Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• VideoDB <= 2.2.1 (pdf.php) Remote File Include Exploit (деталі)
• PowerPortal 1.3a (index.php) Remote File Include Vulnerability (деталі)
• phpBB XS <= 0.58a (phpbb_root_path) Remote File Include Vulnerability (деталі)
• phpMyWebmin 1.0 (window.php) Remote File Include Vulnerability (деталі)
• PHP Krazy Image Host Script (id) Remote SQL Injection Exploit (деталі)

Як повідомив RSnake на своєму сайті, вийшла XSS Shell. На що я й звертаю вашу увагу - усіх хто цікавиться темою Cross-Site Scripting, як зі сторони нападу, так і зі сторони безпеки.

XSS Shell - це потужній інструмент для віддаленого контролю за жертвою за допомогою XSS уразливостей. Я вже згадував раніше про можливість підібного в записі Просунутий міжсайтовий скриптінг із віддаленим контролем у реальному часі (для кращого розуміння проблеми варто цю статтю прочитати).

На даний момент можна виділити наступні XSS системи з віддаленим контролем:

• XSS Proxy
• backweb
• BeEF Exploitation Framework
• XSS Shell

В цьому відношенні гострою проблемою стають сайти зомбі. Тому що будь-хто (в браузері з підтримкою java-script), на будь-якому сайті (уразливому до XSS) може стати жертвою хакерської атаки. Тому приділяйте увагу безпеці ваших сайтів.

В даній добірці уразливості в веб додатках:

• ConPresso CMS - Multiple Cross Site Scripting and SQL Injection Issues (деталі)
• Joomla gsg Component <= 1.0.4 Remote File Include Vulnerability (деталі)
• PHProjekt (Remote) Include Vulnerabilities (деталі)
• SAP Internet Transaction Server XSS vulnerability (деталі)
• Multitple XSS Vulnerabilities in Red Mombin 0.7 (деталі)
• Multiple XSS Vulnerabilities in Zen Cart 1.3.5 (деталі)
• phpBB XS 2 spain version (phpbb_root_path) Remote File Inclusion (деталі)
• MkPortal UrloBox Increment Zize Desfiguration (деталі)
• PHP-інклюдинг в Knusperleicht FileManager (деталі)
• Численні уразливості в Jetbox CMS (деталі)

В Seamonkey (колишній Mozilla Application Suit) були знайдені численні уразливості.

Уразливі версії: Seamonkey < 1.0.5.

Серед уразливостей є такі, що можуть змусити користувача відвідати небезпечний сайт, вибити браузер або запусти довільний код в системі. Знайдені уразливості виправлені в версії 1.0.5.

• Seamonkey: Multiple vulnerabilities (деталі)

11.10.2006

В минулому місяці, 02.09.2006, я знайшов Cross-Site Scripting уразливості на популярному секюріті проекті http://www.cybersecurity.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.11.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)

Уразливості вже виправлені. Лише адмінам cybersecurity.ru варто було мені повідомити про це (нерідко подібні випадки мають місце, коли власники сайтів взагалі не відповідають на мої листи).

В даній добірці експлоіти в веб додатках:

• Newswriter SW 1.4.2 (main.inc.php) Remote File Include Exploit (деталі)
• Les Visiteurs (Visitors) <= 2.0 (config.inc.php) File Include Vulnerability (деталі)
• UBB.threads <= 6.5.1.1 (doeditconfig.php) Code Execution Exploit (деталі)
• PHP Krazy Image Hosting 0.7a (display.php) SQL Injection Exploit (деталі)
• VideoDB <= 2.2.1 Remote File Include Exploit (деталі)

Як підняв тему RSnake в своєму записі Using CSS to De-Anonymize існує можливість визначити адреси які відвідував користувач (за допомогою Cascading Style Sheets). Тобто зняти анонимність користувача (порушити її).

За допомогою спеціального трюка можна визначити де був даний користувач в своєму браузері, на яких сайтах. В тому числі на яких локальних сайтах. Окрім розкриття конфеденційої інформації (і деанонімізації) користувача, це також може буди використано зловмисником для для проведення комплексних нападів (і зокрема на локальні сайти в локальних мережах).

Для визначення адрес відвіданих сайтів потрібно використати Jeremiah’s CSS trick. Який використовує баг (або фічу) в CSS, для визначення відвіданих користувачем сайтів. Для цього потрібно зробити список (заздалегіть) сайтів, по яким треба зробити перевірку, але це не є проблемою для зловмисника - для вгадання адреси відвіданного сайту.

Я ще планую додатково розповісти про CSS trick для визначення відвіданих сайтів та про атаки на локальні мережі. Це доволі обширна тема, в тому числі в аспекті використання XSS уразливостей разом з даним CSS трюком.

26.10.2006

Виявлений міжсайтовий скриптінг (XSS) в ASP.NET. Міжсайтовий скриптінг можливий при використанні форм із AutoPostBack. Вразливі усі веб-додатки на даній платформі, які використовують AutoPostBack.

• Microsoft Security Bulletin MS06-056 Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure (922770) (деталі)

05.11.2006

Міжсайтовий скриптінг в Microsoft .NET Framework.

Уразливі версії: Microsoft .NET Framework 2.0.

Уразливість дозволяє віддаленому користувачу виконати XSS напад.

• Межсайтовый скриптинг в Microsoft .NET Framework (деталі)

В даній добірці уразливості в веб додатках:

• Tagmin C.C 2.1.B Remote File Include (деталі)
• PHP MyWebMin 1.0 Remote File Include (деталі)
• phpsecurepages (cfgProgDir) Remote File Include Vulnerability (деталі)
• PowerPortal Remote File Include (деталі)
• Sql injection in PostNuke [Admin section] (деталі)
• FacileForms Cross-Site Scripting Vulnerability (деталі)
• UBB.threads Multiple input validation error (деталі)
• Joomla BSQ Sitestats Component Multiple Vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in The Search Engine Project (TSEP) (деталі)
• CzarNews XSS and Multiple SQL Injection Vulnerabilities (деталі)

Міністерство юстиції Німеччини деякий час тому опублікувало виправлення до антихакерскому закону країни. Зокрема, пропонується ввести в перелік карних злочинів взлом і атаки на домашні комп’ютери. Бо раніше вважалися незаконними лише взлом і шкідливі дії проти комп’ютерів компаній і державних установ.

Пропонується також арешт навіть за несанкціонований доступ до даних без їхньої крадіжки. Максимальний термін заключення за комп’ютерні злочини пропонується збільшити до 10 років, якщо вони сполучені з іншими злочинними діями. Виправлення в німецький закон приведуть його у відповідність з резолюцією по атаках на інформаційні системи ЄС.

Пропозиція зробити злочином створення чи поширення “хакерських інструментів” одержало суперечливі коментарі. Критики вважають, що це неприйнятно, оскільки багато системних адміністраторів і фахівці з ІТ-безпеки нерідко створюють подібні інструменти для перевірки захищеності корпоративних систем.

Аналогічні заходи для боротьби з хакерами запропоновані в британському “Біллі про поліцію і юстицію”, опублікованому урядом у січні. Тут експерти по безпеці також виразили невдоволення забороною “хакерских інструментів”.

По матеріалам http://www.securitylab.ru.