Websecurity - Веб безпека

22.09.2006

В минулому місяці, 22.08.2006, я знайшов декілька Cross-Site Scripting уразливостей на відомому секюріти проекті http://www.securityfocus.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

07.10.2006

XSS:

На сторінці http://www.securityfocus.com/jobs/seekers/register при відправлені POST запиту:
"><script>alert(document.cookie)</script>

В полях: First Name, Last Name, Email, City та Username.

Уразливості вже виправлені.

Власникам секюріти проекта www.securityfocus.com потрібно більше слідкувати за безпекою власного сайту.

В даній добірці уразливості в веб додатках:

• EShoppingPro v1.0(search_run.asp) Remote SQL Injection Vulnerability (деталі)
• Charon Cart v3(Review.asp) Remote SQL Injection Vulnerability (деталі)
• HitWeb v3.0 - Remote File Include Vulnerabilities (деталі)
• Plume CMS <= 1.1.10 [prepend.php] Remote File Include Vulnerability (деталі)
• PHP-Post Multiple Input Validation Vulnerabilities (деталі)
• PHPQuiz Multiple Remote Vulnerabilites (деталі)
• NixieAffiliate all version bypass admin and xss (деталі)
• ECardPro v2.0(search.asp) Remote SQL Injection Vulnerability (деталі)
• Joomla! Colophon 1.2 PHP remote file inclusion vulnerability (деталі)
• MWNewsletter SQL Injection and XSS Vulnerabilities (деталі)

За даними дослідження 2006 Computer Crime and Security Survey, кожна з опитаних компаній у середньому втратила 132047 EURO через неефективний ІТ-захист в 2005 році. Втрати в 2006 році будуть ще більше. Основними причинами збитків стали вірусні атаки і несанкціонований доступ до мережі.

За даними дослідження, комп’ютерні віруси і несанкціонований доступ до мереж є основними причинами фінансових збитків компаній. Інші значимі причини містять у собі втрату чи крадіжку ноутбуків і конфіденційної інформації. У сумі, ці причини відповідальні за 74% усіх корпоративних збитків, викликаних неефективністю систем ІТ-безпеки.

Згідно представленим у згаданому звіті даним, кожна з опитаних компаній у 2005 році понесла збитки на усереднену суму в 132047 EURO. Однак автори звіту підкреслюють, що лише половина з опитаних американських компаній надала інформацію, з огляду на можливість негативного розголосу, тому реальні цифри можуть бути значно вище.

По матеріалам http://itua.info.

23.09.2006

В минулому місяці, 25.08.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.polit.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

06.10.2006

XSS:

• alert(document.cookie)
• цікавий
• html включення

Уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• UNAK-CMS <= 1.5 (dirroot) Remote File Include Vulnerabilities (деталі)
• Mambo com_registration_detailed <= 4.1 Remote File Include (деталі)
• GNUTURK <= 2G (t_id) Remote SQL Injection Exploit (деталі)
• aeDating <= 4.1 dir[inc] Remote File Include Vulnerabilities (деталі)
• MiniPort@l <= 2.0 (skiny) Remote File Include Exploit (деталі)

Деякий час тому вийшла версія PHP v.5.1.6 - розробниками з PHP Development Team була випущена нова версія мови програмування PHP п’ятого покоління, яка широко використовується для створення веб додатків.

У даному релізі виправляються помилки, а також зроблені інші корисні зміни й поліпшення. Зокрема цей реліз виправляє помилку, що стосувалася обмежень пам’яті на 64-бітних системах.

В даній добірці уразливості в веб додатках:

• mcLinksCounter v1.1 - Remote File Include Vulnerabilities (деталі)
• ClickBlog! <= v2.0 (default.asp) Admin ByPASS SQL Injection (деталі)
• Busy box httpd file traversal vulenrability (деталі)
• BizDirectory all version xss (деталі)
• PhotoPost PHP 4.6 - 4.5 [PP_PATH] >> Remote File Include Vulnerability (деталі)
• Sql injection in Moodle (деталі)
• MyBB 1.2 Full path and Cross site scripting vulnerabilities (деталі)
• Q-Shop v3.5(browse.asp) Remote SQL Injection Vulnerability (деталі)
• Joomla! LMO 1.0b2 PHP remote file inclusion vulnerability (деталі)
• Виконання довільного коду в Exponent CMS (деталі)

Нещодавно, 02.10.2006, секюріті експерти виявили серьйозну помилку в Internet Explorer, яка дозволяє викоконувати міжсайтовий скриптінг з використанням UTF-7 символів в URL запиту.

