Websecurity - Веб безпека

Продовжуючи тему Безпеки IPB, розповім вам про нові уразливості та експлоіти до Invision Power Board.

Ось самі останні експлоіти та уразливості в IPB (для 2.1.x та 2.2.x версій движка):

• Debug Mode password change vulnerability Affects Invision Power Board 2.0.0 to 2.1.7 (деталі)
• IPB (Invision Power Board) 2.1.X and 2.2.X Full Path Disclusure (деталі)
• Межсайтовый скриптинг в Invision Power Board (деталі)

Позавчора Джеремія в своєму в записі First multi-site XSS WebMail Worm (PoC) повідомив про те, що з’явився перший мультидоменний вебпоштовий XSS хробак.

Цей XSS вірус (в даному випадку хробак) розповсюджується через сервіси веб пошти. Прицьому, і це найголовніше, що вирізняє його, він розповсюджується не через один сервіс веб пошти, а одразу через декілька (через 4) вебмайл сервіси. Тобто користувачі усіх цих чотирьох поштових сервісів потенційно можуть стати жертвами цього хробака.

На сайті автора хробака - A proof of concept of a XWW - cross webmail worm, наводиться опис коду (PoC) даного XSS хробака. Сам код нешкідливий, він є лише демонстрацією можливості створення реальних вебпоштових XSS вірусів.

До речі, на сайті автора також є відео демонстрація роботи його хробака . Доволі цікаве відео.

Три дні тому я знайшов уразливість в сервері Apache, коли досліджував безпеку одного веб сайта. Cross-Site Scripting уразливість на сторінці з 404 помилкою - це сторінка 404 Not Found, котра виводиться у випадку, коли запитана сторінка сайта не існує.

XSS:

В URL задається неіснуюча сторінка сайта, адреса якої містить необхідний код:

http://site/%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливим є Apache 2.0.54 (Debian GNU/Linux) Server.

Окрім Cross-Site Scripting атаки, при подібній уразливості також можлива атака Content Spoofing (з метою фішингу).

Подібні проблеми з XSS на 404 сторінках вже траплялися раніше (зокрема в попередніх версіях Апача) і здавалося вони вже канули в минуле. Але виявляється, ще трапляються сайти, де 404 сторінки мають XSS дірки, тому що виводять нефільтруючи адрес запитаної сторінки. Розробникам сервера та адмінам, що їм користуються, варто перерости цю проблему і зробити 404 сторінки безпечними.

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіт в розширенні Tidy для PHP 5.2.3.

• PHP 5.2.3 Tidy extension Local Buffer Overflow Exploit (деталі)

My project Month of Search Engines Bugs has finished and I’m summing up.

In the project took part 33 search engines (30 web engines and 3 local engines) of 19 vendors, some vendors have several engines. The list of project’s participants (in order of appearance): Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (local engine), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (local engine), MetaCrawler, Mamma, Google, Google Custom Search Engine (local engine), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo, Excite.

Altogether there were published 104 vulnerabilities in mentioned engines. Including Cross-Site Scripting (as XSS, and as HTML Injection), Full path disclosure, Content Spoofing and Information disclosure vulnerabilities. It is without taking into account redirectors in search engines (altogether there were published 23 redirectors).

Results of the projects: fixed 44 vulnerabilities from 104 (without taking into account redirectors). It is 42,31% fixed vulnerabilities. Owners of search engines have a place for improvements of their engines’ security.

Note, that from all search engines vendors only two thanked me (from 19 vendors of 33 search engines), for time that I spent on them, for searching vulnerabilities in their systems and for helping of improvement of their engines’ security (these were Rambler and Ezilon). But all others owners of search engines even didn’t think (were lazy) to do that. That is very unethical from their side and they need to work under their ethic and culture.

As I wrote in project description, I decided to define winners of Month of Search Engines Bugs in two nominations. During conducting of the project every visitor of the site could vote for the bug that he like with posting a comment in appropriate post. Today I counted up votes of visitors and I was announcing of the winners.

Results of voting:

Best bug of MOSEB MustLive Choice

• MOSEB-05: Vulnerability at shopping.msn.com

Also draw attention at MOSEB-05 Bonus: Vulnerabilities at autos.msn.com, at both of these projects of MSN vulnerabilities based on Expressive comments space-hack filters bypass technique.

Best bug of MOSEB Visitors Choice

• MOSEB-20 Bonus: Google dorks strikes back

It is interesting vulnerability, besides it’s most dangerous bug of MOSEB.

The list of TOP5 bugs of MOSEB (by visitors choice):

1. MOSEB-20 Bonus: Google dorks strikes back
2. MOSEB-06: Vulnerabilities at clusty.com
3. MOSEB-05: Vulnerability at shopping.msn.com
4. MOSEB-15: Vulnerabilities at images.google.com
5. MOSEB-10: Vulnerabilities at www.ask.com

I congratulate the winners Microsoft and Google! You make the best vulnerabilities in your engines . Others search engines developers need to learn from you. But all vendors need to work on improvement of their engines’ security.

Thanks for watching MOSEB project. Best regards. And attend to your security.

P.S.

By the way, before conducting of this project (MOSEB), I conducted one more interesting project of disclosing vulnerabilities at important sites. In January I was conducting presidents fiesta - I was publishing holes in sites of presidents (certainly I informed administration of these sites about the vulnerabilities).

• Vulnerability at the site of President of Ukraine
• Vulnerability at the site of President of Russia
• Vulnerability at the site of President of USA
• Vulnerability at the site of President of Byelorussia
• Vulnerability at the site of President of Slovakia

You can acquaint yourself with them also.

