Архів за Листопад, 2006

Витік інформації в Firefox Password Manager

21:50 30.11.2006

25.11.2006

Перехоплення облікових (конфеденційних) даних у менеджері паролів Firefox. Уразливі версії: Firefox 1.5, Firefox 2.0.

При автоматичному заповненні форми не враховується її призначення, тому, якщо зловмисник може вставити форму в контент сайта, то він зможе одержати результати збережених полів (зокрема логін/пароль).

Зауважу, що уразливість виявлена не тільки в Mozilla Firefox, але й в IE (про що я напишу додатково). Експерти назвали даний різновид атаки Reverse Cross-Site Request. Про даний вид атак я ще розповім окремо більш детально.

  • Firefox password manager form information leak (деталі)
  • Cross-Site Forms + Password Manager = Security Failure (деталі)

30.11.2006

Уразливість при обробці URL в Firefox Password Manager.

Уразливі версії: Mozilla Firefox 2.x, Mozilla Firefox 1.x.

Уразливість дозволяє віддаленому користувачу одержати доступ до важливих даних на системі.

Уразливість існує через те, що менеджер паролів недостатньо перевіряє URL перед автоматичним заповненням форм збереженими особистими даними користувача. Зловмисник може за допомогою спеціально сформованих форм у межах одного домена одержати особисті дані цільового користувача.

При використанні менеджера паролів слід бути обережним. В якості одного з варіантів вирішення даної проблеми рекомендується відключити опцію збереження паролів для сайтів.

  • Уязвимость при обработке URL в Firefox Password Manager (деталі)

Уразливість на aport.ru

19:45 30.11.2006

04.11.2006

У вересні, 12.09.2006, я знайшов Cross-Site Scripting уразливість на відомій пошуковій системі http://aport.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Про проблеми з безпекою в пошукових системах я вже писав раніше (Поширені уразливості в пошукових системах).

30.11.2006

XSS:

Дані уразливості досі не виправлені. Хоча деякий час тому представники Апорта відповіли мені, що вони займаються цією проблемою.

Добірка експлоітів

13:33 30.11.2006

В даній добірці експлоіти в веб додатках:

  • OpenDock Easy Doc <=1.4 (doc_directory) File Include Vulnerabilities (деталі)
  • n@board <= 3.1.9e (naboard_pnr.php) Remote File Include Vulnerability (деталі)
  • ae2 (standart.inc.php) Remote File Include Vulnerability (деталі)
  • Jinzora <= 2.1 (media.php) Remote File Include Vulnerability (деталі)
  • Exploits CommunityPortals <= 1.0 Remote File Include Vulnerability (деталі)

Нова уразливість в IE7

19:37 29.11.2006

В Internet Explorer 7, який вийшов місяць тому, одразу було знайдено декілька уразливостей. Про можливість підміни вмісту сторінки в Internet Explorer 7 я вже писав. Зараз же розповім про іншу уразливість в IE 7, знайдену компанією Secunia.

Як повідомила Secunia через добу після виходу IE7, в браузері має місце достатньо серйозна уразливість, котра приводить до отримання доступу до критичної інформації (наприклад, доступу до онлайнових ресурсів в контексті чужого браузера). Помилка пов’язана з обробкою редиректів для адрес вигляду “mhtml:”.

Протестувати браузер (тест на сайті Secunia).

Причому як зазначає компанія, дана уразливість має місце як в IE7, так і в IE6 (в обох браузерах має місце подібна уразливість - для “mhtml” редиректорів). Тому уразливі IE6 та IE7.

І як я протестував свій IE6 - уразливість має місце. Так що зверність увагу на дану проблему.

XSSFuzz та XSS Testing Greasemonkey Script

18:45 29.11.2006

Ось дві цікаві програми від ha.ckers.org, які можуть стати у нагоді спеціалістам з веб безпеки для тестування сайтів на уразливості. Це програми XSSFuzz та XSS Testing Greasemonkey Script. Як видно з їх назв - це допоміжні утіліти для тестування XSS уразливостей.

XSSFuzz - це програма на перлі від RSnake для тестування XSS (зокрема variable width encoding issues).

XSS Testing Greasemonkey Script (XSS assistant) - це програма на ява-скрипт (для Greasemonkey) від Whiteacid для тестування XSS уразливостей в формах. Дозволяє відправити XSS у всі поля вибранної форми (що за звичай я роблю вручну), тим сами прискорюючи процес тестування веб додатків.

Сам я для тестування використовую лише свій розум, а також браузер (в основному Mozilla) для самого тестування та GVIM для запису результатів. Але подібні невеличкі утіліти також можуть стати у нагоді.

