Websecurity - Веб безпека

12.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливість на https://www.iss.net - сайті відомої секюріті компанії Internet Security Systems. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.01.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Ось можете і зробити висновок про їх власний сканер безпеки ISS Internet Scanner. І самі уразливість не знайшли (ні їх спеціалісти, ні їх сканер) і до моїх попереджень не прислухались - діра так і залишилась.

До речі, як я глянув на їх сайті (ще коли в вересні заходив), деякий час тому компанія IBM купила Internet Security Systems (нова назва компанії IBM Internet Security Systems). Тому ISS слід ще більше приділяти увагу безпеці власного сайту.

В даній добірці експлоіти в веб додатках:

• Hosting Controller <= 6.1 Hotfix 3.2 Remote Unauthenticated Vulns (деталі)
• Php League 0.82 (classement.php) Remote SQL Injection Exploit (деталі)
• Coppermine Photo Gallery 1.4.9 Remote SQL Injection Vulnerability (деталі)
• N/X WCMS <= 4.1 (nxheader.inc.php) Remote File Include Exploit (деталі)
• phpBurningPortal quiz-modul-1.0.1 - Remote File Include Exploit (деталі)

Декілька днів тому, 07.01.2007, я знайшов Cross-Site Scripting уразливість на Офiцiйному представництві Президента України http://www.president.gov.ua - сайті Президента України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про Уразливість на сайті Кабінета Міністрів України та про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом президента не набагато краща - уразливості також мають місце (зокрема, я повідомлю адміністраторів про знайдену XSS).

Детальна інформація про уразливість не буде опублікувана (не планую). За для безпеки сайту президента, його працівників та відвідувачів.

P.S.

До речі, це перший приклад з серії уразливих президентських сайтів. Тому очікуйте на продовження.

Велике число користувачів поштового сервісу Gmail скаржаться на містичну пропажу з їх аккаунтов усіх повідомлень. Уперше ця подія одержала розголос на сайті Майкла Аррінгтона, де він повідомив, що говорити про Gmail як про досконалий сервіс поки ще зарано. Там же було розміщено перше повідомлення з Google Groups, що стосується зникнення вмісту електронних поштових скриньок.

Одне з перших повідомлень від користувача Gmail про подібний інцедент прийшло 19.12.2006. Як виявилося, більшість потерпілих користувалися браузером Firefox і знайшли пропажу контента при відкритті аккаунта через нього. Деякі користувачі одержали від зловмисників повідомлення про те, що проти них була проведена атака.

Один з користувачів стверджує, що що для атаки була використана уразливість Firefox 2.0, що була пізніше закрита версією 2.0.0.1. Усього ж у результаті інциденту були “очищені” 60 аккаунтів користувачів. Google принесла офіційні вибачення потерпілим і заявила про початок робіт із з’ясування причин інциденту. Витерті послання і контакти Gmail, до речі, не підлягають відновленню.

По матеріалам http://www.secblog.info.

Тиждень тому, 05.01.2007, вийшла нова версія движку WordPress 2.0.6 (не одразу написав про це, так як був дуже заклопотаний останнім часом). Всім хто використовує попередні версії движка рекомендується оновити движок своїх сайтів. Але дуже поспішати не варто, тому що і в новій версії існують уразливості (про що я буду розповідати), які потібно буде виправляти, тому виважено підходьте до апгрейда.

WordPress 2.0.6 - це останній стабільний реліз Вордпреса, який доступний для скачування з сайта виробника. В цьому релізі було виправлено чимало уразливостей та помилок, тому в першу чергу це секюріті фікс випуск, і розробники всім рекомендують оновити свій движок. В цій версії також виправили чимало дір, про які я згадував в записах Численні уразливості в WordPress та Нові уразливості в WordPress (але ще є дірі, які потрібно виправляти).

Серед головних оновлень цієї версії:

• Численні секюріті виправлення
• Підтримка HTML quicktags для браузера Safari
• Фільтрація коментарів, для запобігання псуванню ними дизайна блога
• Сумісність з PHP/FastCGI налаштуванням

Для розробників була зроблена нова анти-XSS функція та новий фільтр SQL запитів (зокрема і на моє прохання, бо доводилося багато разів звертати увагу розробників WP на існуючі недоліки). Розробникам плагінів та додатків для WordPress рекомендується використовувати нові функції.

