Websecurity - Веб безпека

09.11.2006

Виявлене переповнення буфера в PHP. Уразливість дозволяє віддаленому користувачу викликати відмовлення в обслуговуванні чи виконати довільний код на цільовій системі.

Уразливі версії PHP: 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x, 5.0.x, 5.1.x.

Уразливість існує через помилку перевірки границь даних у функціях “htmlentities()” і “htmlspecialchars()”. Зловмисник може передати спеціально сформовані дані PHP додатку, що використовує уразливі функції, викликати переповнення буфера і виконати довільний код на цільовій системі.

Уразливість дозволяє перезаписати до 7 символів, впроваджуючи некоректні UTF-8 символи в рядок, що буде оброблений уразливими функціями. Символи обмежені 0×00, 0xc0-0xfd.

Уразливість виправлена в останній версії php - 5.2.0.

• Переполнение буфера в PHP (деталі)

14.11.2006

Виявлене переповнення буфера у функціях PHP (buffer overflow).

Переповнення буфера у функціях htmlentities() і htmlspecialchars() при використанні UTF-8.

Уразливі версії: PHP 4.4, PHP 5.1.

• PHP HTML Entity Encoder Heap Overflow Vulnerability (деталі)

03.10.2006

В вересні, 22.09.2006 та 23.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на різних проектах відомої пошукової системи Meta.ua. Я вже раніше писав про уразливість на lib.meta.ua, яку знайшов наприкінці серпня, а це я ще раз заходив на сайти Мети, і знайшов ряд нових XSS уразливостей.

Про дані уразливості я вже попередньо сповістив адміністрацію Мети і найближчим часом повідомлю їм деталі. До речі, на моє повідомлення про XSS на lib.meta.ua вони прореагували всього лише через пів доби - швидше за них на уразливості реагує лише Гугл! Не те що Рамблер чи Яндекс (та інші), які з півтижня, а то й з місяць фіксили (а то й більше) уразливості, про які їм повідомляв. В цьому відношенні адміни Мети молодці.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.11.2006

XSS:

http://context.meta.ua

• alert(document.cookie)
• POST запит в меню Быстрое добавление кампании в полі Название.
• POST запит на сторінці /?mode=edit_campaign&id=98 в полі Название.
• POST запит на сторінці http://context.meta.ua/?mode=info в полях: Имя, Фамилия, Компания, Адрес электронной почты, Телефоны для связи.

http://help.meta.ua

• alert(document.cookie)

http://meta.ua

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. І адмінів чекають нові уразливості на meta.ua.

Додам, що останню уразливість Мета виправила не до кінця. При невеличкій модификації уразливість знову працює.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Адмінам Мети слід більш ефективно виправляти уразливості, про які я повідомляю.

В даній добірці експлоіти в веб додатках:

• Invision Gallery 2.0.7 (index.php) Remote SQL Injection Exploit (деталі)
• Klinza Professional CMS <= 5.0.1 (show_hlp.php) File Include Exploit (деталі)
• Travelsized CMS <= 0.4 (frontpage.php) Remote File Include Exploit (деталі)
• phpMyProfiler <= 0.9.6 Remote File Include Vulnerability (деталі)
• Invision Gallery => 2.0.7 ReadFile() & SQL injection exploit (деталі)

Деякий час тому, як писав RSnake в себе на сайті (Web Application Security Poll), відбулося опитування серед секюріті професіоналів.

Jeremiah Grossman провів опитування на тему Web Application Security серед експертів в галузі безпеки. В опитуванні прийняла участь невелика кількіть участників, тому воно не є досить репрезантивним, але при цьому є необхідним для розуміння тенденцій в сфері безпеки.

