Websecurity - Веб безпека

29.08.2006

На початку місяця, 06.08.2006, знайшов декілька Cross-Site Scripting уразливостей на відомих проектах http://www.kommersant.ua та http://www.kommersant.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

29.08.2006

XSS:

www.kommersant.ua

• alert(document.cookie)
• alert(document.cookie)

www.kommersant.ru

• alert(document.cookie)
• alert(document.cookie)

Уразливості досі не виправлені.

Я вже писав про помилку на Яндексі (помилка при читанні з диску), яку вже Яндекс виправив. Зараз пропоную ще одну помилку

• помилка (варіант №1)
• помилка (варіант №2)
• помилка (варіант №3)

В Mozilla або Firefox, замість виведення каталогу, Яндекс виводить голий текст - мішанину тексту (в xml форматі, але ні Мозіла, ні Фаєрфокс не реагують на це). Internet Explorer хочаб виводить коректно xml дані, але знову ж голий тест - без жодного оформлення.

Яндексу слід підправити виведення інформації в себе в каталозі (yaca.yandex.ru).

В даній добірці уразливості в веб додатках:

• Vulnerability: ModernBill Insecure CURL Settings (деталі)
• phpECard (functions.php) Remote File Inclusion Exploit (деталі)
• ExBB Italian version <= v2.0 (home_path) Remote File Inclusion Exploit (деталі)
• Portail PHP mod_phpalbum 2.15 Modules Remote File Inclusion (деталі)
• JS ASP Faq Manager v1.10 sql injection (деталі)
• ToendaCMS<= Remote File Include Vulnerabilities (деталі)
• b2evolution<= 1.8 Remote File Include Vulnerabilities (деталі)
• LinksCaffe no checker at admin (деталі)
• Міжсайтовий скриптінг в Dokeos (деталі)
• PHP-інклюдинг в My Bace Light (деталі)

26.08.2006

На початку місяця, 04.08.2006, знайшов Cross-Site Scripting уразливість (в двох параметрах) на проекті http://www.setlinks.ru (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

07.09.2006

XSS:

На сторінці http://www.setlinks.ru/partner/editpage.html?id=2648 при відправлені POST запиту (в полях “Разделитель” та “Класс ссылок”):
"><script>alert(document.cookie)</script>

P.S.

Уразливість вже виправлена адміністрацією.

Декілька днів тому, 04.09.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://web.archive.org. Про що вже повідомив адміністрацію проекту.

XSS:

• alert(”websecurity.com.ua”)
• alert(document.cookie)

P.S.

Поки адміни будуть виправляти дану уразливість, на них вже чекає нова (яку я знайшов сьогодні).

В даній добірці експлоіти в веб додатках:

• NES Game and NES System <= c108122 File Include Vulnerabilities (деталі)
• Simple Machines Forum <= 1.1 rc2 Lock Topics Remote Exploit (windows) (деталі)
• pSlash 0.7 (lvc_include_dir) Remote File Include Vulnerability (деталі)
• phpBB All Topics Mod <= 1.5.0 (start) Remote SQL Injection Exploit (деталі)
• iziContents <= RC6 GLOBALS[] Remote Code Execution Exploit (деталі)

Як я вже писав раніше, деякий час тому вийшов Invision Power Board 2.1.7. І майже одразу була знайдена уразливість в IPB.

Уразлива Invision Power Board 2.1.7 і більш ранні версії. Уразливість дозволяє віддаленому користувачу обійти деякі обмеження безпеки.

Уразливість існує через невідому помилку в режимі “threaded view”. Віддалений користувач може одержати доступ до повідомлень користувачів за межами теми.

Рекомендую встановити виправлення для IPB з сайта виробника.

