Websecurity - Веб безпека

13.02.2010

У липні, 05.07.2009, я знайшов Cross-Site Scripting уразливість в системі Mango (це блог движок на ColdFusion). Уразливість виявив на сайті http://cfug.org.ua, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

30.04.2010

XSS:

http://site/archives.cfm/search/?term=%3Cbody%20onload=alert(document.cookie)%3E

Уразливі Mango 1.4.1 та попередні версії.

В Mango 1.4.2 дана уразливість була виправлена. Причому розробники її виправили ще до того, як я їм повідомив про уразливість - коли 13.02.2010 я дійшов до того, щоб оприлюднити дану разливість, я виявив, що вона вже виправлена в останній версії Mango, яка вийшла 02.02.2010.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• eWebeditor Directory Traversal Vulnerability (деталі)
• Trend Micro OfficeScan CGI Parsing Buffer Overflows (деталі)
• Trend Micro OfficeScan “cgiRecvFile.exe” Buffer Overflow (деталі)
• Kayako SupportSuite Multiple Persistent Cross Site Scripting (Current Versions) (деталі)
• Vulnerability in iBoutique v4.0 (деталі)
• New dokuwiki packages fix several vulnerabilities (деталі)
• IdeaCMS v1.0 (fck) Remote Arbitrary File Upload (деталі)
• Certain HP LaserJet Printers, HP Color LaserJet Printers, and HP Digital Senders, Remote Unauthorized Access to Files (деталі)
• djbdns misformats some long response packets; patch and example attack (деталі)

19.10.2009

У лютому, 16.02.2009, я знайшов SQL DB Structure Extaction, SQL Injection та Cross-Site Scripting уразливості на сайті http://shareua.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.04.2010

SQL DB Structure Extaction:

http://shareua.com/files/show/1/%27

SQL Injection:

http://shareua.com/files/show/1/1%27%20or%20%40%40version%3D5%23

XSS / HTML Injection:

http://shareua.com/files/show/1/%27%3Ch1%3EHacked%3C%2Fh1%3E

Дані уразливості вже виправлені.

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після минулорічного відхакання сайта laguna.net.ua (який був взломаний іноземний хакером), я захистив новий сайт. Цього разу я захистив державний сайт http://www.peremoga.gov.ua.

Після того як 01.11.2009 я виявив, що він дірявий (але тоді зловмисної активності на сайті я не побачив) і враховуючи те, що найближчим часом відбудеться 65 річниця перемоги в Великій Вітчизняній Війні, я нещодавно ще раз відвідав даний сайт. І виявив, що black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

При цьому, що цікаво, вони не напряму розміщували лінки, як це за звичай роблять black SEO (з того що я раніше бачив на взломаних сайтах), а розміщували їх через SAPE. Тобто через веб брокера (через php-скрипт) розміщували лінки на взломаному державному сайті. Цікаво як брокер допустив gov-сайт в свою систему і нічого при цьому не запідозрив. В даному випадку вони самі отримували прибуток (тому можуть вважатися спільниками), тому й не звертали жодної уваги на державний статус даного сайта.

Як я виявив, сайт www.peremoga.gov.ua був взломаний багато разів. Всього я виявив на сервері 12 файлів з шелами та іншими інструментами, якими користувалися зловмисники (різні black SEO та нехороші хакери в період з 2007 по 2010). Але я виправив дану ситуацію і прибрав дані нехороші лінки. Як і згадані шел-скрипти. Тому стан сайта зараз відновлений, але його адмінам потрібно серйозно зайнятися безпекою даного сайта.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових сайтів, де я знайшов уразливості.

Це діряві gov-сайти: www.library.kiama.nsw.gov.au, www.doe.gov.my, www.visualarts.qld.gov.au, blog.educacao.mg.gov.br, organismos.chubut.gov.ar. І найближчим часом напишу про нові сайти.

В даній добірці уразливості в веб додатках:

• SSL certificate spoofing vulnerability in cURL and libcurl (деталі)
• Serena Dimensions CM Desktop Client does not validate the server SSL certificate (деталі)
• Blaze Apps Multiple Vulnerabilities (деталі)
• ezContents CMS Multiple Vulnerabilities (деталі)
• Vulnerabilities in Roundcube Webmail (деталі)
• Multiple Vulnerabilities in XOOPS 2.4.3 and earlier (деталі)
• Zenoss Multiple Admin CSRF (деталі)
• GnuTLS vulnerabilities (деталі)
• vBulletin nulled (validator.php) files/directories disclosure (деталі)
• Insufficient User Input Validation in VP-ASP 6.50 Demo Code (деталі)

У квітні, 20.04.2010, я знайшов Full path disclosure, Redirector, Cross-Site Scripting та Insufficient Anti-automation уразливості на секюріті проекті http://vs-db.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

В цьому місяці відкрився секюріті проект vs-db.info - Vulnerable Sites Database. Метою даного проекту є оприлюднення уразливостей на веб сайтах (Full disclosure). При цьому автори надають анонси уразливостей всім бажаючим безпосередньо в себе на сайті, а деталі доступні у вигляді Бази Даних (в різних форматах). З травня дана БД буде доступна лише зареєстрованих користувачам та участникам проекту.

Зазначу, що я прийняв участь у даному проекті й почав надсилати в їхню БД знайдені мною уразливі сайти. Я вже відправив їм 11 дірявих сайтів, про які я писав в новинах раніше, в тому числі 10 gov-сайтів.

А також 4 нових дірявих gov-сайтів: www.umvspz.gov.ua, archivesoutside.records.nsw.gov.au, enewsletter.catawbacountync.gov, www.homologacao.php.ba.gov.br. І найближчим часом напишу про нові сайти.

В даній добірці уразливості в веб додатках:

• Re: Another SQL injection in ProFTPd with mod_mysql (probably postgres as well) (деталі)
• Re: Re: Another SQL injection in ProFTPd with mod_mysql (probably postgres as well) (деталі)
• New phpldapadmin packages fix remote file inclusion (деталі)
• New horde3 packages fix cross-site scripting (деталі)
• Directory traversal in the webadmin of Unreal Tournament 3 1.3 (деталі)
• XSS Vulnerability in Active Calendar 1.2.0 (деталі)
• OpenSSL vulnerabilities (деталі)
• XSS Vulnerability in Drupal’s Node Blocks contributed module (6.x-1.3 and 5.x-1.1) (деталі)
• Local file inclusion/execution and multiple CSRF vulnerabilities in LetoDMS (formerly MyDMS) (деталі)
• Cross Site Identification (CSID) attack. Description and demonstration. (деталі)

11.02.2010

У червні, 29.06.2009, я знайшов Cross-Site Scripting уразливість в модулі Переходи для DataLife Engine (DLE). Уразливість виявив на сайті http://kinozalka.com, що використовує даний модуль для движка DLE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в Tagcloud для DLE.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

23.04.2010

XSS:

Це persistent XSS уразливість. Що дозволяє провести атаку через заголовок Referer, у випадку коли на сайті виводяться лінки на безпосередні запити в пошукових системах.

Referer: http://www.google.com/search?q=xss"><script>alert(document.cookie)</script>

Уразливі Переходы v.6.9 та попередні версії.