Websecurity - Веб безпека

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента Білорусії, анонсую нового номінанта.

Сьогодні я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.prezident.sk - сайті Президента Словацької республіки. Адмінам сайта www.prezident.sk я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

На сайті п’ятого номінанта також не одна подібна UXSS уразливість. Всьго знайшов дві pdf-ки на сайті Президента Словакії, плюс три лінки на pdf-ки на одному урядовому сайті (але потенційно на сайті ще можуть бути подібні діри).

P.S.

Це п’ятий приклад з серії уразливих президентських сайтів. На даний час я припиняю цю президентську фієсту, сподіваюся і відвідувачі мого сайту і самі президенти (та адміни їх сайтів) зрозуміли, що за безпекою треба слідкувати.

Може ще з часом повернуся до цієї теми, а зараз продовжу свою роботу в звичному режимі - буду публікувати інформацію про діри на тих сайтах, які відвідую (а також планую розповісти про діри на сайтах спецслужб - щоб вони не розслаблялися , на додаток до вже опублікованої інформації про діри на сайтах спецслужб США).

В своєму записі Yet Another Way to Fingerpring IIS, RSnake розповідає про розроблений метод визначення IIS (його ідентифікації) - веб сервера Internet Information Services від Майкрософт (ясна річ сервер тільки під Windows платформу).

Суть методу зводиться до відправлення хитрого запиту: після адреси домена не ставиться слеш і додається знак питання та будь-який текст (наприклад: ?blah). Цей простий трюк приводить до того, що: Апач сервер нормально на це реагує (видає “200 OK”), а IIS ругається (видає “400 Bad Request”) - тим самим видаючи себе. В записі RSnake наводить приклади запитів до веб серверів (через telnet), які демонструють реакцію веб серверів Apache та IIS.

До речі, в коментарях Ilia Alshanetsky повідомив, що даний трюк можна використати для визначення lighttpd, який також своєрідно реагує на подібний запит (видає “301 Moved Permanently”). В даному випадку лише треба в запиті до імені домена додати “//?”, щоб визначити сервер lighttpd по його реакції.

Подібне визначення веб серверів (fingerpring) може знадобитися при аудиті безпеки окремих сайтів, або навіть окремих веб серверів в локальній мережі чи в Інтернет.

Виявлені численні уразливості в браузері Opera. Уразливі версії: Opera 9.02.

Ушкодження динамічної пам’яті при розборі JPEG, виклик функції по контрольованому вказівнику в Javascript.

• Opera JPEG processing - Heap corruption vulnerabilities (деталі)
• Opera Software Opera Web Browser createSVGTransformFromMatrix Object Typecasting Vulnerability (деталі)
• Opera Software Opera Web Browser JPG Image DHT Marker Heap Corruption Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• blueshoes filemanager Remote File Include Vunerability (деталі)
• phptreeview Remote File Include (деталі)
• Bcwb 2.5 Multiple Remote File Include (деталі)
• opendocman <= 1.2p3 Bypass admin/user Login (деталі)
• QnECMS <= 2.5.6 (adminfolderpath) Remote File Inclusion Vulnerability (деталі)
• Punbb <= 1.2.13 Multiple Vulnerabilities (деталі)
• Nucleus Core v3.23 - Remote File Include (деталі)
• PHP remote file inclusion vulnerability in AkoComment 1.1 module for Mambo 4.5 (деталі)
• PHP remote file inclusion vulnerability in ANJEL Component for Mambo (деталі)
• Міжсайтовий скриптінг та SQL-ін’єкція в BestWebApp (деталі)

Департамент інформаційних технологій Індії обнародував результати дослідження, згідно яких ця країна лідирує по кількості хакерів.

Тільки за першу половину 2006 року взломані 39 сайтов “gov.in”, 81 сайт “co.in” і 158 сайтів того ж домена (”net.in”, “nic.in”, “ernet.in” і інші). В цілому “комп’ютерні пірати” взломали 1752 сайта, 15,9% яким знаходяться в домені “.in”, 67,5 % - в домені “.com”. Для порівняння, у 2005 році було взломано всього лише 373 сайта.

Крім того, за словами глави лабораторії Symantec у Пуні (штату Махараштра) Прабхата Сінгха, у минулому році, Індія зайняла 18 місце в рейтингу країн, громадяни яких замічені в спамерських розсиланнях.

