Websecurity - Веб безпека

16.11.2006

У вересні, 20.09.2006, я знайшов Cross-Site Scripting уразливості на відомому проекті http://www.wm-exchanger.com (сервіс обміну веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже згадував про уразливість в іншому обміннику веб грошей, зокрема про уразливість на www.allmoney.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.01.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)

Уразливості вже виправлені.

Але не до кінця. З невеличкою модифікацією вони знову працюють (клікніть на поля “E-mail” та “Логин”).

• alert(’xss’)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Адмінам ww.wm-exchanger.com варто більш ретельно виправляти уразливості.

В даній добірці експлоіти в веб додатках:

• OTSCMS <= 2.1.3 Multiple Remote File Include Vulnerabilities (деталі)
• SourceForge <= 1.0.4 (database.php) Remote File Include Exploit (деталі)
• WiClear <= 0.10 (path) Remote File Include Vulnerabilities (деталі)
• Back-end => 0.4.5 Remote File Include Vulnerability (деталі)
• Exporia => 0.3.0 Remote File Include Vulnerability (деталі)

Розповім вам про один цікавий відеоролик про небезпечний інтернет серфінг. Ось ходите ви по сайтах і раз - ваш браузер вибило (DoS атака), або навіть гірше. Або преставте, набираєте ви адресу відомого сайта, наприклад пошукової системи, і випадково зробили помилку в слові (що нерідко трапляється). І в результаті ви потрапляєте зовсім на інший сайт, а там таке…

Як розповів Pdp в своєму записі, може трапитися така ситуація, коли людина набирала адресу Гугла і помилилася на одну літеру, після чого потрапила на небезпечний сайт. І далі її комп’ютеру не повезло .

What happens to Your Computer if you Мisspell Google.com

Так що подивіться це цікаве відео. І спробуйте не робити помилок в адресах сайтів і зокрема в адресі Google.

Більше третини сайтів, що містять зловмисне ПО, фізично розташовані на території США, крім того, по американському сегменту Інтернету в 2006 році було переслано спама більше, ніж у будь-якій іншій країні.

За даними фахівців Sophos, на території США знаходиться 34,2% сайтів, що поширюють шпигунське ПЗ і трояни, на другому місці з 31% йде Китай, на третьому місці Росія - 9,5%, на четвертому Нідерланди - 4,7%, замикає п’ятірку лідерів Україна - 3,2%.

Також вірусні аналітики відзначають, що швидкість появи “вірусних сайтів” по-справжньому лякає. У 2006 році в середньому по 5000 сайтів, що містять зловмисний код, виявлялося щодня. Усього ж у 2006 році було зареєстровано 41536 нових зразків вірусів, троянів та інтернет-хробаків, переважну більшість яких було призначено для ОС Windows.

Нарешті на останок в Sophos відзначають, що більш 90% спама розсилається не централізовано з якого-небудь сервера, а через заражені комп’ютери користувачів.

По матеріалам http://itua.info.

P.S.

Входити в п’ятірку кріїн, де знаходиться найбільше сайтів, які поширують зловмисні програми, може й для когось почесно, але на мій погляд, тут немає чим пишатися. Тому слідкуйте люди за своїми сайтами, щоб там не було вірусів, троянів і спайваре програм.

В даній добірці уразливості в веб додатках:

• SQL Injection Vulnerability in bfExplorer 0.0.6 (деталі)
• Sun java System Messenger Express XSS (деталі)
• WFTPD Pro Server 3.23 Buffer Overflow (деталі)
• WarFTPd 1.82.00-RC11 Remote Denial Of Service (деталі)
• Hosting Controller Multiple Vulnerabilities (деталі)
• Cross Site Scripting (XSS) Vulnerability in Web Mail platform by “Mirapoint” (деталі)
• Cross Site Scripting (XSS) Vulnerability in “ViewImage.asp” by Daronet Internet Solutions (деталі)
• Помилка в бібліотеці Verity в Adobe ColdFusion (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Tutti Nova 1.6 (деталі)
• PHP-інклюдинг в Sonium Enterprise Adressbook (деталі)

Компанія Google усунула небезпечну уразливість в одному зі своїх онлайнових сервісів, пов’язану з обробкою XSS.

Зловмисник, при вмілому використанні діри, міг би одержати несанкціонований доступ до документів і повідомлень електронної пошти користувачів сервісу. Аналогічна уразливість не дуже давно була виявлена в службі Blogger Custom Domains. Поява уразливості пов’язана з недавнім оновленням, установленому на сервісі.

За допомогою шкідливого скрипта можна одержати доступ, зокрема, до cookies сайтів пошуковця та інших конфіденційних даних. Експерт по сервісам Google Тоні Раско зміг у такий спосіб несанкціановано створити сторінку в домені Google.com.

