Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://webin.com.ua (хакером Stupid) - 16.01.2011, зараз сайт вже виправлений адмінами
• http://lntc.biz (хакером Stupid) - 29.01.2011, зараз сайт вже виправлений адмінами
• http://hofkarate.org (хакером HEXB00T3R) - 28.01.2011, зараз сайт закритий на реконструкцію
• http://uk.banksale.com.ua (хакером Brunei)
• http://steelfreedom.org.ua (хакером Lekosta) - 01.2011, зараз сайт вже виправлений адмінами

За повідомленням www.xakep.ru, Mozilla випадково обнародувала особисті даних користувачів.

Кріс Ліон, директор по безпеці в проекті Mozilla, підтвердив факт витоку бази користувацьких аккаунтів каталогу доповнень addons.mozilla.org, що включає ідентифікатори користувачів, emaіl і хеші від паролів. Так як в БД були представлені тільки хеші паролів, ризик для користувачів addons.mozilla.org відзначений як мінімальний.

Враховуючи дірявість браузерів Мозіли та інших їхніх продуктів, про що я розповідаю вже багато років, зовсім не визиває подиву витік БД їхнього сайта.

За повідомленням hackzona.com.ua, дослідники розповіли про новий тип DoS-атак.

Технічні фахівці з компанії Trustwave - SpiderLabs розповіли про нові зразки атак на технічній конференції BlackHat в США. Крім того, вони запропонували ймовірні способи захисту від нового покоління DoS-атак.

За повідомленням www.xakep.ru, хакери зняли кандидатуру Саркозі з президентських виборів.

Персональна сторінка президента Франції Ніколя Саркозі на Facebook була нещодавно взломана невідомими. Про це сам Саркозі повідомив через соціальну мережу.

25.11.2010

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на офіційному сайті firebook.ru. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Firebook.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

03.02.2011

Insufficient Anti-automation:

http://site/index.html?mailto=MG1112008878;file=path/to/guestbook/message.html;

На сторінці відправки повідомлення на емайл немає захисту від автоматизованих запитів (капчі). При заході на сторінку перевіряється реферер.

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відправника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://site/env/index.html

Витік повного шляху на сервері та іншої інформації.

XSS:

http://site/env/index.html?%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Firebook 3.100328 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Powerhouse Museum Collection Image Grid, oQey-Gallery та Feature Slideshow. Для котрих з’явилися експлоіти. Powerhouse Museum Collection Image Grid - це плагін для включення прев’юшек та описів об’єктів з колекції Powerhouse Museum, oQey-Gallery - це плагін для створення фото галерей і слайдшоу, Feature Slideshow - це плагін для створення слайдшоу з вибраних записів або сторінок.

• WordPress Powerhouse Museum Collection Image Grid 0.9.1.1 Cross Site Scripting (деталі)
• WordPress oQey-Gallery 0.2 Cross Site Scripting (деталі)
• WordPress Feature Slideshow 1.0.6-beta Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Додаток DotDotPwn - The Directory Traversal Fuzzer - це фазер Directory Traversal уразливостей у додатках. Версія DotDotPwn v2.1 була анонсована в жовтні 2010 в The Web Security Mailing List.

Дана програма призначена для пошуку Directory Traversal (також відомих як Path Traversal) уразливостей у веб додатках та серверних додатках (таких як веб, ftp та tftp сервери). І як заявляють розробники додатку, за його допомогою були виявлені уразливості в 4 web серверах, 2 ftp серверах та 2 tftp серверах.

Сам я завжди шукаю Directory Traversal дірки вручну і кожен веб секюріті професіонал цілком може самостійно знайти дані дірки, але в цілому даний інструмент може стати в нагоді секюріті дослідникам. Особливо тим дослідникам, що полюбляють використовувати автоматизовані сканери для пошуку уразливостей . Як він може стати в нагоді й розробникам серверних додатків та веб додатків, а також адмінам сайтів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему безпеки кредитних карт і онлайнових електронних транзакцій та Інтернет шахрайства.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Credit card fraud
• Crimeware
• Internet fraud
• Phishing
• Advance-fee fraud

В даній добірці уразливості в веб додатках:

• Cisco Small Business Video Surveillance Cameras and Cisco 4-Port Gigabit Security Routers Authentication Bypass Vulnerability (деталі)
• XSRF (CSRF) in Zimplit (деталі)
• HP TestDirector for Quality Center running on AIX, Linux and Solaris, Remote Unauthorized Access (деталі)
• Mako vulnerability (деталі)
• Netgear WG602v4 Saved Pass Stack Overflow (деталі)
• JE Guestbook 1.0 Joomla Component Multiple Remote Vulnerabilities (деталі)
• Contact Form Generator (EditFormLite) SQL Injection Vulnerability (деталі)
• Wget vulnerability (деталі)
• NetWin Surgemail XSS vulnerability (деталі)
• Netbiter webSCADA multiple vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://radikal.pp.ua - інфекція була виявлена 05.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://vhodv.com - інфекція була виявлена 31.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://wedness.cv.ua - інфекція була виявлена 23.11.2010. Зараз сайт входить до переліку підозрілих.
• http://zikave.at.ua - інфекція була виявлена 27.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://goodparents.com.ua - інфекція була виявлена 12.11.2010. Зараз сайт не входить до переліку підозрілих.

В останні роки з’явився новий вид атак на сайти - це атака на сайт через захоплення домену. Зокрема в 2009-2011 роках сталося декілька подібних атак на відомі компанії. Тому, на мій погляд, даний вид атак буде ставати все більш поширеним з кожним роком і вже варто звертати на це увагу.

Захоплення домену (Domain hijacking) - це атака, коли змінюються налаштування домену (DNS) для того, щоб він вказував не на офіційний сервер власників домену, а на сервер зловмисників. І дана атака може становити загрозу власникам сайта та його відвідувачам. Тому враховуючи поширення подібних атак, подібно приділяти увагу також і безпеці власних доменів (як самим власникам доменів, так і домен-провайдерам).

Останні гучні інциденти:

1. Атака на марокканський сайт Google.

В травні 2009 року відбулася атака на сайт google.co.ma компанії Googlе через зміну налаштувань DNS. Як повідомлялося, перед цим (в квітні) аналогічним чином були атаковані сайти Google в Алжиру (google.dz) і Пуерто-Ріко (google.com.pr).

2. Дефейс бангладешського сайта Google.

Як я вже писав, на початку січня сайт google.com.bd компанії Googlе піддався дефейсу, через захоплення управління над доменом.

3. Захоплення домену ChronoPay.

Як я писав раніше, наприкінці грудня 2010 року був взломаний сайт ChronoPay. Власники процесінгової компанії заявили, що безпосередньо сам сайт не взломали, а лише тимчасово викрали домен. Але враховуючи, що це крупна процесінгова компанія, сайтом якої користується велика кількість власників кредитних карт, наслідки даної атаки будуть серйозними.

16.06.2010

У листопаді, 08.11.2009, я знайшов Cross-Site Scripting уразливості на проекті http://n-change.net (обмінник веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно обмінників веб грошей я писав про уразливості на exwp.com.

Детальна інформація про уразливості з’явиться пізніше.

01.02.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.