, хто може знайти вразливість у системі.

Раніше я повідомляв про думку директора Tipping Point стосовно надійності браузерів. Яку він висловив стосовно результів останнього змагання хакерів Pwn2Own.

За повідомленням www.3dnews.ru, хакери змусили “Аерофлот” змінити платіжну систему.

В липні 2010 року відбувся цікавий інцедент. Практично цілий тиждень авіакомпанія “Аерофлот” не могла продавати в онлайні квитки через зупинку процесінгової системи Assist, викликаною хакерскою атакою. Як зазначив представник “Аерофлоту” - “Персональні дані клієнтів не постраждали, але оплачувати квитки через Інтернет було неможливо”. Що змусило “Аерофлот” змінити Assist на систему інтернет-платежів Альфа-банку.

Тобто DDoS атака на процесінгову систему призвела як до збитків у самої системи та її клієнтів, так і до того, що головний клієнт процесінгової системи пішов від неї. Що негативно вплинуло як на імидж компанії, так і на її подальші прибутки.

В даній добірці уразливості в веб додатках:

• HP Data Protector Manager v6.11 / NULL Pointer Dereference Remote Denial of Service Vulnerabilities (деталі)
• Orbis CMS Arbitrary Script Execution Vulnerability (деталі)
• Multiple XSS inj in Wernhart Guestbook (деталі)
• RSA, The Security Division of EMC, announces a fix for a potential security vulnerability in RSAR Authentication Client when storing secret key objects on an RSA SecurIDR 800 Authenticator (деталі)
• Multiple SQL injections in Wernhart Guestbook (деталі)
• Pandora FMS Authentication Bypass and Multiple Input Validation Vulnerabilities (деталі)
• SAP BusinessObjects Axis2 Default Admin Password (деталі)
• Multiple vulnerabilities in BugTracker.Net (деталі)
• Digitalus 1.10.0 Alpha2 Arbitrary File Upload vulnerability (деталі)
• CiscoWorks Common Services Arbitrary Code Execution Vulnerability (деталі)

25.03.2011

У січні, 29.01.2011, я знайшов SQL Injection, Full path disclosure, Abuse of Functionality та Insufficient Anti-automation уразливості в Cetera eCommerce (онлайн магазин). Які виявив на демо сайті розробників системи http://ecommerce-demo.cetera.ru.

Раніше я вже писав про уразливості в Cetera eCommerce.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

14.05.2011

SQL Injection (blind SQLi):

http://site/catalog/’+(version()=5.1)+’/ (200 при true, 404 при false)

http://site/’+(version()=5.1)+’/ (404 при true, 200 при false)

Full path disclosure:

http://site/’/

http://site/catalog/’/

http://site/account/’/

http://site/news/’/

http://site/vendors/’/

Abuse of Functionality:

В даних функціоналах можливий витік емайлів, що є логинами в системі.

http://site/account/recoverpassword/

http://site/account/recoverpassword/code/

Insufficient Anti-automation:

В даних двох функціоналах немає захисту від автоматизованих запитів (капчі).

Уразливі Cetera eCommerce 15.0 та попередні версії. SQLi та FPD стосуються лише версії 15.0, а AoF та IAA стосуються версії 15.0 та попередніх версій. Дані уразливості досі не виправлені.

Різні параметри вашого браузера і ОС, що доступні на веб сайтах, дозволяють створити “відбиток”. І через цей “відбиток” можна ідентифікувати особу - чим більш унікальним він є, тим більш точно можна ідентифікувати особу. Тобто якщо ваш браузер є достатньо унікальним, то це дозволить будь-яким сайтам вас ідентифікувати (незважаючи на динамічні IP, проксі чи анонімайзери).

На сайті How Unique Is Your Browser ви можете перевірити ваш браузер на предмет унікальності вашого “відбитка”. Спробуйте перевірити свою унікальність .

Відбиток можна роботи по різним показникам. Але нійбільш ефективними з точки зору ідентифікації особи я вважаю такі показники як набір плагінів та набір шрифтів.

Зазначу, як я первірив деякий час тому, що для мого браузера Firefox 3.0.19 “відбиток” виявився достатньо унікальним (серед 1528101 перевірених на той момент). Мій браузер мав “відбиток”, що містить 20,54 біта ідентифікаційної інформації. Тобто за деякими показниками (що дозволяють отримати 20,54 біта) мене можно достатньо чітко ідентифікувати.

Подібні методи ідентифікації можуть використовуватися різними сайтами, зокрема рекламними системами. Що торкається питання приватності особи.

Минулої осені відбувся п’ятий масовий взлом сайтів на сервері Delta-X, після четвертого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний п’ятий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це останній випадок з п’яти. Загалом на даних серверах було дефейснуто 11065 сайтів. Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року (а в цьому випадку чимало сайтів було взломано також 26.10.2010).

Всього було взломано 3126 сайтів (що більше ніж в попередні рази) на сервері української компанії Delta-X (IP 195.64.184.13). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.kozova-rda.gov.ua.

Частина зазначених сайтів була взломана 26.10.2010, а частина - на протязі 24.11.2010 та 25.11.2010. Дефейси 2955 сайтів було проведено хакером The KabuS, 2 сайтів хакером TheWayEnd і 169 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

16.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.ekoterm.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.05.2011

SQL Injection:

http://www.ekoterm.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

В цьому місяці, 19 травня, в Україні в Києві відбудеться конференція UISG та ISACA Kiev Chapter #6.

Даний захід - це регулярна конференція українського співтовариства спеціалістів з інформаційної безпеки (UISG) та Київського відділення ISACA. Це буде вже шоста конференція. Про даний захід та про перелік доповідей ви можете детальніше дізнатися на офіційному сайті UISG.

Я планую прийняти участь в конференції та виступити з доповіддю “Системи виявлення інфікованих веб сайтів”. Тому всі бажаючі можуть відвідати мою та інші доповіді на конференції.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brody-rda.gov.ua (хакером iskorpitx) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vberez.gov.ua (хакерами з Cocain TeaM) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://java.in.ua (хакером Albeyaz-Bayrak) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.relife.com.ua (хакером HoaX TroJaN) - причому спочатку сайт 06.05.2011 був взломаний HoaX TroJaN, а вже 08.05.2011 взломаний aGa Hackers. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://usp.co.ua (хакером iskorpitx) - 18.04.2011, зараз сайт не працює (розміщена сторінка від хостера)

Продовжуючи розпочату традицію, після попереднього відео про захист від небезпечних сайтів, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Internet Explorer 8. Рекомендую подивитися всім хто цікавиться цією темою.

Pwn2Own 2010 Windows 7 IE8 exploit

В даному відео ролику демонструється використання експлоіта для уразливості в IE8, що був показаний на Pwn2Own 2010. Експлоіт дозволяє проводити віддалене виконання коду в даному браузері (при цьому процес експлуатації показаний достатньо детально).

Атака відбувається при відвідуванні веб сторінки зі шкідливим кодом (що експлуатує дану уразливість). В результаті атаки на користувача IE8, зокрема у відео браузер запущений на Windows 7, нападник виконав довільний код (в даному випадку запустив calc.exe). Рекомендую подивитися дане відео для розуміння векторів атак на Internet Explorer.