Websecurity - Веб безпека

06.09.2006

В минулому місяці, 14.08.2006, я знайшов числені Cross-Site Scripting уразливості на проекті http://www.catalog-security.com.ua. Про що найближчим часом сповіщу адміністрацію проекту. Каталогу “Безопасность-Украина” потрібно зайнятися безпекою власного сайту

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.09.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Уразливості досі не виправлені.

Найбільш прикрою дірою у системах комп’ютерної безпеки є не апаратне і програмне забезпечення, а користувачі. У цьому впевнені кращі хакери світу і фахівці з кібербезпеки (і я з ними в цьому погоджуюсь).

“Ця проблема набагато в більшому ступені людська, чим технічна”, - сказав Ден Камініски з фірми Dox Para Research на головній міжнародній конференції хакерів DefCon. Менеджери комп’ютерних мереж на конференції визнали, що співробітники фірм, як правило, залишають паролі, записані на папірцях, приклеєних до моніторів чи під клавіатурою, і обмінюються секретними кодами доступу зі своїми товаришами по службі.

В одному з конференц-залів казино, де зібралися учасники DefCon, була встановлена “Дошка Вівці”, на якій був поміщений список незліченних логинів і паролів, вивуджених з незахищених комп’ютерів через інтернет. Багато учасників конференції носили футболку з фразою, приписуваної легендарному хакеру Кевіну Мітнику, знамениті атаки якого грунтувалися більше на маніпулюванні людьми, а не програмним забезпеченням: “Фахівець із соціальної інженерії, адже для людської дурості немає патча”.

Інтернет сьогодні заповнений електронними фішинг-листами і веб-сайтами фішинга, якими зловмисники користаються для крадіжки особистої інформації користувачів. Онлайн-шахраї хитрістю змушують людей завантажувати приховані комп’ютерні програми, що дозволяють хакерам захоплювати віддалений контроль над ураженими комп’ютерами. Злочинці можуть добути коштовну інформацію з комп’ютерів, розгорнути атаку проти інших комп’ютерів чи навіть використовувати жосткий диск користувача як сховище таких нелегальних даних, як, наприклад, порнографія.

Шахраям як і раніше вдається змушувати людей відкривати вкладення в електронні листи, заражені вірусами й іншим шкідливим ПО, даючи файлам привабливі імена. “Якщо електронний лист виглядає забавно, коли ви його відкриєте, швидше за все, забавно вже не буде”, - попереджає Бред Сміт.

Нарешті, дуже дивно, що в сучасному світі люди все ще досить нерозумні, щоб розповідати про свої паролі приємним незнайомцям чи колегам по роботі, що цікавляться, говорить Сміт.

По матеріалам http://www.cnews.ru.

В даній добірці уразливості в веб додатках:

• Muratsoft Haber Portal v3.6 (tr) SQL Injection Vulnerability (деталі)
• vtiger CRM Script Insertion and Administrative Modules Access (деталі)
• Dyn CMS <= REleased (x_admindir) Remote File Inclusion Exploit (деталі)
• Sql injections in e107 [Admin section] (деталі)
• Sql injections in e107 [Admin section] (деталі)
• XXS in Powered by vbzoom (деталі)
• XSS in Web Wiz Forums (деталі)
• Mailman Multiple Vulnerabilities (Cross Site Scripting, Spoofing, DoS) (деталі)
• Cross-site scripting (XSS) vulnerability in add.php in Fire-Mouse Toplist 1.1 (деталі)
• PHP-інклюдинг в FlashChat (деталі)

В даній добірці експлоіти в веб додатках:

• Ay System CMS <= 2.6 (main.php) Remote File Include Vulnerability (деталі)
• CMS Frogss <= 0.4 (podpis) Remote SQL Injection Exploit (деталі)
• iziContents <= RC6 GLOBALS[] Remote Code Execution Exploit (деталі)
• Cybuzu Garoon 2.1.0 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Cybozu Products (id) Arbitrary File Retrieval Vulnerability (деталі)

02.09.2006

В минулому місяці, 08.08.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://subscribe.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

12.09.2006

XSS:

• alert(document.cookie)

Як повідомила мені сьогодні адміністрація subscribe.ru, дана уразливість вже виправлена.

Була знайдена уразливість переповнення буфера в PHP.

Уразливі версії: PHP <= 4.3.3, PHP <= 5.1.4.

Уразливість у функції sscanf() дозволяє зловмисному локальному користувачу переповнити буфер і виконати довільний код на цільовій системі.

Експлоіт: PHP <= 4.4.3 / 5.1.4 (sscanf) Local Buffer Overflow Exploit.