Добірка уразливостей

14:50 29.11.2006

В даній добірці уразливості в веб додатках:

  • “Call-Center-Software” Multiple Security Issues (деталі)
  • XeoPort <= 0.81 SQL Injection Vulnerability (деталі)
  • Xeobook <= 0.93 Multiple SQL Injection Vulnerabilities (деталі)
  • SmartyValidate-2.8 Vulnerability (деталі)
  • AlberT-EasySite <= 1.0.a5 Remote File Inclusion (деталі)
  • Noah’s Classifieds Cross Site Scripting Vulnerability (деталі)
  • gcards (languagefile) <= Remote File Include (деталі)
  • Jinzora <= 2.1 Remote File Inclusion (деталі)
  • Міжсайтовий скриптінг та SQL-ин’єкція в GasteChaos (деталі)
  • PHP remote file inclusion vulnerability in WoWRoster 1.5.1 (деталі)

Нові уразливості в Mozilla Firefox, Thunderbird, SeaMonkey

22:35 28.11.2006

Виявлені нові помилки та уразливості в Mozilla Firefox, Thunderbird, SeaMonkey. Я вже згадував, що Mozilla обновила браузер Firefox 1.5.

Дані помилки та уразливості вже були виправлені в нових версіях вказаних програм. Mozilla Firefox був оновлений до версії 1.5.0.8, Mozilla Thunderbird до версії 1.5.0.8, і Mozilla Seamonkey suite до версії 1.0.6.

Серед виправлених помилок наступні:

MFSA2006-65: Ряд помилок в роботи браузерів Mozilla (даний пункт був розбитий на три підпункти: CVE-2006-5464, CVE-2006-5747, CVE-2006-5748 і всі зазначені помилки були виправлені).

MFSA2006-66/CVE-2006-5462: Проблеми з RSA digital signatures були виправлені (причому повторно, раніше вже виправлялась дана помилка - MFSA 2006-60).

MFSA2006-67/CVE-2006-5463: виправлена можливість закриття браузеру (через помилку з обробкою Script об’єктів), з потенційною можливістю виконання JavaScript байткоду.

  • SUSE Security Announcement: Mozilla Firefox, Thunderbird, SeaMonkey (деталі)

Уразливості на addons.miranda-im.org

19:52 28.11.2006

26.10.2006

В минулому місяці, 07.09.2006, я знайшов 4 Cross-Site Scripting уразливості на відомому проекті http://addons.miranda-im.org - веб сайті інтернет пейджера Miranda (яким я сам користуюсь). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

28.11.2006

XSS:

Дані уразливості досі не виправлені. І до сих пір на сайті, завдяки добрим адмінам, доступна уразлива сторінка з PR4 (про подібні випадки я не однаразово згадував, просто на PR не акцентував увагу), що може стати комусь у нагоді. І поки адміни не виправлять уразливості на сайті, відвідувачам addons.miranda-im.org слід бути обережними.

Добірка експлоітів

18:40 28.11.2006

В даній добірці експлоіти в веб додатках:

  • OpenDock Easy Gallery <= 1.4 (doc_directory) File Include Vulnerabilities (деталі)
  • WebYep <= 1.1.9 (webyep_sIncludePath) File Include Vulnerabilities (деталі)
  • OpenDock Easy Blog <=1.4 (doc_directory) File Include Vulnerabilities (деталі)
  • Kmail <= 1.9.1 (IMG SRC) Remote Denial of Service Vulnerability (деталі)
  • Exploits CommunityPortals <= 1.0 Remote File Include Vulnerability (деталі)

Хакерська активність

18:18 26.11.2006

Як ви знаєте і могли не раз чути про це в ЗМІ (як офлайнових, так і онлайнових ЗМІ), хакери періодично взламують сайти. Взломи, дефейси та інші прояви - це звичайна активність хакерів (а також скрипт кідісів). В різних сегментах всесвітньої мережі ці прояви різняться, як за кількісними так і за якісними показниками, але в цілому в Інтернеті регулярно взламують сайти, в не залежності від його фізичного і віртуального місця знаходження - хакають і в Уанеті, і в Рунеті, і на заході.

Ось про хакерську активність я і хочу вам розповісти. При чому я планую регулярно піднімати дану тему (так як є чимало цікавої інформації з цього приводу).

Зокрема я планую зробити декілька оглядів хакерскьої активності в Рунеті - базуючись на інформації від секлаба, так як securitylab.ru регулярно публікує звіти про хакерську активність в Рунеті і я планую зробити власні огляди їхніх звітів. Щоб ви могли побачити узагальнену активність хакерів в Рунеті, а також могли порівняти з подібною активностю в Уанеті.

І прочитавши декілька подібних звітів на секлабі, в мене з’явилася ідея створити аналогічний звіт про хакерску активність в Уанеті. Яку я теж буду публікувати періодично, роблячи регулярні звіти про діяльність хакерів в Уанеті. Щоб можна було як відслідковувати динаміку і бачити процеси, які мають місце в нашому сегменті Мережі, а також буде можливість порівнювати з активністю хакерів в інших ділянках Інтернета.

Це я роблю вам анонс даного звіту ;) . Перший випуск якого я вже почав готувати і найлижчим часом опублікую. Зараз як раз збираю інформацію про діяльність хакерів в Уанеті. Подібний звіт буде цікавим і корисним для всіх кому близька дана тема.