Додаткова інформація на дану тему:

• Обход ограничений безопасности в Invision Power Board (деталі)
• Invision Power Board Threaded View Mode Security Bypass (деталі)

В даній добірці уразливості в веб додатках:

• HLstats “q” Cross-Site Scripting Vulnerability (деталі)
• PmWiki Table Markups Script Insertion Vulnerability (деталі)
• MyBB Avatar / Attachment Script Insertion Vulnerability (деталі)
• DUpoll 3.1 security bug (деталі)
• Ay System Solutions CMS <= v2.6 (main.php) Remote File Inclusion Exploit (деталі)
• Web3news <= v0.95 (PHPSECURITYADMIN_PATH) Remote File Inclusion Exploit (деталі)
• JetBox cms (search_function.php) Remote File Include (деталі)
• interact <= 2.2 (CONFIG[BASE_PATH]) Remote File Include Vulnerability (деталі)
• Cross-site scripting vulnerability in Blackboard Academic Suite 6.2.3.23 (деталі)
• Advanced Poll ‘User-Agent’ SQL Injection and ‘X-Forwarded-For’ Unauthorized Data Modification (деталі)

МОО ВПП ЮНЕСКО “Інформація для всіх” й інформаційно-аналітичний портал SecurityLab проводять нове опитування (дуже актуальне як для мене) в рамках проекту “Право і суспільство в цифрову епоху”, ціль якого - з’ясувати думку користувачів Рунета щодо припустимих границь дослідження уразливості інформаційних систем - програмного забезпечення, веб-сайтів, мереж передачі даних, тощо.

Ця тема неодноразово піднімалася на різних рівнях в усьому світі, але в Росії практично не була порушена. Пропозицією розгорнутого обговорення питань пошуку й усунення уразливостей пролунала доповідь Сергія Гордейчика в ході VII Міжнародної конференції “Право й Інтернет”, що зібрав експертів в області юриспруденції і комунікацій з державних, суспільних і комерційних структур країн СНД і Балтії.

Ситуація з пошуком, усуненням і публікацією інформації про уразливості є дуже делікатним питанням. З одного боку, без незалежної експертизи практично неможливо оцінити рівень захищеності того чи іншого продукту, а без публічного обговорення цих проблем дуже складно змусити виробників серйозно відноситься до безпеки власних продуктів.

З іншого боку, непродумане розголошення інформації про уразливості може привести до серйозних втрат, як з боку виробника, так і користувачів системи. Ситуація збільшується широким поширенням online-служб, таких як платіжні системи, IP-телефония, коли уразливість одного сервера може привести до обмеження інтересів великої кількості користувачів.

“У даний час більшість дослідників самостійно вибирають для себе стратегію взаємодії з виробником і публікації інформації про знайдені уразливості. Ці стратегії, чи “політики розголошення”, носять характер етичних норм і найчастіше досить агресивні”, - відзначив Сергій Гордейчик, - “Але з іншого боку, спроби бізнесу чи держави регулювати процес дослідження захищеності систем поки приводили тільки до активізації чорного ринку”.

Сьогодні термін “хакер” не має чіткого емоційного забарвлення. Хакерами називають і тих ентузіастів, що досліджують уразливості інформаційних систем з метою зробити кіберпростір надійнішим, і тих, хто, навпроти, використовує знайдені уразливості в корисливих чи хуліганських цілях.

Як відзначив керівник МОО ВПП ЮНЕСКО “Інформація для всіх” Олексій Демидов, - “Результати цього опитування допоможуть краще зрозуміти: що варто регулювати законодавчо, а з чим відмінно справляються інструменти саморегулювання, “правила гарного тону”, прийняті в кіберпросторі. Зокрема, де межа між хакером-подвижником і хакером-злочинцем”.

По матеріалам http://www.securitylab.ru.

В даній добірці експлоіти в веб додатках:

• Apache < 1.3.37, 2.0.59, 2.2.3 (mod_rewrite) Remote Overflow PoC (деталі)
• PHProjekt <= 6.1 (path_pre) Multiple Remote File Include Vulnerabilities (деталі)
• SimpleBlog <= 2.0 (comments.asp) Remote SQL Injection Exploit (деталі)
• Simple Machines Forum <= 1.1 rc2 (lngfile) Remote Exploit (windows) (деталі)
• AES: AlberT-EasySite <= 1.0a5 Remote File Include Vulnerability (деталі)