Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.qplaze.com (хакером Komanachi) - 11.02.2009, зараз сайт виправлений адмінами
• http://crimean-miracle.com (хакерами MJO і CharmaniaL) - 11.02.2009, зараз сайт відключений хостером
• http://ukrainainkognita.org.ua (хакером Cyber_945) - похакана директорія сайта
• http://indonbass.com.ua (хакером KaRiZmA_0_5) - 11.02.2009, зараз сайт виправлений адмінами
• http://www.polyplus.com.ua (хакером DaNG3R)

В Web Security Mailing List Bil Corry привів цікавий перелік логічний уразливостей. В переліку наведені приклади логічних уразливостей на відомих сайтах, що викликали найбільшу увагу громадськості.

Біл привів наступні логічні уразливості:

• Yahoo SEM Logic Flaw
• Tower Records Tunes Its Site
• Youtube’s 18+ Filters Don’t Work
• Peekaboo! Facebook fills photo security hole
• Hole unveils Facebook fan pages
• Man Allegedly Bilks E-trade, Schwab of $50,000 by Collecting Lots of Free ‘Micro-Deposits’
• Apple and AT&T providing free Wi-Fi access to iPhone users and oops? to everyone else as well!
• Paris and Lindsay Hacked Again (There’s a Lesson Here, Really)

На цьому тижні, 10.02.2009, пройшов День безпечного Інтернету. З чим я вас і вітаю. Мета даного заходу - роз’яснення загроз, що несе Всесвітня павутина.

Як повідомляє сайт www.moral.gov.ua, аби привернути увагу всієї Інтернет-спільноти до проблем безпеки у Всесвітній мережі, в Україні 10 лютого 2009 року відзначався День безпечного Інтернету. Зазначу, що як я писав раніше, в 2007 році День безпечного Інтернету відзначався 6 лютого, а в 2008, як я знайшов в Мережі - 12 лютого, а в 2009 році - вже 10 лютого. Щось не можуть організатори заходу визначитися з одним днем його проведення.

Головним координатором Дня безпечного Інтернету є некомерційна організація Insafe. Про уразливості на її сайті www.saferinternet.org я вже писав.

Стосовно безпеки Інтернету та Уанету зокрема, то зазначу наступне. Що до реальної безпеки ще доволі далеко, і небезпек в Інтернеті достатньо. І їх кількість постійно зростає, тому якщо не приймати реальних кроків, ситуація не зміниться на краще.

Якби там хто не святкував “безпечність Інтернету”, з усіма тими уразливостями на веб сайтах і в веб додатках, про які я пишу щодня, він більш безпечним не стане. В першу чергу це стосується Уанету. Стан безпеки в Уанеті достатньо низький, що добре видно з моїх підсумків хакерської активності в 2008 році, і в новому році ситуація буде розвиватися в тому ж напрямі. Якщо українці не змінять своїх підходів до безпеки власних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://symbio.net.ua (хакерами SahillerinDostu і Ali_Eren) - 26.01.2009 був похаканий форум сайта, зараз він вже виправлений адмінами
• http://ceka.io.ua (хакером AZE_CEKA)
• http://return.org.ua (хакерами ZoRLu і SuB-ZeRo)
• http://zvcaves.kiev.ua (хакером TheWayEnd) - 30.12.2008, зараз сайт закритий адмінами
• http://varto.kiev.ua (хакером aLeSha)

Те, що Mozilla виправляє дірки в своїх браузерах, це безперечно. Нещодавно вони виправили численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey, випустивши нові версії своїх продуктів. При цьому я неодноразово писав про те, що вони постійно ігнорують уразливості про які я їм повідомляю (і не виправляють їх, тому вони роками наявні в браузерах Мозіли).

Нещодавно я виявив Charset Remembering уразливість в Mozilla Firefox, про що повідомив Мозілу. На що вони мені відповіли, що вони вже виправили дану уразливість (навіть не знаючи про неї), ще в Firefox 3.0.2.

Вони відключили можливість вручну вибрати кодування UTF-7 в Firefox 3.0.2 (тим самим виправивши вищезгадану уразливість). І зробили це потайки.

