Websecurity - Веб безпека

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента США, анонсую нового номінанта.

Декілька днів тому, 13.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.president.gov.by - сайті Президента Республіки Білорусь. Адмінам сайта www.president.gov.by я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

На сайті четвертого номінанта не одна подібна діра, а набагато більше. Всього на сайті Президента Білорусії до 41 подібних UXSS уразливостей!

P.S.

Це четвертий приклад з серії уразливих президентських сайтів. Чекайте на продовження президентської фієсти.

В даній добірці уразливості в веб додатках:

• ezOnlineGallery Multiple Security Issues (деталі)
• New thttpd packages fix insecure temporary file creation (деталі)
• P-Book <= 1.17 (pb_lang) Remote File Inclusion (деталі)
• HITWEB Remote File Include (деталі)
• Clanlite Remote File Include (деталі)
• jamroom Remote File Include (деталі)
• jamroom Remote File Include Vunerability (деталі)
• Міжсайтовий скриптінг в Simplog (деталі)
• SQL-ін’єкція в YenerTurk Haber Script (деталі)
• Міжсайтовий скриптінг в MyBB (деталі)

10.11.2006

У вересні, 17.09.2006, я знайшов Cross-Site Scripting уразливість на https://card.cyberplat.ru - сайті відомої електронної платіжної системи. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Електронним платіжним системам варто слідкувати за безпекою своїх сайтів. Я вже згадув про уразливість на Paypal. І чим популярнішою є платіжна система, тим більше уваги слід приділяти власній безпеці.

16.01.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента Росії, анонсую нового номінанта.

Декілька днів тому, 08.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на White House http://www.whitehouse.gov - сайті Президента США. Адмінам сайта www.whitehouse.gov я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Причому на сайті третього номінанта не одна подібна діра, а набагато більше. Всього на сайті Президента США до 8730 подібних UXSS уразливостей!

P.S.

Це третій приклад з серії уразливих президентських сайтів. Спочатку я планував в своїй серії уразливих сайтів обмежитися трьома номінантами, але на прохання постійних користувачів мого сайта я продовжу дану серію . Так що через деякий час очікуйте на нових номінантів в цій президентській фієсті.

В даній добірці уразливості в веб додатках:

• Thepeak File Upload v1.3 : Read file vulneability (деталі)
• Hosting Controller 6.1 Hotfix <= 3.2 Vulnerability (деталі)
• phpAdsNew-2.0.8 <= (adlayer.php) Remote File Include (деталі)
• TextPattern <=1.19 Remote File Inclusion Vulnerability (деталі)
• UNISOR CMS sql injection (деталі)
• PHP-Nuke <= 7.9 Search module "author" SQL Injection vulnerability (деталі)
• MiniBILL v2006-10-10 (config[page_dir] Remote File Include Vulnerability (деталі)
• Переповнення буфера в SHTTPD (деталі)
• Cross-site scripting vulnerability in Novell GroupWise WebAccess 6.5 and 7 (деталі)
• PHP-інклюдинг в Php Giggle (деталі)

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента України, анонсую наступного номінанта.

Декілька днів тому, 08.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.kremlin.ru - сайті Президента Росії. Адмінам сайта www.kremlin.ru я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

P.S.

Це другий приклад з серії уразливих президентських сайтів. Вгадайте хто буде наступним , про сайт президента якої країни я напишу наступного разу.

12.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливість на https://www.iss.net - сайті відомої секюріті компанії Internet Security Systems. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.01.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Ось можете і зробити висновок про їх власний сканер безпеки ISS Internet Scanner. І самі уразливість не знайшли (ні їх спеціалісти, ні їх сканер) і до моїх попереджень не прислухались - діра так і залишилась.

До речі, як я глянув на їх сайті (ще коли в вересні заходив), деякий час тому компанія IBM купила Internet Security Systems (нова назва компанії IBM Internet Security Systems). Тому ISS слід ще більше приділяти увагу безпеці власного сайту.

Декілька днів тому, 07.01.2007, я знайшов Cross-Site Scripting уразливість на Офiцiйному представництві Президента України http://www.president.gov.ua - сайті Президента України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про Уразливість на сайті Кабінета Міністрів України та про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом президента не набагато краща - уразливості також мають місце (зокрема, я повідомлю адміністраторів про знайдену XSS).

Детальна інформація про уразливість не буде опублікувана (не планую). За для безпеки сайту президента, його працівників та відвідувачів.

P.S.

До речі, це перший приклад з серії уразливих президентських сайтів. Тому очікуйте на продовження.

В даній добірці уразливості в веб додатках:

• CentiPaid <= 1.4.2 [$class_pwd] Remote File Include (деталі)
• Coppermine 1.4.9 SQL injection (деталі)
• phpLedAds 2.0(dir) File Include (деталі)
• Ban v0.1 (bannieres.php) File Include (деталі)
• PLS-Bannieres 1.21 (bannieres.php) File Include (деталі)
• ArticleBeach Script <= 2.0 Remote File Inclusion Vulnerability (деталі)
• GestArt <= vbeta 1 Remote File Include Vulnerabilities (деталі)
• Dynamic variable evaluation vulnerability in SquirrelMail (деталі)
• Обхід аутентифікації в DeluxeBB (деталі)
• XSS vulnerability in Novell GroupWise WebAccess 6.5 and WebAccess 7 (деталі)

Раніше я згадував, що XSS набирає обертів. Тоді виникла цікава ситуація: секюріті компанії F5 та Acunetix знайшли XSS уразливості на сайті один одного (кожна знайшла діри на сайті свого конкурента). І після цього обидві компанії почали заперечувати наявність уразливостей на їх сайтах. Бо не могли сказати ні собі ні всьому світу, що на їх сайтах були секюріті уразливості - на сайтах компаній, які займаються безпекою. Після чого секюріті спільнота знайшла чимало дір на сайтах цих компаній - що визвало додаткову бурю емоцій. Компаніям намагалися пояснити те, що не варто відрикатися від дір чи приховувати їх, треба діри виправляти.

Тоді обидві компанії пофіксили всі знайдені діри, по їх словам (це вони так думали). І на деякий час розслабилися, зокрема Acunetix. І з тоді вже весь гомін припинився, вже всі позабули про той випадок. Поки я не дістався (в жовтні) до сайта відомої секюріті компанії , щоб знайти масу різних уразливостей, про що зараз вам і повідомляю. Це свіжий погляд на безпеку сайтів секюріті компаній (про подібні випадки я неодноразово згадував в записах Безпека сайтів про безпеку та Безпека сайтів про безпеку 2).

У жовтні, 03.10.2006, я знайшов численні уразливості на http://acunetix.com - сайті відомої секюріті компанії Acunetix (зокрема на сайті http://test.acunetix.com - призначеному для тестування їх власного сканера безпеки Acunetix WVS). Уразливостей різних чимало: Cross-Site Scripting, Full path disclosure, SQL Injection, File Inclusion, Directory Traversal, Script Source Disclosure та Information Leakage (зокрема, уразливості дозволяють дістатися до довільних файлів на сервері). Про що найближчим часом сповіщу адміністрацію компанїї.

Детальна інформація про уразливості з’явиться пізніше.