Представники інтернет-гіганта завірили, що обидві уразливості були усунуті в найкоротший термін, а повідомлень про ефективне використання дір у компанію не надходило. Google також призвала експертів з питань безпеки і рядових ентузіастів повідомляти про знайдені уразлиовсті в компанію, а вже потім публікувати інформацію про діру. Це допоможе уникнути використання уразливості зловмисниками до її усунення розробниками.

По матеріалам http://www.secblog.info.

P.S.

Одна зі згаданих в новині дір - це уразливість в Blogspot, блог-сервісі Гугла.

Як повідомив RSnake в записі Blogspot XSS For Safari, нещодавно була виявлена XSS уразливість в Blogspot. І ця діра працює лише в браузері Safari, бо сам експлоіт вельми хитрий (хоча як повідомив відвідувач в коментарях, дана діра працює і в IE для Windows Mobile). Гугл через деякий час вже виправив дану уразливість.

31.10.2006

В минулому місяці, 20.09.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://www.allmoney.com.ua (сервіс обміну веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

25.01.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• UeberProject <= 1.0 (login/secure.php) Remote File Include Vulnerability (деталі)
• Berty Forum <= 1.4 (index.php) Remote Blind SQL Injection Exploit (деталі)
• JaxUltraBB <= 2.0 Topic Reply Command Execution Exploit (деталі)
• Fully Modded phpBB <= 2021.4.40 Multiple File Include Vulnerabilities (деталі)
• vbulletin Exploit Tool Box (деталі)

Тема безпеки Invision Power Board та уразливостей в ньому важлива для мене. Тому що в мене форум на цьому движку.

Продовжуючи тему Безпеки IPB, розповім вам про нові уразливості та експлоіти до IPB.

Ось три самих останніх експлоїта для IPB (для 2.1.7 та попередніх версій движка):

• Міжсайтове виконання сценаріїв в Invision Power Board (деталі)
• Invision Power Board <= 2.1.7 (Debug) Remote Password Change Exploit (деталі)
• Invision Power Board 2.1.7 debug mode vulnerability (деталі)

Підсумки “самого кіберзлочинного” року в історії Інтернету підводять журналісти The Washington Post.

На думку фахівців, одним із самих точних індикаторів стану кіберзлочинності є рівень спама. У жовтні 2006 р. його рівень зашкалив за 90% від усього поштового трафіка. Тільки за два останніх місяці обсяг спама виріс на 60%, а зловмисники успішно освоїли нову технологію графічного спама з варіаціями контента.

Обсяг спама є гарним індикатором рівня киберзлочинності, тому що сміттєві листи за звичай розсилаються за допомогою ботнетів, тобто мереж комп’ютерів “зомбі” - домашніх комп’ютерів, що інфіковані вірусом і розсилають спам по команді від “хазяїна” мережі. У злочинному середовищі ботнети вважаються дуже ліквідним товаром і постійно продаються і купуються.

Чим більше домашніх комп’ютерів інфіковані, тим вище рівень спама в Інтернеті. На сьогоднішній день, по оцінках фахівців, спамерські ботнети містять близько 3-4 млн ПК. І це лише спамові боти, але є такі ж мережі, що займаються виконанням DDoS-атак, вони теж складаються з мільйонів машин. Які задіються, якщо власники сайтів відмовляються платити шахраям за “забезпечення безпеки”.

Утримання ботнета - надзвичайно вигідний бізнес, що є головним джерелом доходу сучасних кіберзлочинних угруповань. Так, ізраїльський фахівець з ботнетам Гаді Еврон оцінює прибутковість ботнетів у минулому році у $2 млрд. Ці гроші були отримані, головним чином, від фішинга, шляхом заманювання людей на фальшиві сайти через спам. Цікаво, що трафік від користувача до фішингового сайта іноді теж проходить через ботнет, щоб обдурити антифішингові системи в сучасних браузерах. Як варіант, логіни і паролі можна збирати не на фальшивих сайтах, а прямо на комп’ютерах користувачів.

Ще одним доказом розквіту кіберзлочинності в 2006 р. є зміна часу хакерських атак. Раніш це були ночі і вихідні. Тепер же атаки йдуть вдень у будні дні. Іншими словами, киберзлочинність стала звичайною роботою для багатьох людей, хіба що в трудову книжку цей запис не вноситься.

Ботнети збільшили свою чисельність за рахунок того, що в минулому році, було виявлено як ніколи багато дір у програмному забезпеченні. Наприклад, тільки Microsoft випустила 97 “критичних” патчів для своїх програм, з них 14 так званих патчів “нульового дня”, що закривають діри, про існування яких Microsoft довідалася вже після того, як кіберзлочинці почали їх успішну експлуатацію. Для порівняння, у 2005 р. компанія Microsoft випустила всего 37 “критичних” патчів.

По матеріалам http://www.securitylab.ru.