Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• pam_captcha username harvest vulnerability (деталі)
• XSS vulnerability in sNews (деталі)
• AlstraSoft E-Friends 4.96 Multiple Remote Vulnerabilities (деталі)
• New znc packages fix denial of service (деталі)
• MyCart 2.0 Multiple Remote Vulnerabilities (деталі)
• XSS vulnerability in Zomplog (деталі)
• Ipswitch Imail Server Queuemgr Format String Remote Code Execution Vulnerability (деталі)
• Ipswitch Imail Server Mailing List Remote Code Execution Vulnerability (деталі)
• Ipswitch Imail Server List Mailer Reply-To Address Remote Code Execution Vulnerability (деталі)
• SQL injection in BloofoxCMS registration plugin (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Question and Answer Forum та WP Forum. Для котрих з’явилися експлоіти. Question and Answer Forum - це плагін для створення форуму питань і відповідей, WP Forum - це плагін для стоворення форуму.

• XSS in Question and Answer Forum wordpress plugin (деталі)
• SQL Injection in WP Forum wordpress plugin (деталі)
• SQL Injection in WP Forum wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У вересні місяці відбувся масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Freehost. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Inter-Telecom. Окрім основного (масового) взлому, були ще декілька невеликих взломів сайтів на даному сервері до і після цього інцеденту.

Всього в 2010-2011 роках було взломано 78 сайтів на сервері Freehost (IP 194.0.200.30). Це наступні сайти: www.your-brand.kiev.ua, general-brend.com.ua, www.efremov.kiev.ua, www.bibliotekaoz.com, www.report.if.ua, bilders.com.ua, masterknig.com.ua, masterknyg.com.ua, rotor-dv.com.ua, lawbrothers.com.ua, www.elitmoda.com.ua, www.podobovo.biz, www.caritas.if.ua, www.teksa.com.ua, drupal.ukrface.org.ua, www.studweek.org, www.styknews.info, www.ukrface.org.ua, www.vatikan.com.ua, www.studiya-igr.com.ua, www.relife.com.ua, www.sundara.com.ua, catalog.erkc.com.ua, jobs.alfa-personal.com.ua, www.alfa-dom.com.ua, www.alfa-personal.com.ua, www.erkc.com.ua, www.femida-online.com.ua, www.alliance-chemistry.com.ua, www.artmedia.dp.ua, www.colorart.com.ua, www.fabrika.gov.ua, www.filatovich.com, www.fit4you.dp.ua, www.gods.in.ua, www.hlpu.in.ua, www.nfuk.org.ua, www.novahvilya.org.ua, www.sharu.in.ua, www.inazuma.dn.ua, www.intermarr.com.ua, www.klimova.com.ua, littlestar.com.ua, www.master.ks.ua, www.mebel-megalux.com.ua, www.migexpo.kiev.ua, www.mykhail-krugliak.org.ua, www.naytov.net, www.nvcompany.com.ua, www.palladium.in.ua, www.goldenkey.com.ua, www.permyakov.info, www.lc-femida.com.ua, www.bomond-club.com.ua, www.burbbery.com.ua, www.timeresort.com.ua, www.retriever-db.com.ua, www.rk-ukraina.com, www.honda-shop.net, www.shopsex.in.ua, www.sichstudio.com, www.mebliki.kiev.ua, www.msio.com.ua, beta.bpf-ukraine.com.ua, maegrafik.in.ua, www.business-tour.com.ua, www.business-realt.com.ua, absolute-ukraine.com.ua, athome.in.ua, elegido.in.ua, gcapital.com.ua, lawyer-dan.in.ua, lmg.net.ua, na-5.org.ua, sessia-plus.org.ua, xxicentury-immigration.com, passionstyle.com.ua, www.dpks.dp.ua. Серед них український державний сайт www.fabrika.gov.ua.

Більшість з зазначених сайтів була взломана 07 вересня 2010 року. А також було ще декілька окремих дефейсів (перед і після цього масового взлому проведеного The KabuS): 01.03.2010, 18.05.2010, 16.08.2010, 17.08.2010, 24.08.2010, 24.08.2010, 10.09.2010, 30.09.2010, 17.11.2010 та 27.02.2011. Дефейси 52 сайтів проведено хакером The KabuS, 6 сайтів хакерами з K-N-S, 1 сайта хакером sr1_0d0nk, 17 сайтів хакерами з AHG, 1 сайта хакерами з AH-Crew і 1 сайта хакерами з KTN.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Продовжуючи розпочату традицію, після попереднього відео про Експлоіти для програм від Adobe, пропоную нове відео на веб секюріті тематику. Цього разу відео про діряві сайти McAfee. Рекомендую подивитися всім хто цікавиться цією темою.

