Websecurity - Веб безпека

Як повідомив Андрій Терещенко, в Приват24 (версія для Facebook) є уразливості, що дозволяють обійти статичний пароль для акаунтів ПриватБанку. Уразливість стосується саме версії Приват24 для Facebook і звичайна система Приват24 невразлива.

Тому всі користувачі Facebook, що користуються клієнтом Приват24 для цієї соціальної мережі, повинні бути дуже обережні. Враховуючи наявність уразливостей, що дозволяють отримати доступ до вашого рахунку після логіна через клієнт Приват24 для Facebook (у ваш чи інший Facebook-акаунт), а також враховуючи, що ПриватБанк відмовився виправляти дані уразливості.

Цікаво, що банк навіть відповів йому на дане повідомлення про уразливості (тому що на всі ті численні повідомлення про уразливості в 2008-2010 роках ПриватБанк ні разу мені не відповів). Заявивши, що виправляти уразливості не будуть, тому що “Insecurity accepted as trade-off”. В чому немає нічого нового і це є типовим явищем для ПриватБанка. Бо даний банк не виправив майже жодної уразливості про які я їм повідомив, як я вже зазначав в новинах.

• Privat24 (Facebook version) bypass of static password for accounts of PrivatBank (Ukraine, Russia and CIS) (деталі)

В даній добірці уразливості в веб додатках:

• VMware vCenter, ESX patch and vCenter Lab Manager releases address cross-site scripting issues (деталі)
• XSRF (CSRF) in phpwcms (деталі)
• XSS vulnerability in WebPress (деталі)
• HP OpenView Data Protector Cell Manager Heap Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView Data Protector Backup Client Service Buffer Overflow Vulnerability (деталі)
• HP OpenView Storage Data Protector, Remote Arbitrary Code Execution (деталі)
• Conpresso CMS - Cross site Scripting vulnerabilities (деталі)
• RedShop 1.0.23.1 Joomla Component Blind SQL Injection Vulnerability (деталі)
• New firefox-sage packages fix insufficient input sanitizing (деталі)
• Jira Enterprise 4.0.1 - Multiple Low Risk Vulnerabilities (деталі)

05.09.2010

У квітні, 16.04.2010, я знайшов Information Leakage уразливість в Apache. Дірку я виявив на сайті http://www.disperindag-jabar.go.id. Про що найближчим часом повідомлю розробникам Apache.

Стосовно уразливостей в Apache, раніше я вже писав про уразливість в Apache Tomcat.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб сервера.

15.10.2010

Information Leakage:

Дану уразливість я назвав Forced Directory Indexing. Коли при спеціальному запиті до сайта виводиться зміст папки (при цьому обходяться будь-які індексні файли).

http://site/%3f/

Таким чином можна отримати зміст будь-якої папки на сайті, тобто відбувається витік інформації.

Спочатку я вирішив, що це уразливість в Apache (зокрема в Apache 1.3.37). Хоча я виявив її лише на одному сайті й більше не знайшов жодного вразливого сайта (з цією чи іншими версіями Apache). Але після розмови з розробниками Апача вияснилося, що це особливість конфігурації одного конкретного сайта і сам веб сервер не є вразливим. Тому адмінам сайтів на Apache варто бути більш уважними при використанні Options Indexes та Path Info.

В даній добірці уразливості в веб додатках:

• Vulnerability Note VU#261869 - XSS vulnerabilities in multiple SSL VPN software (деталі)
• Stored XSS vulnerability in Pixie (деталі)
• XSS vulnerability in Pixie (деталі)
• XSS vulnerability in FestOS (деталі)
• Monkey HTTPd improper input validation vulnerability (деталі)
• XSRF (CSRF) in Pixie (деталі)
• XSS vulnerability in FestOS (деталі)
• XSRF (CSRF) in Pixie (деталі)
• XSS vulnerability in WebPress (деталі)
• APC Switched Rack PDU XSS Vulnerability (деталі)

02.02.2010

У червні, 28.06.2009, я знайшов SQL Injection уразливість на http://www.danielbank.kiev.ua - сайті комерційного банку Daniel. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливість на сайті ПриватБанку.

Детальна інформація про уразливість з’явиться пізніше.

13.10.2010

SQL Injection:

http://www.danielbank.kiev.ua/index.php?action=coop&id=-1%20or%20version()=4

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• HP-UX Running VRTSweb, Remote Execution of Arbitrary Code, Increase of Privilege (деталі)
• Symantec Multiple Products VRTSweb.exe Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in Gekko Web Builder (деталі)
• XSS vulnerability in Pligg search module (деталі)
• XSS vulnerability in Taggon CMS (деталі)
• XSS vulnerability in WebPress (деталі)
• XSS vulnerability in WebPress (деталі)
• XSS vulnerability in phpwcms (деталі)
• Zabbix Agent : Bypass of EnableRemoteCommands=0 (деталі)
• Zabbix Server : Multiple remote vulnerabilities (деталі)

30.01.2010

У червні, 28.06.2009, я знайшов SQL Injection уразливість на сайті http://www.trocal.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.10.2010

SQL Injection:

http://www.trocal.kiev.ua/index.php?action=show&news_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.

28.01.2010

У червні, 28.06.2009, я знайшов SQL Injection уразливість на сайті http://www.start-ukraine.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

09.10.2010

SQL Injection:

http://www.start-ukraine.com/start.php?action=show&lng=ukr&db=news&id=-1%20or%20version()=5

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• HP Openview NNM 7.53 Invalid DB Error Code vulnerability (деталі)
• IBM SolidDB invalid error code vulnerability (деталі)
• XSS vulnerability in CMSQLite (деталі)
• SQL injection vulnerability in CMSQLite (деталі)
• SQL injection vulnerability in CMSQLite (деталі)
• SQL injection vulnerability in CMSQLite (деталі)
• Critical Vulnerabilities in Microsoft Internet Authentication Service Could Allow Remote Code Execution (деталі)
• cPanel XSS Vulnerability (деталі)
• XSS vulnerability in DSite CMS (деталі)

12.08.2010

У вересні, 19.09.2009, я знайшов Cross-Site Scripting та Brute Force уразливості в AltConstructor. Це українська комерційна CMS. Дані уразливості я виявив на сайті internetua.com, де використовується дана система. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

08.10.2010

XSS:

http://site/search/index?search=%3Cbody%20onload='alert(document.cookie)'

Brute Force:

http://site/auth/login

Розробники AltConstructor вже виправили дані уразливості.