Websecurity - Веб безпека

Позавчора я продовжив проект День багів в Google Chrome. В субботу я опублікував декілька уразливостей в браузері Google Chrome (всього 4 дірки).

• Нові уразливості в Google Chrome - DoS та витік інформації (паролів) в Хромі, що були знайдені двома секюріті дослідниками.
• Нова Automatic File Download уразливість в Google Chrome - знайдена мною Automatic File Download (через тег script) в Хромі.
• SSL Error баг в Google Chrome - баг в роботі Хрома з SSL, що безпосередньо впливає на безпеку користувачів браузера.

На цьому я завершую проект День багів в Google Chrome (Day of bugs in Google Chrome). Але враховуючи, що я знайшов ще нові уразливості в даному браузері , я продовжу оприлюднювати уразливості в Chrome.

Учора я продовжив проект День багів в Google Chrome. За вчорашній день я опублікував декілька уразливостей в браузері Google Chrome (всього 4 дірки).

• Нові уразливості в Google Chrome - DoS та Buffer Overflow (виконання коду) в Хромі, що були знайдені двома секюріті дослідниками.
• Automatic File Download уразливість в Google Chrome - знайдена мною Automatic File Download (через тег meta) в Хромі.
• Нова DoS уразливість в Google Chrome - знайдена мною нова Denial of Service в Хромі.

Враховуючи, що я знайшов чимало інших уразливостей в Хромі, я вирішив продовжити даний проект - і сьогодні відбудеться наступний день проекта День багів в Google Chrome (Day of bugs in Google Chrome). В якому я оприлюдню нові уразливості в Chrome.

Учора я провів проект День багів в Google Chrome. За вчорашній день я опублікував декілька уразливостей в браузері Google Chrome (всього 4 дірки).

• Уразливості в Google Chrome - DoS та Automatic File Download уразливості в Хромі, що були знайдені двома секюріті дослідниками.
• DoS уразливість в Google Chrome - знайдена мною Denial of Service в Хромі.
• Нова DoS уразливість в Google Chrome - знайдена мною нова Denial of Service в Хромі.

Враховуючи, що я знайшов ще чимало уразливостей в Chrome, я вирішив продовжити даний проект - і сьогодні відбудеться новий день проекта День багів в Google Chrome (Day of bugs in Google Chrome). В якому я оприлюдню нові уразливості в браузері Chrome.

Після виходу Google Chrome і після знайдення мною та іншими секюріті дослідниками дір в даному браузері, я вирішив провести День багів в Google Chrome (Day of bugs in Google Chrome). В цьому проекті будуть оприлюднені уразливості в новому браузері Гугла, як знайдені мною, так й іншими дослідниками. Раніше я вже проводив День багів в WordPress (в грудні 2007 року), цього разу об’єктом уваги став Chrome .

Учора я оприлюднив Automatic File Download уразливість в Chrome (через тег frame) та навів експлоіт для неї. А також навів свою версію експлоіту та орігінальний експлоіт (розроблений nerex) для іншої Automatic File Download уразливості в Chrome (через тег iframe). І враховуючи, що я виявив й інші уразливості в Хромі, я вирішив об’єданати їх в даному проекті.

Сьогодні я оприлюдню нові уразливості в Хромі.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://m-centr.ho.ua (хакерами THE.CAYLAK, VeZiR.04 та THE.bilen) - причому спочатку сайт був похаканий 17.08.2008 цими трьома хакерами, а потім 24.08.2008 ReSeT-ExorcisT (зараз він вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.premierpetdirect.com (хакером ZoRRoKiN) - сайт зараз не працює, останній раз він працював в минулому місяці й був взломаний орієнтовно 19.08.2008
• http://baxi.org.ua (хакером BaDDaRk) - сайт зараз не працює (бо видалений увесь його вміст), він був взломаний орієнтовно 26.08.2008
• http://www.mvk.if.ua (хакером DumansaL) - офiцiйний сайт мiста Iвано-Франкiвська був похаканий 25.08.2008, зараз він вже виправлений адмінами
• http://www.markus.com.ua (хакерами CrAcKeR-TrImI і CN-Security Crew) - сайт зараз не працює (бо видалений увесь його вміст), він був взломаний орієнтовно 19.08.2008

Нещодавно були оголошені переможці Pwnie Awards 2008 - Pwnie Award Winners. Вручення нагород пройшло 6 серпня, а 20 серпня імена переможців в усіх категоріях було оприлюднено на сайті.

До речі, на сайті розміщений відео запис церемонії вручення премій. Тому громадськість зможе побачити нагороджених хакерів в обличчя .

Цьогорічні переможці Pwnie Awards.