В даній добірці уразливості в веб додатках:

• XXS in learncenter.asp (деталі)
• The Amazing Little Poll Admin Pwd (деталі)
• PHP-Nuke MyHeadlines Module “myh_op” Cross-Site Scripting (деталі)
• microforum “members.dat” Exposure of User Credentials (деталі)
• in-link <=2.3.4 (adodb-postgres7.inc.php) Remote File Inclusion Exploit (деталі)
• SquirrelMail 1.4.8 released - fixes variable overwriting attack (деталі)
• yappa-ng <= v2.3.1 (admin_modules) Remote File Inclusion Exploit (деталі)
• FlashChat <= 4.5.7 (aedating4CMS.php) Remote File Include Vulnerability (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in Dokeos before 1.6.5 (деталі)
• PHP Newsfeed SQL Injection Vulnerability (деталі)

Знайдені числені уразливості в PHP. Уразливі версії: PHP < 4.4.4, PHP < 5.1.5.

Я вже раніше писав про знайдені численні уразливості в PHP.

Виявлені уразливості дозволяють локальному користувачу обійти деякі обмеження безпеки.

• Відсутня перевірка підтвердження safe_mode і open_basedir у функціях “file_exists()”, “imap_open()”, and “imap_reopen()”.
• Виявлено декілька помилок перевірки границь даних у функціях “str_repeat()” і “wordwrap()” на 64-бітних платофрмах.
• Зловмисник може обійти обмеження open_basedir і safe_mode за допомогою розширення cURL і realpath кеша.
• Помилка перевірки границь даних існує в розширенні GD при обробці GIF зображень.
• Уразливість існує через помилку перевірки границь даних у функції “stripos()”.
• Уразливість існує через наявність некоректних обмежень memory_limit на 64-бітних платформах.

Рекомендую встановити останню версію php (4.4.4 чи 5.1.5) із сайта виробника.

• Множественные уязвимости в PHP (деталі)

04.09.2006

В минулому місяці, 11.08.2006, я знайшов численні Cross-Site Scripting уразливості на відомому проекті http://lenta.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Раніше, в липні, я вже писав про XSS на Лєнтє. Адміни лєнти так і не виправили попередню уразливість.

11.09.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Уразливості досі не виправлені.

Чимала частина власників сайтів, яким я повідомляю про уразливості на їх веб сайтах, та взагалі велика частина усіх власників сайтів, в наш час мало обізнані стосовно такої проблеми як Cross Site Scripting. І навіть якщо чули про наявність даної загрози і зокрема про наявність XSS на власному сайті (по інформації від мене), дані власники сайтів не переймаються цією проблемою - або не виправляють уразливості зовсім, або виправляють неякісно, або відповідають, що мовляв це не серйозна проблема і вони не бачать ніяких ризиків пов’язаних з даними уразливостями (і що адмінів навряд чи похакають, а стосовно юзерів їх сайтів їм байдуже).

Причому подібне відношення до уразливостей (і зокрема до XSS) існує давно - нагадаю, що Cross Site Scripting уразливості як окремий напрямок веб безпеки існує вже багато років (з 2000 року). І кількість похаканих сайтів щоденно зростає, але їх власники так і не почали замислюватися над проблемами безпеки своїх веб сайтів. В результаті своєї дослідницької діяльності стосовно уразливостей, я регулярно стикаюся з подібним відношенням власників до своїх сайтів, до їх безпеки і до XSS уразливостей.

Стосовно останніх, то зазначу, що окрім безпосереднього ризику для адмінів і користувачів даних веб сайтів (на яких знайдені XSS уразливості), уразливі сайти також небезпечні для будь-яких інших інтернет користувачів, навіть тих, хто про ці сайти і не чув взагалі. Це явище я називаю сайти зомбі.

Сайти, які мають XSS уразливості, і котрі я називаю сайтами зомбі - це сайти, котрі завдяки своїй уразливості можуть бути використані зловмисниками для своєї зловмисної діяльності. Використані як зомбі, котрі будуть виконувати роботу (команди), які дасть зловмисник, і завдяки чому жертва попаде у підготовлену пастку. Сайти зомбі можуть використовуватися для обдурення інтернет користувачів, фішингу та інших діянь, зокрема для редирекції на нехороший веб сайт (зі зловмисним кодом) або на інший уразливий сайт.

Я вже писав про фішинг за допомогою Yahoo та Google і таких прикладів можна привести чимало. І з кожним днем ситуація погіршується і небезпека зростає, що або власний сайт користувача, або відомий сайт, може бути використаний проти самого ж інтернет користувача.

P.S.

Вже в 2010 році я створив програму DDoS attacks via other sites execution tool (DAVOSET) для використання сайтів зомбі. DAVOSET - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.