Websecurity - Веб безпека

15.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://www.ukrswift.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.12.2010

SQL Injection:

http://www.ukrswift.org/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

13.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://www.hetman-cup.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

20.12.2010

SQL Injection:

http://www.hetman-cup.org/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка. Враховуючи, що на протязі 2008-2010 років, як я повідомляв ПБ про дірки на його сайтах, даний банк вів себе несерйозно, ігноруючи мої листи, невиправляючи дірки, а іноді втихаря виправляючи деякі дірки, при цьому жодного разу мені не подякувавши, і з року в рік продовжуючи не слідкувати за безпекою своїх сайтів, тому дані дірки в LiqPAY я оприлюднюю одразу (full disclosure). Від того, чи змінить свою несерйозну поведінку ПБ залежить те, як я оприлюдню наступні дірки в LiqPAY (зокрема дірки, які дозволяють викрадати кошти з рахунків користувачів системи).

У листопаді, 14.11.2009, я знайшов Insufficient Anti-automation уразливість, а 10.09.2010 ще Insufficient Session Expiration уразливість на сайті https://www.liqpay.com. Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

На сторінці https://www.liqpay.com/?do=myliqpay немає захисту від автоматизованих запитів (капчі). Що може призвести до наступних сценаріїв атак:

• Спам користувачам мобільних телефонів смс-ками від LiqPAY.
• Перенавантаження смс-шлюзу, що може на деякий час заблокувати доступ до системи її користувачам.
• Проведення фішинг атак, про які я розповідав раніше. Приклад фішинг атаки, що розробив Андрій для демонстрації, коли нападники ініціюють висилання смс-повідомлення жертві, можливий саме через дану уразливість. Тобто можливі автоматизовані фішінг-атаки.

Insufficient Session Expiration:

В системі використовується коротка сесія - на сесію діє обмеження в 10 хвилин, після чого знову потрібно авторизуватися. Що може бути незручним в користуванні, зате добре в плані безпеки. Але починаючи з вересня в системі використовуєть ще одна сесія.

Як я виявив 10.09.2010 в LiqPAY почали використовувати довгу сесію. Перевірка показала, що сесія працює більше двох діб (але менше трьох діб). При цьому нова сесія працює лише для перегляду акаунта, але не для транзакцій.

Це може бути використано для доступу до акаунту користувача для читання інформації про рахунки - через XSS чи при доступі до комп’ютера жертви (тобто це призведе до витоку інформації).

12.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://fgs.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Це та сама студія, що розробила дірявий сайт moral.gov.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.12.2010

SQL Injection:

http://fgs.kiev.ua/index.php?content_id=-1%20or%20version()=4.1

Дана уразливість досі не виправлена.

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після banner.kiev.ua в якості приклада таких уразливостей наведу Cross-Site Request Forgery уразливість на http://www.prospero.ru - сайті рекламного інтернета брокера, що мені відома ще з 2006 року. Стосовно численних уразливостей на www.prospero.ru я неодноразово повідомляв адмінам брокера (і про деякі з них писав в новинах), як повідомив їм про багато десятків уразливостей, так і звертав їх увагу, що дірок на сайті ще є дуже багато - як на www.prospero.ru, так і на інших сайтах даної компанії. Але адміни брокера продовжили не слідкувати за безпекою всіх своїх сайтів (так само як це вони робили в 2005-2006 роках).

Business Logic Flaw (через CSRF):

Можна викрасти гроші користувача через CSRF-атаку. Це можна зробити через POST запит на сторінці http://www.prospero.ru/balance.php, або через GET:

http://www.prospero.ru/balance.php?money_out=1&pay_type=webmoney_rus&webmoney_rus_summa=1000&money_out_type=usually&r_purse=R

Цим запитом ви переведете з рахунку жертви суму 1000 р. на свій R-гаманець в системі WebMoney. В параметрі money_out_type задається тип виведення - звичайний (usually) та експрес (express). У різних типів виведення різні комісії та швидкість виведення коштів.

