Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• SQL in WebWizForum by almaster hacker (деталі)
• Multiple XSS Vulnerabilities in Zend Google Data Client Library Preview 0.2.0 (деталі)
• Essentia Web Server 2.15 Buffer Overflow (деталі)
• Cross Site Scripting (XSS) Vulnerability in Web Mail service by “Walla! Communications LTD” (деталі)
• Cross Site Scripting Vulnerability in iPlanet Messaging Server Messenger Express by “Sun” (деталі)
• PHP-Nuke <= 7.9 Journal module (search.php) "forwhat" SQL Injection vulnerability (деталі)
• phpMyConferences <= 8.0.2 Remote File Inclusion (деталі)
• Численні уразливості в sendcard (деталі)
• PHP remote file inclusion vulnerability in SportsPHool 1.0 (деталі)
• SQL-ін’єкція в autoDealer (деталі)

За повідомленням secblog.info, а також CNET News.com (New tool enables sophisticated phishing scams), в Інтернеті розпочався продаж програмного набору для фішинга.

Фахівці компанії RSA, що займається рішеннями в області комп’ютерної безпеки, сьогодні повідомили про те, що хакери почали продаж готових наборів для мережного шахрайства (фішинга). За словами фахівців, набір Universal Man-in-the-Middle Phishing Kit створений для того, щоб допомогти шахраям роздобути дані потенційних жертв через інтернет у реальному часі.

Набір для фішинга містить у собі онлайновий інтерфейс для підробки URL-адрес сайтів, даний інтерфейс з’єднується з легітимним сайтом цільової організації, такої як, наприклад, банк чи інтернет-магазин і скачує загальнодоступні сторінки сайта. Після цього, набір автоматично створює підроблений сайт, з дизайном як у легітимного сайта і розміщає його на зазначеному хостінгу.

Потім жертви одержують електронного листа від шахрая, де під тим чи іншим приводом їх змушують зайти на шахрайський сайт, що виявляється дуже схожим на легітимний, і залишити там які-небудь особисті дані (адресу, номер кредитної карти, тощо).

За словами фахівців, дане рішення не відрізняється вишуканістю і при деякій кмітливості користувача шахрайство буде неодмінно розкрито. Але небезпека даного набору в іншому - мережевому шахраю не потрібно додавати майже ніяк зусиль для створення фішингового сайта, тому зловмисники в стані наплодити таких сайтов безліч, причому вони будуть дуже мобільними і широко розповсюдженими.

По матеріалам http://www.secblog.info.

08.10.2006

В минулому місяці, 01.09.2006, а також додатково сьогодні, я знайшов чимало SQL Injection та Cross-Site Scripting уразливостей на популярному проекті http://www.daily.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Особливо небезпечними є SQL Injection уразливості (для яких я визначаю степінь ризику як дуже високу, для XSS - як високу), завдяки яким можливі витоки важливої та конфіденційної інформації.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.01.2007

SQL Injection:

• SQL ін’єкція на сторінці page.php
• SQL ін’єкція на сторінці rubric.php
• SQL ін’єкція на сторінці part.php

Та інші скрипти з параметром id.

В скрипті page.php додали додаткову фільтраіцю (або просто його переробили) проти вкладених запитів до БД (які дозволяють отримати будь-яку інформацію в тому числі логіни і хеші паролів адмінів). При тому що в скриптах rubric.php та part.php все ще залишилася можливість подавати вкладені запити.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

В параметрах node та sid скриптів вже не працюють уразливості (бо в результаті тех. робіт на сайті вже на існують самі параметри).

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Та інші скрипти з параметром id.

Дані уразливості досі не виправлені - більше як за три місяці, після мого повідомлення адміністраторам. Сайт досі уразливий - майже кожна його сторінка!

Більшість XSS та SQL Injection так і не були виправлені. Використовуйте ці уразливості на власний страх і ризик . Адмінам daily.com.ua варто змінити своє ставлення до безпеки власного сайта.

