Websecurity - Веб безпека

Продовжую розповідати вам про редиректори на секюріті сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. В WASC TC v2.0 дані уразливості винесені в окремий клас URL Redirector Abuse (WASC-38).

Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти та інших атак.

До наведених в попередніх записах, приведу ще декілька прикладів редиректорів на сайтах про інформаційну безпеку.

Редиректори на секюріті та хакерських сайтах:

Bezpeka:

http://bezpeka.com/ru/redirect/?bid=1&url=http://websecurity.com.ua

http://bezpeka.com/ua/redirect/?bid=1&url=http://websecurity.com.ua

http://bezpeka.com/en/redirect/?bid=1&url=http://websecurity.com.ua

IT Land:

http://www.itland.com.ua/bitrix/…?goto=http://websecurity.com.ua

http://www.itland.com.ua/bitrix/…?goto=http://websecurity.com.ua

Hacker-Pro:

http://hacker-pro.net/redirector.php?url=http://websecurity.com.ua

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gaisumy.gov.ua (хакерами з FHS-CREW) - 02.03.2011, взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://pro-fishing.com.ua (хакерами з 1923Turk-Grup) - 26.02.2011, зараз сайт вже виправлений адмінами
• http://tashirpizza.com.ua (хакером SAH4ND) - 20.02.2011, зараз сайт вже виправлений адмінами
• DDoS-атака на http://eizvestia.com (невідомими хакерами) - 24.01.2011
• http://gorbunov.com.ua (хакером ph0unix)

11.11.2010

У липні, 25.07.2010, я знайшов Cross-Site Scripting уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на сайті www.telegroup.ua та інших сайтах на даному движку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MC Content Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

04.03.2011

XSS:

POST запит на сторінці http://site/ru/cms/search
"><script>alert(document.cookie)</script>В полі пошуку.

XSS:

http://site/orders.php?act=search&query=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі попередні версії MC Content Manager (до версії v.10.1.1).

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему шкідливого программного забезпечення та Інтернет шахрайства.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Spyware
• Computer virus
• Computer worm
• Lottery scam
• Make Money Fast

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, IWantOneButton та NextGEN Gallery. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, IWantOneButton - це плагін для розміщення кнопок “I want one” та “I have one” в постах, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPress Uploadify Plugin 1.0 Remote File Upload (деталі)
• SQL Injection in IWantOneButton wordpress plugin (деталі)
• Path disclosure in NextGEN Gallery wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Wing FTP Server PORT Command DoS Vulnerability (деталі)
• complete-blog-(ing) Database Disclosure Exploit (деталі)
• Sysax Multi Server “open”, “unlink”, “mkdir”, “scp_get” Commands DoS Vulnerabilities (деталі)
• XSS vulnerability in sNews (деталі)
• SQL Injection in 4site CMS (деталі)
• Cisco ASA HTTP Response Splitting Vulnerability (деталі)
• Path disclosure in Tribiq CMS (деталі)
• SQL injection in DeluxeBB (деталі)
• D-Link DAP-1160 Authentication Bypass (деталі)
• D-Link DAP-1160 Unauthenticated Remote Configuration (деталі)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах домен провайдерів, онлайн магазинів, баннерних систем та електронних платіжних систем (України та США):

• www.imena.ua
• seal.godaddy.com
• banner.b-one.com.ua
• banner.kiev.ua
• easypay.ua

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• e-zarina.com.ua
• www.games4xbox.comua.net
• shop.zdravnik.com.ua
• 15workdaily.com
• danishevskaya.com
• buket.dn.ua
• pfg.com.ua
• www.techno-plus.zp.ua
• shop.impreza.net.ua
• www.sevshop.ru
• www.sev-shop.com.ua

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• bizneswm.com
• allit.dp.ua
• novinka.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

26.08.2010

У березні, 15.03.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості на сайті http://maidan.org.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на maidan.org.ua.

Детальна інформація про уразливості з’явиться пізніше.

03.03.2011

XSS:

http://maidan.org.ua/news/search.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E

Local File Inclusion:

http://maidan.org.ua/news/search.php3?bn=1

http://maidan.org.ua/news/search.php3?bn=..\1

Дані уразливості вже виправлені.

Учора відбувся масовий взлом сайтів на сервері Faust. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Faust. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 60 сайтів на сервері Faust (IP 195.68.203.245). Це наступні сайти: stc.kiev.ua, activtrade.com.ua, aeg.kiev.ua, agrogest.com.ua, alkor.org.ua, alum.org.ua, amistad.com.ua, ariy.com.ua, artdecor-pro.com.ua, artsv.com.ua, artsv.kiev.ua, avesta.org.ua, best-photovideo.com.ua, bestmedia.kiev.ua, blaucraft.kiev.ua, coe.kiev.ua, colorlumen.com.ua, csdi.kiev.ua, dnsgb.kiev.ua, doctorignatyev.com, expert-ltd.org, fa.kiev.ua, gardiny.kiev.ua, goloseevo.kiev.ua, granduspeh.com.ua, grantes.com.ua, indystria.com.ua, intex.net.ua, itf-taekwondo.org.ua, kaskad.kiev.ua, kolight.org.ua, korneichuk.kiev.ua, kvinta.com.ua, lupus.kiev.ua, mairis.com, map.faust.net.ua, meblis.kiev.ua, medbud.kiev.ua, meddim.com.ua, meregi.kiev.ua, natasha.kiev.ua, oko.org.ua, ortomedina.com.ua, osc-distributor.com.ua, pak.kiev.ua, pak.net.ua, pronetukr.kiev.ua, qualita-mn.com.ua, radiodim.kiev.ua, rm-optica.com, revopravo.kiev.ua, scwm.gov.ua, titools.com.ua, troeschina.kiev.ua, u2.faust.kiev.ua, ukraine-international.kiev.ua, ucrania-espana.com, v1.faust.net.ua, ukrpromgroup.com.ua, ukrpromgroup.kiev.ua. Серед них українські державні сайти: dnsgb.kiev.ua і scwm.gov.ua.

Всі зазначені сайти були взломані 1 березня 2011 року. Дефейси 59 сайтів проведено хакером KriptekS і 1 сайта хакером iskorpitx. А також раніше було ще два дефейси на даному сервері - 24.04.2010 взломаний сайт 220v.net.ua та 08.07.2008 сайт scwm.gov.ua.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 5.0, JRE 6.0, JDK 6.0.

Понад 20 різний уязвимостей.

• Oracle Java Webstart Trusted JNLP Extension Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Clipboard Injection Remote Code Execution Vulnerability (деталі)
• Oracle Java XGetSamplePtrFromSnd Remote Code Execution Vulnerability (деталі)
• Oracle Java Unsigned Applet Applet2ClassLoader Remote Code Execution Vulnerability (деталі)
• Oracle Java Runtime NTLM Authentication Information Leakage Vulnerability (деталі)
• Oracle Java SE and Java for Business Critical Patch Update Advisory - February 2011 (деталі)