Pwnie for Best Server-Side Bug:

• Windows IGMP kernel vulnerability (Alex Wheeler та Ryan Smith)

Pwnie for Best Client-Side Bug:

• Multiple URL protocol handling flaws (Nate McFeters, Rob Carter та Billy Rios)

Pwnie for Mass 0wnage (також відома як “Pwnie for Breaking the Internet”):

• An unbelievable number of WordPress vulnerabilities (everybody who cared to look) - до даної номінації я безпосередньо причетний (так і відчував, що цей номінант стане переможцем в даній категорії)

Pwnie for Most Innovative Research:

• Lest We Remember: Cold Boot Attacks on Encryption Keys (J. Alex Halderman, Seth Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph Calandrino, Ariel Feldman, Rick Astley, Jacob Appelbaum, Edward Felten)
• Honorable mention: Defeating a VM packer with a decompiler written in OCaml (Rolf Rolles)

Lamest Vendor Response:

• McAfee’s “Hacker Safe” certification program - XSS уразливості на багатьох сайтах, що сертифіковані як “Hacker Safe” (учора я як раз писав про такий випадок)

Pwnie for Most Overhyped Bug:

• Unspecified DNS cache poisoning vulnerability (Dan Kaminsky)

Pwnie for Best Song:

• Packin’ The K! (K & Key, Kaspersky Labs)

Pwnie for Most Epic FAIL:

• Debian for shipping a backdoored OpenSSL library for two years (Debian Project)
• Honorable mention: Windows Vista for proving that security does not sell

Lifetime Achievement Award:

• Tim Newsham

Учора, 25.08.2008, а також додатково сьогодні, я виявив Full path disclosure та HTTP Response Splitting + Cross-Site Scripting уразливості в плагіні FeedBurner FeedSmith для WordPress. Про що найближчим часом повідомлю розробникам плагіна. Даний плагін зараз розробляється FeedBurner, що належить компанії Google.

Full path disclosure:

http://site/wp-content/plugins/FeedBurner_FeedSmith_Plugin.php

HTTP Response Splitting + XSS:

Обидві уразливості є persistent, і можуть використовуватися для проведення XSS та інших HTTP Response Splitting атак.

Уразливості на сторінці http://site/wp-admin/options-general.php? page=FeedBurner_FeedSmith_Plugin.php в параметрах feedburner_url і feedburner_comments_url. Уразливості спрацьовують при відвіданні фідів сайта (фіда записів чи коментарів чи обох, в залежності від того, в які поля був заданий код).

FeedBurner FeedSmith XSS.html

FeedBurner FeedSmith XSS2.html

Для проведення даної атаки необхідно обійти CSRF захист плагіна (потрібен робочий token), що може бути зроблено за допомогою іншої XSS (reflected) дірки.

Уразлива версія FeedBurner FeedSmith 2.3.1 та попередні версії.

Сьогодні в мене день народження - мені виповнилося 25 років. З чим вас і себе поздоровляю .

Традиційно першим мене поздоровив мій Palm. Але на відміну від минулого разу, сьогодні люди більш активні з поздоровленнями.

В зв’язку зі святом, я розмістив на сайті свій SQL Injection ASCII Encoder, який може стати в нагоді при проведенні SQL ін’єкцій.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://praktika.net.ua (хакером David Webb) - сайт був похаканий 11.08.2008, зараз він вже виправлений адмінами
• http://marx.org.ua (хакером MadBug) - сайт був похаканий 06.08.2008, зараз він вже виправлений адмінами
• http://www.forsex.org.ua (хакером FeDeReR) - черговий сайт, похаканий грузинським хакером FeDeReR
• http://www.parsuna.com.ua (хакером 3RqU) - сайт був похаканий 05.08.2008, зараз він вже виправлений адмінами
• http://www.shyr.sumy.org (хакером KatiL_Gakal) - був похаканий форум проекту, орієнтовно 10.03.2008 (як і форум finexpert.sumy.ua), що адміни вже виправили (хоча надпис на сайті так і залишився)

Мені періодично доводиться зіштовхуватися з інфікованими сайтами в Інтернеті, в тому числі й в Уанеті. Взломи сайтів з метою розміщення на них шкідливих кодів стають все більш поширеними з кожним роком. Зазначу, що в своїй статті про стан зараженості Уанета, я приводив дані про стан зараженості Уанета в попередні роки та зпрогнозував стан на 2008 рік.

Раніше я писав про інфікований сайт dn.kiev.ua. Даний сайт був інфіковавний тривалий час - після виявлення мною шкідливого коду на сайті й повідомлення адмінам, довгий час вони не прибирали шкідливий код (проігнорувавши моє попередження і продовжуючи заражати шкідливим кодом відвідувачів сайта). Лише нещодавно вони врешті решт видалили шкідливий код з сайта.

Зараз розповім про ще один заражений сайт. Нещодавно, 17.08.2008, використовуючи Гугл, я виявив, що сайт hip.org.ua інфікований. Раніше мені доводилося чути про цей сайт, і під час пошуку в Гуглі він мені траплявся, але раніше він не був інфікований. Зараз же Google заявив, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. Звісно Гугл може й помилятися з такими ярликами, але частіше все ж таки вони вірно відмічають інфіковані сайти.

Після того, як я сам перевірив “Персональний блог Hip” http://hip.org.ua, я впевнився, що він інфікований. На даному сайті розміщений шкідливий іфрейм, що містить велику кількість експлоітів (в зашифрованому вигляді). До речі, іфрейм веде на сторінку з експлоітами, що розміщена на сайті, що має китайський хостинг (причому Пекінський). Схоже, що блог Hip’а взломали з приводу Олімпіади .

Адміну hip.org.ua варто витерти шкідливий код зі свого сайта і почати серйозно слідкувати за безпекою власного сайта. Це варто робити всім блогерам, як і власникам будь-яких сайтів.