В даній добірці експлоіти в веб додатках:

• Imageview <= 5 (Cookie/index.php) Remote Local Include Exploit (деталі)
• InteliEditor 1.2.x (lib.editor.inc.php) Remote File Include Vulnerability (деталі)
• Ascended Guestbook <= 1.0.0 (embedded.php) File Include Exploit (деталі)
• CMS Faethon <= 2.0 (mainpath) Remote File Include Exploit (деталі)
• woltlab.de burning book <=1.1.2 SQL and PHP injection PoC (деталі)

Раніше я вже писав про жовтневий Web Application Security Professionals Survey, який проводив Джеремія Гроссман. А зараз розповім вам про результати листопадового Web Application Security Professionals Survey (в якому я приймав участь).

Питання:

1) Для кого ви виконуєте аудит безпеки веб додатків?
a) Для секюріті виробників
b) Для підприємств
c) В розважальних і/або навчальних цілях
d) Ішне

A: 40% B: 48% C: 8% D: 4%

2) Яка ваша найбільш поширена методологія аудиту безпеки веб додатків?
a) Аналіз вихідних кодів (White Box)
b) Black Box
c) Комбінація A та B

A: 2% B: 54% C: 44%

3) Чи ви використовуєте комерційні сканери безпеки для проведення секюріті аудитів?
a) Ніколи
b) Іноді
c) 50/50
d) В більшості випадків
e) Завжди

A: 52% B: 21% C: 0% D: 6% E: 21%

4) Чи ви використовуєте опен сорс інструменти для проведення секюріті аудитів?
a) Ніколи
b) Іноді
c) 50/50
d) В більшості випадків
e) Завжди

A: 0% B: 13% C: 15% D: 17% E: 56%

5) Яку систему оцінки небезпечності уразливостей веб додатків ви використовуєте?
a) DREAD
b) TRIKE
c) CVSS
d) Власну
e) Інше

A: 8% B: 2% C: 6% D: 67% E: 17%

6) Яка одна найбільш небезпечна і найбільш поширена уразливість веб додатків?
a) Cross-Site Scripting (XSS)
b) Cross-Site Request Forgery (CSRF)
c) PHP Include
d) SQL Injection
e) Інше

A: 48% B: 6% C: 10% D: 31% E: 4%

7) Чи є Cross-Site Request Forgeries (CSRF) частиною вашої методологї аудиту безпеки?
a) Так
b) Ні
c) Іноді
d) Що?

A: 42% B: 10% C: 46% D: 2%

8) З вашого досвіду аудиту безпеки, скільки веб сайтів майють серйозні уразливості в веб додатках?
a) Всі чи майже всі
b) Більшість
c) 50/50
d) Декілька
e) Незнаю

A: 17% B: 38% C: 21% D: 25% E: 0%

9) Скільки часу у вас займає пошук однієї серйозної уразливості на більшості публічних веб сайтів?
a) Пару хвилин
b) Час чи два
c) День і ніч
d) Кілька днів
e) Незнаю, ніколи не пробував

A: 23% B: 35% C: 19% D: 2% E: 21%

10) Через який час, після проведення аудиту безпеки, виправляється більшість знайдених уразливостей?
a) На протязі кількох годин
b) За декілька наступних днів
c) На протязі наступного планового оновлення програм
d) Місяць з часу знайдення
e) Як раз перед наступним щорічним аудитом безпеки

A: 0% B: 40% C: 30% D: 26% E: 4%

11) Які заходи можуть найбільше покращити безпеку веб сайтів?
a) Використання сучасних фрейморків для розробки програм (.NET, J2EE, Ruby on Rails, тощо)
b) Тренінги про безпеку програм та обізнаності розробників в темі безпеки
c) Більша присутність безпеки в Циклі Розробки Програмного Забезпечення (SDLC)
d) Відповідність промисловим стандартам
e) Інше

A: 21% B: 28% C: 21% D: 2% E: 28%

12) Чи ви були причетними до злочинних атак на веб додатки, які не були розкритими?
a) Ні
b) Один раз
c) Декілька разів
d) Багато, що й усе не перерахуєш

A: 35% B: 7% C: 41% D: 17%

Результати опитування навіюють на роздуми.

Зокрема результати відповідей на питання №3, про використання комерційних сканерів безпеки. 73% опитаних секюріті спеціалістів взагалі не використовують (або дуже рідко) комерційні сканери безпеки (зокрема я не використовую подібні сканери, і в цьому наші позиції співпали).