Найчастіше хакери в Індії за допомогою великої кількості звертань до сервера викликають помилку переповнення буфера, завдяки якій зловмисник може виконати будь-як програму на стороні сервера (примітка - ох уж ці журналісти, як понаписують , тут скоріше за все йшла мова про DoS атаки).

По матеріалам http://www.rian.ru.

15.11.2006

У вересні, 19.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.liga.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

18.01.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• MPCS <= 1.0 (path) Remote File Include Vulnerabilities (деталі)
• Php League <= 0.81 (config.php) Remote File Include Exploit (деталі)
• MiniHttpServer Web Forum & File Sharing Server 4.0 Add User Exploit (деталі)
• CommentIT (PathToComment) Remote File Include Vulnerabilities (деталі)
• Exploits bbsNew => 2.0.1 Remote File Include Vulnerability (деталі)

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента США, анонсую нового номінанта.

Декілька днів тому, 13.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.president.gov.by - сайті Президента Республіки Білорусь. Адмінам сайта www.president.gov.by я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

На сайті четвертого номінанта не одна подібна діра, а набагато більше. Всього на сайті Президента Білорусії до 41 подібних UXSS уразливостей!

P.S.

Це четвертий приклад з серії уразливих президентських сайтів. Чекайте на продовження президентської фієсти.

Для движка Wordpress 2.0.6 який лише нещодавно вийшов, всього через 6 днів вийшов експлоіт, який використовує сорйозну уразливість в движку.

• Wordpress <= 2.0.6 wp-trackback.php Remote SQL Injection Exploit (деталі)

Це експлоіт Wordpress <= 2.0.6 wp-trackback.php Zend_Hash_Del_Key_Or_Index / sql injection admin hash disclosure exploit by rgod. Він використовує уразливість в PHP (Zend_Hash_Del_Key_Or_Index) в файлі wp-trackback.php, для проведеня SQL Injection атаки. З метою отримання хеша пароля адміністратора.

Для роботи експлоіта потрібні наступні налаштування веб сервера: register_globals=on, 4 <= PHP < 4.4.3, < 5.1.4.

Експлоіт вийшов 11.01.2007. В той же день я розробив свою версію експлоіта для цієї уразливості. Який я опублікую найближчим часом, поки можете ознайомитися з експлоітом від rgod.

Учора розробники движка випустили WordPress 2.0.7, в якому виправлена дана уразливість. Всім користувачам WP рекомендовано оновити свій движок до останньої версії (і зокрема для виправлення цієї SQL Injection уразливості).

Відомі секюріті компанії та експерти в галузі безпеки (та веб безпеки) вже виступили зі своїми прогнозами на наступний рік. Про деякі з них я писав раніше, про деякі цікаві прогнози я ще напишу.

Але зараз підведу власні підсумки 2006 року і надам свої прогнози на рік новий. Ніколи раніше не робив подібних прогнозів, це я роблю вперше , тому віднесіться з розумінням до моїх прогнозів.

Результати розвитку галузі веб безпеки в 2006 році.

1. Поширення XSS уразливостей, які в 2006 році стали найпоширенішими уразливостями, залишивши далеко позаду уразливості “переповнення буферу”.
2. Почастішали атаки на соціальні мережі (зокрема з використанням XSS уразливостей)
3. З’явились перші масові веб віруси (які набули більшої поширенності ніж веб віруси 2004 року), які використовували уразливості на популярних веб ресурсах і вразили велику кількість їх користувачів.
4. В цьому році зафіксована висока активність хакерів.
5. Акцент пошуку уразливостей і написання експлоітів змістився з області традиційних програм в область веб додатків.

Прогноз розвитку галузі веб безпеки в 2007 році.

1. Уразливості XSS будуть поширюватися й надалі, причому будуть з’являтися і поширюватися нові типи подібних уразливостей (такі як XSS в DOM, UXSS в PDF, тощо).
2. Фішинг набуде більшого поширення та самі фішери почнуть використовувати вдосколені та нові техніки своїх атак.
3. Збільшиться кількість і різноманітність веб вірусів та хробаків.
4. Зросте кількість Ajax уразливостей та пов’язаних з ними атак.
5. Очікується подальше зростання хакерської активності.