Важливим в цьому опитуванні є його результати. Як зробив висновки RSnake з результатів опитування проведеного Jeremia, один з результатів даного опитування є доволі цікавий (з чим погодилися й інші експерти). На який я хочу звернути й вашу увагу: мова йде про запитяння, стосовно того, чи використовуєте ви в своїй роботі комерційні секюріті сканери. На що 71% відповіли, що ніколи. До чого я можу додати, що сам також не користуюся жодними секюріті сканерами в своїй роботі - тільки власною головою

Подібне явище можна пояснити невисокою якістю секюріті сканерів, що професіонали просто не бажають ними користуватися. Я вже писав про уразливості на сайтах секюріті компаній, які були знайдені незалежними дослідниками, а також сам знаходив уразливості на багатьох секюріті сайтах, про що зокрема писав в записі Безпека сайтів про безпеку. А також це можна пояснити складністю та незручністю самих інструментів, та обмеженою кількістю наявних в програмі тестів (та самі інструменти не дешеві).

До речі, нещодавно Jeremiah розпочав нове (листопадове) опитування. Про його результати я повідомлю окремо.

Виявленні численні DoS-умови в популярній СУБД PostgreSQL.

Можливі різні DoS-умови при виконанні клієнтських запитів.

• postgresql (деталі)

В даній добірці уразливості в веб додатках:

• Directory Traversal Vulnerability in Goop Gallery 2.0.2 (деталі)
• phpMyProfiler remote file include (деталі)
• BBaCE “phpbb_root_path” File Inclusion (деталі)
• Drupal IMCE Module Multiple Vulnerabilities (деталі)
• HAMweather “do_parse_code” Command Injection Vulnerability (деталі)
• OpenBiblio Local File Inclusion and SQL Injection (деталі)
• Taskjitsu “key” SQL Injection Vulnerability (деталі)
• phpMyProfiler Remote File Inclusion Vulnerability (деталі)
• PHP-інклюдинг в Knusperleicht NewsLetter (деталі)
• PHP-інклюдинг в Nitrotech (деталі)

Компанія Acunetix, розробники популярного секюріті сканера, в своєму повідомленні Cross-Site Scripting ranks first in top security risks звертає вашу увагу на те, що в даний час XSS уразливості стали серйозною і поширеною загрозою безпеки. Раніше я згадував, що XSS набирає обертів (і секюріті компанії все більше звертають увагу на даний тип уразливостей).

Сама компанія займається розробкою секюріті сканера та регулярно проводить аудити проти разноманітних загроз безпеки, в тому числі XSS. Я вже розповідав про статистику веб атак.

І як показують дослідження компанії, зараз хакери відходять від атак переповнення буфера (які раніше були найпопулярнішими), і в даний час Cross-Site Scripting та SQL Injection є самими популярними атаками (котрі дозволяють дістатися зловмисникам до конфеденційної інформації).

Проект Common Vulnerabilities and Exposures (CVE) по власній статистиці за 2006 також підтвержує дану ситуацію: Cross-Site Scripting - 21,5%, SQL Injection - 14%, PHP includes - 9,5% (при тому, що Buffer overflows лише 7,9%).

Збільшення поширенності XSS уразливостей показує, що вектор атак зараз зміщується в напрямку веб додатків (з мов программування таких як C, до веб орієнтованих мов, таких як PHP, Perl, Java та платформи .Net). Зловмисники все більше використовують веб орієнтовані атаки. Тому потрібно приділяти увагу захисту ваших веб сайтів, веб додатків та веб систем.

21.10.2006

В минулому місяці, 04.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на популярному проекті http://bin.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.11.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• BasiliX 1.1.1 (BSX_LIBDIR) Remote File Include Exploit (деталі)
• BBaCE <= 3.5 (includes/functions.php) Remote File Include Vulnerability (деталі)
• cPanel <= 10.8.x (cpwrap via mysqladmin) Local Root Exploit (деталі)
• JAF CMS <= 4.0 RC1 (forum.php) Remote File Include Exploit (деталі)
• Klinza Professional CMS <= 5.0.1 (show_hlp.php) Remote File Include Exploit (деталі)

У вересні, 16.09.2006, я знайшов чимало Cross-Site Scripting уразливостей на http://www.imena.ua - веб сайті мого домен провайдера. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливості з’явиться пізніше.

Детальна інформація.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.