Окрім Business Logic уразливості на http://www.prospero.ru, точно така ж сама Business Logic дірка була на сайті http://procontext.ru - сервісі контекстної реклами. Це був один з проектів Prospero, який вони закрили з першого грудня.

В даній добірці уразливості в веб додатках:

• HP Project and Portfolio Management Center (PPMC), Remote Cross Site Scripting (XSS) (деталі)
• Joomla! Component com_bc Cross Script Scripting (XSS) Vulnerability (деталі)
• Joomla! Component com_bcaccount Persistent Cross Script Scripting (XSS) Vulnerability (деталі)
• BlastChat Chat Client Component version 3.3 <= Cross Script Scripting (XSS) Vulnerability (деталі)
• Novell Netware NWFTPD RMD/RNFR/DELE Argument Parsing Remote Code Execution Vulnerabilities (деталі)
• {PRL} Novell Netware FTP Remote Stack Overflow (деталі)
• FCKEditor.NET File Upload Code Execution (деталі)
• ApPHP Calendar XSS - CSRF (деталі)
• XSS vulnerability in Amiro.CMS FAQ (деталі)
• HP SOA Registry Foundation, Remote Unauthorized Access to Data, Cross Site Scripting (XSS), Privilege Escalation (деталі)

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості на проекті http://exwp.com (обмінник веб грошей). Про даний обмінник, адміністрація якого не слідкує за безпекою сайта, я вже писав. Всім користувачам Інтернет варто бути обережними з дірявими обмінниками.

Останній раз стосовно обмінників веб грошей я писав про уразливості на www.vrschange.com.

Insufficient Anti-automation:

http://exwp.com/guestbook/index.html?mailto=EX00;file=guestbook/guest/1274704418_EX00.html;

При заході на сторінку перевіряється реферер. В даній формі немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відпраника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://exwp.com/env/

Витік повного шляху на сервері та іншої інформації.

XSS (з використанням методів обходу ModSecurity):

http://exwp.com/env/?%3Cxss%3E

08.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайті www.allo.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в eSitesBuilder.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2010

XSS:

http://site/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/console/forget.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/console/forget.php

Через даний функціонал можна визначати логіни користувачів.

Уразливі потенційно всі версії eSitesBuilder.

В даній добірці уразливості в веб додатках:

• Remote Help 0.0.7 Httpd DoS (Format String) (деталі)
• New lxr-cvs packages fix cross-site scripting (деталі)
• Harris Stratex StarMAX subscriber station running config CSRF exploit (деталі)
• e107 CMS Multiple Vulnerabilities (деталі)
• XSS vulnerability in MAXdev (деталі)
• IBM Lotus 6.x names.nsf Cross Site Scripting Vulnerability (деталі)
• IBM Lotus 6.x HTTP Response Splitting Vulnerability (деталі)
• Nagios XI users.php SQL Injection (деталі)
• MoinMoin vulnerabilities (деталі)
• SAP MaxDB Malformed Handshake Request Remote Code Execution Vulnerability (деталі)

08.10.2009

У лютому, 13.02.2009, я знайшов SQL Injection уразливість на http://moral.gov.ua - сайті Національної експертної комісії України з питань захисту суспільної моралі. Про що найближчим часом сповіщу адміністрацію сайта.

Зазначу, що мати дірки на сайті - це аморально. А мати дірки в себе на сайті для комісії по захисту моралі - це вдвічі аморально.

Детальна інформація про уразливість з’явиться пізніше.

14.12.2010

SQL Injection:

http://moral.gov.ua/index.php?content_id=-1%20or%20version()=4.1

Дана уразливість вже виправлена - шляхом заміни движка. Адміни змінили один дірявий дижок на інший дірявий . Тобто продовжили свою аморальну діяльність.