Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Novell ZENWorks Remote Management Agent Weak Authentication Remote Code Execution Vulnerability (деталі)
• IBM OmniFind - several vulnerabilities (деталі)
• JQuarks4s Joomla Component 1.0.0 Blind SQL Injection Vulnerability (деталі)
• 2Wire Broadband Router Session Hijacking Vulnerability (деталі)
• eBlog 1.7 Multiple SQL Injection Vulnerabilities (деталі)
• Eclipse IDE | Help Server Local Cross Site Scripting (XSS) Vulnerability (деталі)
• Quick ‘n Easy FTP Server v3.2 (деталі)
• Quick ‘n Easy WEB Server DoS (деталі)
• Landesk OS command injection (деталі)
• vBulletin 4.0.8 - Persistent XSS via Profile Customization (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• War dialing
• Wardriving
• Warzapping
• Cross-Server Attack (XSA)
• Zero-day attack

01.02.2011

У грудні, 08.12.2008, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Live Wire Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в різних шаблонах для WP, зокрема в 2007 році я писав про XSS в темах Blix та Blix Rus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

08.04.2011

XSS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire-edition/thumb.php?src=jpg
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire-edition/

А також ще 30 php-скриптів шаблону в папці /livewire-edition/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire-edition/, дана тема також може розміщуватися в папці /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire Edition 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://search.com.ua - інфекція була виявлена 06.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://day-sity.ho.ua - інфекція була виявлена 26.03.2011. Зараз сайт входить до переліку підозрілих.
• http://kvn.odessa.ua - інфекція була виявлена 30.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://cinemanet.org.ua - інфекція була виявлена 29.03.2011. Зараз сайт входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 27.03.2011. Зараз сайт не входить до переліку підозрілих.

У березні, 17.03.2011, вийшов PHP 5.3.6. В якому виправлено більше 60 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.6:

• Посилена безпека в парсінгу fastcgi протоколу з fpm SAPI.
• Виправлений баг #54247 (format-string уразливість в Phar).
• Виправлений баг #54193 (Integer overflow в shmop_read()).
• Виправлений баг #54055 (buffer overrun з високими значеннями для precision ini налаштування).
• Виправлений баг #54002 (вибивання на спеціальному тезі в exif).
• Виправлений баг #53885 (вибивання в ZipArchive з FL_UNCHANGED на пустих архівах).
• Оновлений PCRE до версії 8.11.
• Виправлений баг #53577 (регресія, що була введена в 5.3.4 в open_basedir з завершальним слешем).

По матеріалам http://www.php.net.

09.09.2010

У квітні, 21.04.2010, я знайшов Full path disclosure, SQL Injection та Cross-Site Scripting уразливості на сайті http://www.tid.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта. До речі, це перший сайт, що використовує InterBase, який мені попався.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на bezpeka.kr.ua.

Детальна інформація про уразливості з’явиться пізніше.

07.04.2011

Full path disclosure:

http://www.tid.com.ua/tid1/lookups.php?q=’012

SQL Injection:

http://www.tid.com.ua/tid1/lookups.php?q=’01′

XSS:

• alert(document.cookie)

Остання уразливість виправлена неякісно:

XSS (Mozilla):

• alert(document.cookie)
• цікавий

З даних уразливостей виправлені всі, окрім XSS.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2010 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2010 по 30.06.2010, а в звіті Хакерська активність в Уанеті в 2 півріччі 2010 - дані за період з 01.07.2010 по 31.12.2010.

За весь 2010 рік в Уанеті була проведена 1554 атак на веб сайти - 155 за перше півріччя і 1399 за друге. Для порівняння, за весь 2009 рік було зафіксовано всього 273 атаки на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою. Як видно активність хакерів все більш помітна і вона продовжує щороку зростати.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2010 активність більша на 19% в порівнянні з аналогічним періодом 2009 року, а за друге півріччя 2010 - на 859% більше за аналогічний період 2009 року (і на 807% більше за перше півріччя 2010 року). А в цілому в 2010 році активність зросла на 462% порівняно з 2009 роком - зростання в 5,6 рази.

В 2010 році загалом було атаковано 1554 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 264 сайти, які вірогідно були похакані в 2010 році (з 265 виявлених сайтів, один, businessgo.info, був інфікований двічі - в першій і в другій половині року).

Головні тенденції 2010 року в діяльності хакерів в Уанеті:

• Хакерська активність значно зросла - на 462% порівняно з 2009 роком (збільшення динаміки у 5,6 рази).
• Все більше сайтів в Уанеті заражуються вірусами: в 2009 я виявив 67 інфікованих сайтів, в 2010 - вже 264 сайтів (збільшення динаміки у 3,94 рази).
• Кількість DDoS атак на сайти більша ніж в 2009 році - 18 випадків DDoS атак за рік (зростання у 2,6 рази). Це 1,2% від всіх атак за 2010 рік.
• Атаковані 48 державних сайтів та інфіковано ще 13 gov.ua-сайтів.
• Зростання взломів державних сайтів в 2 рази та зростання інфікування gov.ua-сайтів в 2,6 рази порівняно з 2009 роком.

Збільшення заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про зростання кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році значно зросла і вона продовжує зростати. І в 2011 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

За повідомленням hackzona.com.ua, критична вразливість в Adobe Flash Player.

В березні компанія Adobe випустила бюлетень безпеки, що повідомляє про уразливість нульового дня в Adobe Flash Player. Уразливість експлуатувалася шляхом впровадження спеціально сформованого Adobe Flash файлу (swf) в документ Microsoft Excel.

За повідомленням www.xakep.ru, Google закрила XSS уразливість в Android Market, яка могла привести до перемоги в Pwn2Own.

Уразливість, що дослідники планували використовувати для взлому мобільних телефонів Android на хакерському змаганні в березні, була закрита після того, як компанія Google усунула відповідну дірку в Android Market. І виправила вона цю уразливість напередодні Pwn2Own.

За повідомленням bugtraq.ru, MySQL.com взломали через SQL Injection.

Румунські взломщики взяли на себе відповідальність за нещодавній взлом mysql.com, що був проведений за допомогою найпростішого SQL Injection. Вони дістали імена користувачів і хеші паролів, що негайно виклали у відкритий доступ (а найпростіші відразу підібрали).

В 2008 році я вже писав про XSS уразливість на сайті MySQL. З тих пір вони так і не почали краще слідкувати за безпекою своїх сайтів.

В даній добірці уразливості в веб додатках:

• HP ProCurve 2610 Switches running DHCP, Remote Denial of Service (DoS) (деталі)
• HP ProCurve 2626 and 2650 Switches, Remote Unauthorized Access (деталі)
• LFI in eoCMS (деталі)
• BBcode XSS in eoCMS (деталі)
• HP ProCurve 2610 Switch In-band Agent, Remote Denial of Service (DoS) (деталі)
• HP ProCurve 1800 Switches running SNMP, Remote Disclosure of Information (деталі)
• Angel LMS Exploit (деталі)
• w3m vulnerability (деталі)
• Spree e-commerce JSON Hijacking Vulnerabilities (деталі)
• Seo Panel 2.1.0 - Critical File Disclosure (деталі)

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://britanka.com.ua (невідомим хакером) - 02.2011

Файли, що використовувалися для RFI атак:

http://britanka.com.ua/id1.txt - файл вже видалений з сайта.