В результаті Mozilla потайки виправила в Firefox 3.0.2 ряд знайдених мною уразливостей пов’язаних з UTF-7, зокрема Charset Remembering та Cross-Site Scripting в Mozilla та Firefox (а також ще одну XSS, яку я виявив в лютому 2008 і про яку найближчим часом розповім). При цьому не згадавши в себе на сайті, зокрема в своїх Security Advisories для Firefox 2.0 та Firefox 3.0, ні про знайдені мною уразливості, ні про зроблені зміни в браузері.

Це добре, що вони нарешті виправили дірку, про яку я писав їм ще в жовтні 2007 (а заодно іще одну нову), але погано, що вони зробили це потайки. Приховуючи тим самим проблеми з безпекою в браузері, що мали місце роками (і які наявні в старих версіях їхніх браузерів, тому вони стосуються всіх користувачів даних версій).

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Новий на Yandex.ru:

http://mail.yandex.ru/r?url=http://websecurity.com.ua

Mail.ru:

http://rb.mail.ru/clbkjb/websecurity.com.ua

Meta.ua (до раніше згаданих редиректорів на Меті):

http://img.meta.ua/mclick.asp?go=http://websecurity.com.ua

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://porublyov.com.ua (хакером DaNG3R)
• http://istl.org.ua (хакерами з OZELTEAM) - 29.01.2009, зараз сайт вже виправлений адмінами
• http://shop-e.com.ua (хакером Bgh7)
• http://kroll.kiev.ua (хакером hack-ponchika)
• http://pobeda.org.ua (хакером AsSerT) - 22.01.2009, зараз сайт вже виправлений адмінами

За минулий рік я провів багато секюріті досліджень і написав чимало статей на тему веб безпеки. Пропоную вам перелік найважливіших моїх секюріті розробок за 2008 рік.

• Recursive File Include - нове обличчя DoS атак
• Обхід багатопрохідних фільтрів
• Session Extending - продовження сесії
• Небезпеки DoS атак на браузери, де я, зокрема, розповів про Reverse DDoS атаку
• Кількість похаканих сайтів в Інтернеті
• Automatic File Download уразливості в браузерах
• Редиректори через Flash
• Нове використання аплоадера
• Класифікація DoS уразливостей в браузерах
• Міжпрограмні DoS (Cross-Application DoS)
• XSS уразливості в 215000 флеш файлах - дані уразливості є прикладом strictly social XSS
• Code Execution через XSS
• Міжбраузерний Code Execution через XSS
• Post Persistent XSS (Saved XSS) уразливості
• Пекло редиректорів (Redirectors’ hell)
• Класифікація DoS уразливостей у веб додатках
• Зациклений DoS (Looped DoS)
• Persistent SQL Injection
• Класифікація SQL Injection уразливостей

Дані дослідженя - це лише частина досліджень які я провів торік. І з часом я оприлюдню багато інших моїх досліджень (що я провів в 2006, 2007 і 2008 роках).

Також торік я зробив анонси (і найближчим часом напишу деталі):

• Information Leakage в Firefox, Opera, Internet Explorer та Google Chrome
• MouseOverJacking атаки

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.topstroy.com.ua (хакером President) - причому спочатку сайт 20.01.2009 був похаканий President, а 25.01.2009 похаканий SahillerinDostu (зараз сайт вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.baltia.com.ua (хакером CWOmer) - 24.01.2009, зараз сайт вже виправлений адмінами
• http://bujutsu.com.ua (хакером dr.HouSe) - похаканий форум сайта
• http://jazzpoll.com.ua (хакером WHACK)
• www.soroka.lviv.ua (хакером BURAXIS) - 24.01.2009, зараз сайт вже виправлений адмінами

Учора, 25.01.2009, я знайшов Cross-Site Scripting, SQL Injection та Arbitrary File Deletion уразливості в плагіні WP-Upload Manager для WordPress. Про що найближчим часом повідомлю розробникам плагіна.

XSS:

WP-Upload Manager XSS.html

SQL Injection:

WP-Upload Manager SQL Injection.html

Дана SQL ін’єкція може використовуватися для проведення DoS атак.

Arbitrary File Deletion:

WP-Upload Manager Arbitrary File Deletion.html

Дана уразливість може використовуватися для видалення довільних файлів в папці для завантаження.

Уразлива версія плагіна WP-Upload Manager 1.0. Дана версія плагіну призначена для WordPress 1.5 та попередніх версій.