Завершився мій проект Місяць багів в Пошукових Системах і я підводжу підсумки.

В проекті прийняли участь 33 пошукові системи (30 веб пошуковців та 3 локальних пошуковця) 19 вендорів, деякі вендори володіють декількома пошуковцями. Перелік учасників проекту (в порядку появи): Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (локальний пошуковець), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (локальний пошуковець), MetaCrawler, Mamma, Google, Google Custom Search Engine (локальний пошуковець), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo, Excite.

Всього оприлюднено 104 уразливостей в зазначених пошуковцях. Включаючи Cross-Site Scripting (як XSS, так і HTML Injection), Full path disclosure, Content Spoofing та Information disclosure уразливості. Це без врахування редиректорів в пошукових системах (всього було опубліковано 23 редиректори).

Результати проекту: виправлено 44 уразливостей з 104 (без врахування редиректорів). Це 42,31% виправлених уразливостей. Власникам пошукових систем є ще куди покращувати безпеку своїх пошуковців.

Зазначу, що з усіх вендорів пошукових систем лише двоє подякували мені (з 19 вендорів 33 пошукових систем), за витрачений на них час, за пошук уразливостей в їх системах та допомогу в підвищенні безпеки їх пошуковців (це Rambler та Ezilon). А всі інші власники пошукових систем навіть не подумали (полінилися) це зробити. Що дуже не етично з їх сторони і над своєю етикою та культурою їм ще варто попрацювати.

Як я писав в описі проекту, я вирішив визначити переможців Місяця багів в Пошукових Системах в двох номінаціях. Під час проведення проекту кожен відвідувач сайту міг проголосувати за вподобаний баг залишивши коментар у відповідному записі. Сьогодні я підрахував голоси відвідувачів і оголошую переможців.

Результати голосування:

Best bug of MOSEB MustLive Choice

• MOSEB-05: Vulnerability at shopping.msn.com

Також зверніть увагу на MOSEB-05 Bonus: Vulnerabilities at autos.msn.com, на обох цих проектах MSN уразливості базується на техніці Expressive comments space-hack filters bypass technique.

Best bug of MOSEB Visitors Choice

• MOSEB-20 Bonus: Google dorks strikes back

Цікава уразливість, до того ж це найбільш небезпечний баг MOSEB.

Список TOP5 багів MOSEB (відповідно до вибору відвідувачів):

1. MOSEB-20 Bonus: Google dorks strikes back
2. MOSEB-06: Vulnerabilities at clusty.com
3. MOSEB-05: Vulnerability at shopping.msn.com
4. MOSEB-15: Vulnerabilities at images.google.com
5. MOSEB-10: Vulnerabilities at www.ask.com

Поздоровляю переможців Microsoft та Google! Уразливості в своїх пошуковцях ви робите найкращі . Іншим розробникам пошукових систем треба ще вчитися у вас. Але усім вендорам треба ще працювати над покращенням безпеки своїх пошуковців.

Спасибі, що слідкували за проектом MOSEB. Усього найкращого. І приділяйте увагу своїй безпеці.

P.S.

До речі, перед проведенням даного проекту (MOSEB), я проводив ще один цікавий проект по оприлюдненню уразливостей на важливих сайтах. В січні я проводив президентську фієсту - публікував дірки на сайтах президентів (звісно я сповістив адміністрацію цих сайтів про уразливості).

• Уразливість на сайті Президента України
• Уразливість на сайті Президента Росії
• Уразливість на сайті Президента США
• Уразливість на сайті Президента Білорусії
• Уразливість на сайті Президента Словакії

Також можете ознайомитися.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На тридцятий день Місяця багів в Пошукових Системах я опублікував 23 редиректори. Цього разу інформація про дірки в різних пошукових системах.

• MOSEB-30: Redirectors #1 (деталі)
• MOSEB-30 Bonus: Redirectors #2 (деталі)

В двох добірках було опубліковано 23 редиректори в різних пошукових системах.

Завтра я відведу підсумки проекту Month of Search Engines Bugs. А також підрахую голоси за баги та визначу найкращий баг MOSEB. Тому якщо ви ще не проголосували за баги (в коментарях), то ви можете зробити це зараз, а завтра дізнаєтеся про результати.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На двадцять дев’ятий день Місяця багів в Пошукових Системах я опублікував чотири Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошуковій системі Excite.

• MOSEB-29: Vulnerabilitiy at money.excite.com (деталі)
• MOSEB-29 Bonus: Vulnerabilities in Excite White Pages (деталі)

1 XSS уразливість в Excite Money & Investing та 3 XSS уразливості в пошуці Excite по Білим Сторінкам.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На двадцять восьмий день Місяця багів в Пошукових Системах я опублікував три Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошукових системах Kelkoo та Yahoo.

• MOSEB-28: Vulnerabilities in Kelkoo (деталі)
• MOSEB-28 Bonus: Vulnerability at shopping.yahoo.com (деталі)

2 XSS уразливості в пошуковці Kelkoo (на двох його доменах) та 1 XSS уразливість в пошуковці Yahoo! Shopping.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На двадцять сьомий день Місяця багів в Пошукових Системах я опублікував одну Cross-Site Scripting уразливість. Цього разу інформація про дірку в пошуковій системі Euroseek.

• MOSEB-27: Vulnerability at euroseek.com (деталі)

XSS уразливість в результатах пошуку Euroseek.

Очікуємо на наступний день Month of Search Engines Bugs.