Причому спочатку один дослідник виявив дану уразливість на Майкрософтовському сервері IIS, яка проявляє себе в IE (в якому встановлена автодетекція кодування сторінки), і дана уразливість може бути використана як універсальна уразливість проти користувачів IE та веб сайтів на IIS серверах. Але майже одразу після появи повідомлення про цей випадок, інший дослідник виявив подібну уразливість на серверах Apache при використанні IE та UTF-7 символів в URL. Що теж може бути використано як універсальна уразливість проти користувачів IE та веб сайтів на серверах Apache (при умові ввімкненої автодетекції кодування сторінки).

Суть нападу зводиться до задання неіснуючої сторінки, і при цьому веб сервери IIS і Apache виводять інформацію, що вона не існує і при наявності UTF-7 символів дозволяють провести XSS атаку.

Сам я проводив дослідження і в мене Internet Explorer ніяк не проявив в даній уразливості (ні на серверах Апач, ні на IIS). Схоже що в мене IE взагалі не підтримує дане кодування (його немає в виборі кодувань), на відміну від Mozilla (де вибір такого кодування є, але сама Mozilla не вразлива).

Як повідомляє RSnake в себе на сайті в записі UTF-7 Strikes 404 Pages In Internet Explorer, проблема подібна має місце, як він перевірив, і про подібного роду уразливості в IE він вже знав раніше. І не зважаючи на різні обмеження, даний напрямок атаки може бути віднесеним до універсальних XSS атак. Але пізніше в коментарях до запису було повідомлено, що дана уразливість зустрічається епізодично, не на всіх серверах Apache. Та й сам автор повідомлення про уразливість в Apache + IE, підтвердив, що поспішив, і в дефолтній конфігурації Апач (особливо останні версії) не вразливий до даної атаки. Але ще зашишаються IIS сервера (та й рідкі випадки на деяких версіях Apache).

• Microsoft Internet Information Services UTF-7 XSS Vulnerability [MS06-053] (деталі)
• IE UXSS (Universal XSS in IE, was Re: Microsoft Internet Information Services UTF-7 XSS Vulnerability [MS06-053]) (деталі)

В даній добірці експлоіти в веб додатках:

• Limbo CMS <= 1.0.4.2L (com_contact) Remote Code Execution Exploit (деталі)
• PhotoPost <= 4.6 (PP_PATH) Remote File Include Vulnerability (деталі)
• phpQuiz <= 0.1.2 Remote SQL Injection / Code Execution Exploit (деталі)
• guanxiCRM Business Solution <= 0.9.1 Remote File Include Vulnerability (деталі)
• Socketwiz Bookmarks <= 2.0 (root_dir) Remote File Include Exploit (деталі)

01.10.2006

Виявленні численні уразливості в Firefox. Уразливі версії: Mozilla Firefox <= 1.5.0.6.

Виявлені уразливості дозволяють зловмиснику виконати напад "людин по середині", міжсайтовий скриптінг, спуфінг і потенційно скомпрометувати систему користувача.

1. Переповнення буфера в обробці JavaScript регулярних виразів дозволяє зловмиснику виконати довільний код на цільовій системі.

2. Механізм автообновления використовує SSL для безпечного спілкування. Якщо користувач підтвердить непровірений самопідписаний сертифікат при відвідуванні сайта, зловмисник може перенаправляти перевірку оновлення до зловмисного веб сайту і виконати напад "людин по середині".

3. Деякі помилки в процесі відображення тексту можуть експлуатуватися для ушкодження пам'яті і виконання довільного коду.

4. Уразливість виявлена в перевірці деяких підписів у Network Security Services (NSS) бібліотеці.

5. Уразливість у міждоменній взаємодії дозволяє впровадити довільний HTML і код сценарію у фрейм іншого веб сайта використовуючи виклик "[window].frames[index].document.open()".

6. Помилка виявлена при відкритті заблокованих спливаючих вікон. У результаті можна виконати довільний HTML і код сценаріїв у браузері користувача в контексті довільного веб сайта.

7. Кілька нерозкритих помилок пам'яті дозволяють виконати довільний код на цільовій системі.

Рекомендую оновити браузер до версії 1.5.0.7.

• Уразливості в Mozilla Firefox (деталі)
• Множественные уязвимости в Mozilla Firefox (деталі)

03.10.2006

Додаткова інформація.

Численні уразливості в браузерах Firefox / Mozilla / SeaMonkey / Netscape та в Thunderbird.

• Fixed in Firefox 1.5.0.7 (деталі)