В даній добірці уразливості в веб додатках:

• CentiPaid <= 1.4.2 [$class_pwd] Remote File Include (деталі)
• Coppermine 1.4.9 SQL injection (деталі)
• phpLedAds 2.0(dir) File Include (деталі)
• Ban v0.1 (bannieres.php) File Include (деталі)
• PLS-Bannieres 1.21 (bannieres.php) File Include (деталі)
• ArticleBeach Script <= 2.0 Remote File Inclusion Vulnerability (деталі)
• GestArt <= vbeta 1 Remote File Include Vulnerabilities (деталі)
• Dynamic variable evaluation vulnerability in SquirrelMail (деталі)
• Обхід аутентифікації в DeluxeBB (деталі)
• XSS vulnerability in Novell GroupWise WebAccess 6.5 and WebAccess 7 (деталі)

Раніше я згадував, що XSS набирає обертів. Тоді виникла цікава ситуація: секюріті компанії F5 та Acunetix знайшли XSS уразливості на сайті один одного (кожна знайшла діри на сайті свого конкурента). І після цього обидві компанії почали заперечувати наявність уразливостей на їх сайтах. Бо не могли сказати ні собі ні всьому світу, що на їх сайтах були секюріті уразливості - на сайтах компаній, які займаються безпекою. Після чого секюріті спільнота знайшла чимало дір на сайтах цих компаній - що визвало додаткову бурю емоцій. Компаніям намагалися пояснити те, що не варто відрикатися від дір чи приховувати їх, треба діри виправляти.

Тоді обидві компанії пофіксили всі знайдені діри, по їх словам (це вони так думали). І на деякий час розслабилися, зокрема Acunetix. І з тоді вже весь гомін припинився, вже всі позабули про той випадок. Поки я не дістався (в жовтні) до сайта відомої секюріті компанії , щоб знайти масу різних уразливостей, про що зараз вам і повідомляю. Це свіжий погляд на безпеку сайтів секюріті компаній (про подібні випадки я неодноразово згадував в записах Безпека сайтів про безпеку та Безпека сайтів про безпеку 2).

У жовтні, 03.10.2006, я знайшов численні уразливості на http://acunetix.com - сайті відомої секюріті компанії Acunetix (зокрема на сайті http://test.acunetix.com - призначеному для тестування їх власного сканера безпеки Acunetix WVS). Уразливостей різних чимало: Cross-Site Scripting, Full path disclosure, SQL Injection, File Inclusion, Directory Traversal, Script Source Disclosure та Information Leakage (зокрема, уразливості дозволяють дістатися до довільних файлів на сервері). Про що найближчим часом сповіщу адміністрацію компанїї.

Детальна інформація про уразливості з’явиться пізніше.

Брюс Шнайер опублікував свіжі дані про те, які паролі найчастіше використовують інтернет-користувачі. Дослідження було проведено силами шахраїв-фішерів, що створили підроблену сторінку сайта MySpace, куди довірливі користувачі сервісу вводили свої дані.

Двадцятка самих популярних виглядає наступним чином:

1. password1
2. abc123
3. myspace1
4. password
5. blink182
6. qwerty1
7. fuckyou
8. 123abc
9. baseball1
10. football1
11. 123456
12. soccer
13. monkey1
14. liverpool1
15. princess1
16. jordan23
17. slipknot1
18. superman1
19. iloveyou1
20. monkey

Треба відзначити, що раніш самим популярним паролем було слово “password”. Як бачимо, є прогрес. Користувачі починають прислухатися до рекомендацій фахівців з безпеки (порада сполучити в паролі букви і цифри), але цей процес йде повільно. В цілому, ситуація залишається дуже сумною.

По матеріалам http://www.securitylab.ru.

07.11.2006

У вересні, 15.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на http://www.securit.ru - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Секюріті компаніям варто слідкувати за безпекою власних сайтів.

11.01.2007

XSS:

• alert(document.cookie)

І ще 5 інших уразливостей в цьому самому скрипті. Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• mp3SDS 3.0 (Core/core.inc.php) Remote File Include Vulnerability (деталі)
• freePBX 2.1.3 (upgrade.php) Remote File Include Vulnerability (деталі)
• PHPMyDesk 1.0beta (viewticket.php) Local Include Exploit (деталі)
• PhpShop Core <= 0.9.0 RC1 (PS_BASE) File Include Vulnerabilities (деталі)
• phpBB Add Name Remote File Include Vulnerability (деталі)