XSSing McAfee SECURED

В даному відео від YGN Ethical Hacker Group показаний процес знаходження та демонстраційної експлуатації XSS уразливостей на сайтах McAfee - відомої секюріті компанії. Яка займається випуском антивірусів, а також проводить перевірки безпеки сайтів та роздає логотипи Hacker Safe та McAfee SECURE.

Раніше я вже писав про дірки на сайтах з логотипом McAfee “Hacker Safe” і в 2008 році дана компанія була переможцем Pwnie Awards за свою програму сертифікацї “Hacker Safe” (за ігнорування XSS). Стосовно справжної безпеки сайтів із секюріті логотипами я вже писав у своїй статті.

В відео демонструються дві XSS на двох сайтах McAfee і це при тому, що власні сайти даної компанії мають логотип McAfee SECURE . Рекомендую подивитися дане відео для розуміння справжнього значення секюріті логотипів.

14.01.2011

У жовтні, 26.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в PHP-Nuke. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в PHP-Nuke.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.03.2011

Insufficient Anti-automation:

http://site/modules.php?name=Submit_News

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

http://site/modules.php?name=Submit_News

"><img src='’ onerror="javascript:alert(document.cookie)

В полі Тема.

<img src='’ onerror="javascript:alert(document.cookie)">

В полях Анотація та Основний текст статті. Спрацює при використанні TinyMCE в формі.

Уразливі PHP-Nuke 8.0 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://artsv.kiev.ua - інфекція була виявлена 05.03.2011. Зараз сайт входить до переліку підозрілих.
• http://macro-win.org.ua - інфекція була виявлена 06.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://all4life.pp.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://symbian.at.ua - інфекція була виявлена 13.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://rub.pp.ua - інфекція була виявлена 19.02.2011. Зараз сайт не входить до переліку підозрілих.

Сайт artsv.kiev.ua раніше вже був взломаний. А через декілька днів на ньому з’явився шкідливий код (схоже, що це вже після нового взлому).

09.02.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-003 - Critical Cumulative Security Update for Internet Explorer (деталі)

08.03.2011

Додаткова інформація.

• Microsoft Internet Explorer “mshtml.dll” Dangling Pointer Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Xlight FTPd Multiple Directory Traversal in SFTP (деталі)
• Aardvark Topsite XSS vulnerability (деталі)
• New TYPO3 packages fix several vulnerabilities (деталі)
• Multiple Cisco CSS / ACE Client Certificate and HTTP Header Manipulation Vulnerabilities (деталі)
• Wiccle Web Builder CMS and iWiccle CMS Community Builder Multiple XSS Vulnerabilities (деталі)
• Pecio CMS XSS Vulnerability (деталі)
• Security Advisories from TEHTRI-Security at HITB Europe (деталі)
• Micro CMS Persistent XSS Vulnerability (деталі)
• Multiple critical vulnerabilities in Sawmill log analysis software (деталі)
• ALPHA Ethernet Adapter II Web-Manager 3.40.2 Authentication Bypass (деталі)

За повідомленням hackzona.com.ua, у Java проявилася вразливість при обробці чисел з плаваючою комою.

У січні в інтерпретаторі PHP була виправлена уразливість, що дозволяє викликати зависання процесу при виконанні операцій c деякими числами з плаваючою комою. Уразливість проявлялася тільки при використанні в процесі перетворення чисел x87 FPU-регістрів.

Як виявилося, до цієї проблеми схильний не тільки інтерпретатор PHP, але і віртуальна машина Java.

За повідомленням www.xakep.ru, хакер обвинувачений у перекачуванні грошей розробника ПЗ.

Передбачуваний хакер був обвинувачений у вторгненні в електронні системи Digital River і спробі переправити більш $274000 на акаунт, що знаходиться під його контролем.

За повідомленням www.3dnews.ru, Google запропонувала двоступінчастий механізм аутентифікації.

З метою більш надійного захисту користувацьких облікових записів у системі служб Google, фахівці пошукового гіганта вирішили застосувати механізм двоступінчастої аутентифікації. Крім стандартного пароля, застосовуваного для входу в обліковий запис, тепер можна за бажанням використовувати додатковий механізм.

26.02.2010

У липні, 28.07.2009, я знайшов Denial of Service та Full path disclosure уразливості на проекті http://www.helsinki.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.helsinki.org.ua.

Детальна інформація про уразливості з’явиться пізніше.

05.03.2011

DoS (через SQL Injection):

http://www.helsinki.org.ua/index.php?do=search&word=%25/*
http://www.helsinki.org.ua/index.php?do=search&word=%25%20or%201=1/*
http://www.helsinki.org.ua/index.php?do=search&word=%25%25%25

Full path disclosure:

http://www.helsinki.org.ua/index.php?do

http://www.helsinki.org.ua/inc/skin/main.php

Якщо DoS вже виправлені (хоча все ще є деякі приторможення сервера при другому запиті й аналогічних запитах), то FPD досі не виправлені.