Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Insight Orchestration for Windows, Remote Unauthorized Access (деталі)
• HP Systems Insight Manager (SIM) for HP-UX, Linux, and Windows, Remote Execution of Arbitrary Code and Other Vulnerabilities (деталі)
• XSS vulnerability in MemHT Portal (деталі)
• Stored XSS (Cross Site Scripting) vulnerability in MemHT Portal (деталі)
• HP Virtual Connect Enterprise Manager for Windows, Remote Cross Site Scripting (XSS) (деталі)
• HP Insight Control Server Migration for Windows, Local and Remote Unauthorized Access to Data, Remote Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS) (деталі)
• Security Advisory for Bugzilla 3.2.8, 3.4.8, 3.6.2, and 3.7.3 (деталі)
• Zen Cart 1.3.9h Local File Inclusion Vulnerability (деталі)
• HP Client Automation Enterprise Infrastructure (Radia) Remote Disclosure of Information (деталі)
• Adsoft Remote Sql Injection Vulnerability (деталі)

В статті Writing Secure WP Plugins David Kierznowski розповідає про правильні підходи до написання плагінів для WordPress. Про те, як написати безпечний плагін для WP.

В статті наводяться рекомендації по використанню наступних секюріті механізмів:

• attribute_escape - для захисту від XSS уразливостей.
• wp_nonce - для захисту від CSRF уразливостей.

Обидва механізми є вбудованими в движок. Окрім них, звісно можна використовувати й інши функції мови PHP та розробляти власні функції для захисту від різних атак та уразливостей. Але зокрема для протидії XSS та CSRF можна використовувати дані механізми.

Додам, що слідкувати за безпекою власних веб додатків потрібно не тільки розробникам плагінів для WP, але й розробникам шаблонів для WP. Тому що уразливості трапляються як в плагінах, так і темах для WordPress.

В березні місяці Microsoft випустила 3 патчі. Що значно менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло три бюлетені по безпеці. Що закривають уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інші два патчі виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Groove 2007.

04.09.2010

У квітні, 16.04.2010, я знайшов Information Leakage, Local File Include та Full path disclosure уразливості на сайті http://www.disperindag-jabar.go.id. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

25.03.2011

Information Leakage (Forced Directory Indexing):

http://www.disperindag-jabar.go.id/%3f/

Дану уразливість я назвав Forced Directory Indexing і вона може мати місце зокрема на веб сервері Apache.

Local File Include:

http://www.disperindag-jabar.go.id/?pilih=index

http://www.disperindag-jabar.go.id/?pilih=files/../index

Full path disclosure:

http://www.disperindag-jabar.go.id/?pilih=index

http://www.disperindag-jabar.go.id/?pilih=config

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Lazyest Gallery та Sodahead Polls. Для котрих з’явилися експлоіти. Lazyest Gallery - це плагін для стоворення фото галерей, Sodahead Polls - це плагін для стоворення голосувань.

• XSS in Lazyest Gallery wordpress plugin (деталі)
• Path disclosure in Lazyest Gallery wordpress plugin (деталі)
• XSS in Sodahead Polls wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Враховуючи накопичену мною за 2006-2010 роки інформацію про хакерську активність в Уанеті, я вирішив навести підсумкову інформацію про взломані gov.ua сайти. Наведу порівняльну статистику взломів державних сайтів України за останні роки.

Статистика буде за 2006 - 2010 роки. За останні п’ять років всього було атаковано 126 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких, за час моїх досліджень інфікованих сайтів, було виявлено в 2009 році 5 сайтів та в 2010 році 13 сайтів.

За весь 2006 рік в Уанеті було атаковано 23 веб сайти.

За весь 2007 рік в Уанеті було атаковано 13 веб сайтів.

За весь 2008 рік в Уанеті було атаковано 18 веб сайтів.

За весь 2009 рік в Уанеті було атаковано 24 веб сайти.

За весь 2010 рік в Уанеті була атаковано 48 веб сайтів.

Динаміка взломів державних сайтів в Уанеті.

В 2007 році активність спала на 43% порівняно з 2006 роком (спад в 1,77 рази).

В 2008 році активність зросла на 38% порівняно з 2007 роком (зростання в 1,38 рази).

В 2009 році активність зросла на 33% порівняно з 2008 роком (зростання в 1,33 рази).

В 2010 році активність зросла на 100% порівняно з 2009 роком (зростання в 2 рази).

Як видно зі статистики, кількість атак на державні сайти України в останні роки стабільно зростає.

За повідомленням компанії Microsoft, 16.03.2011 компанією Comodo були видані фальшиві сертифікати.

Невідомим зловмисникам були видані підписані сертифікати наступних служб: login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org та Global Trustee.

Те, що подібна атака на Certification Authority можлива, в мене ніколи не було сумнівів, питання було лише в тому, коли це трапиться. І ось зараз ми маємо подібний випадок. Коли зловмисники не стали займатися підробкою сертифікатів, а отримали робочі сертифікати від CA на чужі домени.

• Microsoft Security Advisory (2524375) Fraudulent Digital Certificates Could Allow Spoofing (деталі)

26.01.2011

У грудні, 14.12.2010, я знайшов Cross-Site Scripting, Brute Force та Full path disclosure уразливості в Artefact St. CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Дірки я виявив на http://www.moral.gov.ua, про дірки на якому (в попередньому движку) я вже писав, та на інших сайтах, що використвують даний движок.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

24.03.2011

XSS:

http://site/search/?s=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Brute Force:

http://site/admin/

Full path disclosure:

http://site/view.php?id=

Уразливі всі версії Artefact St. CMS та Artefact St. CMS light version.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://youtop.biz (хакером iskorpitx) - 04.03.2011, зараз сайт вже виправлений адмінами
• http://medea.com.ua (хакерами з RBH-Crew) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://poport.net (хакерами з RBH-Crew)
• http://oda-service.com.ua (хакерами з RBH-Crew) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://blowrate.com (хакерами з RBH-Crew)

В своїй презентації Managing and Securing Web 2.0, Jason Edelstein розповідає про безпеку Веб 2.0. Про те, які уразливості може принести Web 2.0 та як убезпечитися від них.