Виявлені численні уразливості в Microsoft Internet Explorer. Уразливі версії: Internet Explorer 5.01, 6.x.

Виявлені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних і скомпрометувати цільову систему.

1. Ушкодження пам’яті виявлене при обробці визначених DHTML функцій, що викликають некоректно створені елементи. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі.

2. Уразливість існує при обробці “drag and drop” операцій. Відалений користувач може за допомогою спеціально сформованої сторінки одержати вміст папки TIF (Temporary Internet Files).

3. Уразливість існує через помилку при обробці тегів OBJECT. Відалений користувач може за допомогою спеціально сформованої веб сторінки одержати дані про шлях до каталогу TIF (Temporary Internet Files) і роздобути його вміст.

4. Уразливість існує через помилку при обробці виключень помилок у сценаріях. Зловмисник може за допомогою веб сторінки, що містить спеціально сформований JavaScript код і котра одночасно визиває визначені типи помилок, виконати довільний код на цільовій системі.

• Множественные уязвимости в Microsoft Internet Explorer (деталі)

В даній добірці уразливості в веб додатках:

• PHPEasyData Pro 2.2.1 (index.php) Remote SQL Injection Vulnerability (деталі)
• PHPEasyData Pro 1.4.1 (index.php) Remote SQL Injection Vulnerability (деталі)
• Simple Website Software v0.99 (common.php) Remote File Include (деталі)
• foresite CMS - Cross Site Scripting Issue (деталі)
• easy notes manager sql injection and authentication bypass (деталі)
• freenews—> fileinclude (деталі)
• Cross Site Scripting (XSS) Vulnerability in Netquery by “VIRtech” (деталі)
• Відкритий пароль адміністратора в лог файлах в Adobe Contribute Publishing Server (деталі)
• SQL injection vulnerability in XennoBB 2.2.1 (деталі)
• PHP-інклюдинг в Mambo bigAPE-Backup (деталі)

Експерти в області комп’ютерної безпеки попереджають, що в наступному році основною мішенью для своєї активності хакери можуть вибрати мобільні телефони, інтернет-пейджери та соціальні мережі, такі як MySpacе. Зміна орієнтирів обумовлена, у тому числі тим, що зросла свідомість користувачів при роботі з електронною поштою, за допомогою якої поширювати шкідливі програми і фішингові листи стає все складніше.

З прогнозом згодний фахівець компанії Trend Micro Дейв Ренд, що відзначає, що тактика зловмисників стає все більш витонченою. Соціальні мережі можуть стати для хакерів джерелом даних про зареєстрованих користувачів, що потім будуть використовуватися для точно вивірених атак.

Для збору інформації про майбутні “жертви” фішери будуть переглядати сайти, що дозволяють користувачам розміщати свої фотографії й іншу конфіденційну інформацію. Згідно з прогнозами аналітиків, у небезпеці виявляться й шанувальники спілкування за допомогою систем миттєвих повідомлень, а також користувачі служб IP-телефонії.

Експерти McAfee також радять бути вкрай уважними власникам сучасних смартфонів, КПК і ноутбуків, оскільки очікується сплеск атак на портативні пристрої. В Trend Micro, у свою чергу, очікують підвищеної уваги хакерів до нової версії браузера Internet Explorer і операційній системі Windows Vista.

У McAfee попереджають, що зловмисники винаходять нові методи внутрікорпоративного шпигунства. Для здійснення кіберзлочинів хакерські групи все частіше наймають студентів комп’ютерних спеціальностей, яких потім використовують у якості інсайдерів.

По матеріалам http://www.securitylab.ru.

14.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливості на відомому проекті http://www.xshop.com.ua (інтернет магазин). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Раніше я вже згадував про уразливості в іншому інтернет магазині (Уразливості на myshop-in.net).

20.01.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Discuz! 5.0.0 GBK SQL Injection / Admin Credentials Disclosure Exploit (деталі)
• ArticleBeach Script <= 2.0 (index.php) Remote File Inclusion Vulnerability (деталі)
• TextPattern <= 1.19 (publish.php) Remote File Inclusion Vulnerability (деталі)
• Alternative File Stream Exploit for Easy File Share Server (деталі)
• Exploits bbsNew => 2.0.1 Remote File Include Vulnerability (деталі)