Websecurity - Веб безпека

Виявлені численні уразливості в безпеці браузера Opera.

Уразливі версії: Opera 9.02.

Ушкодження динамічної пам’яті при розборі JPEG, виклик функції по контрольованому вказівнику в Javascript.

• Opera Software Opera Web Browser createSVGTransformFromMatrix Object Typecasting Vulnerability (деталі)
• Opera Software Opera Web Browser JPG Image DHT Marker Heap Corruption Vulnerability (деталі)

19.11.2006

Продовжимо тему безпеки секюріті сайтів, яку я підняв в першому записі Безпека сайтів про безпеку.

Ось нова добірка уразливих сайтів про інформаційну безпеку:

• safe.cnews.ru
• www.securit.ru
• www.iss.net

Компаніям, які займаються проблемами безпеки, варто слідкувати і за безпекою власних сайтів. Тому що дані компанії є взірцем для інших. В подальшому я продовжу інформувати про випадки уразливостей на сайтах секюріті компаній.

Всім security проектам слід приділяти достатньо уваги власній безпеці.

10.01.2007

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• www.fbi.gov
• www.geos-inform.com
• sb.adverman.com
• www.nist.org

Секюріті проектам слід приділяти більше уваги безпеці власних сайтів.

В даній добірці уразливості в веб додатках:

• ProgSys verion 0.151 XSS vulnerability (деталі)
• Application orders Linux in WebAPP v0.9.9.2.1 (деталі)
• Multiple HTTP response splitting vulnerabilities in SHOP-SCRIPT (деталі)
• PHP Nuke <= 7.9 SQL Injection and Bypass SQL Injection Protection vulnerabilities (деталі)
• AROUNDMe 0.6.9 remonte file inclusion (деталі)
• WHM 10.8.0 cPanel 10.9.0 R50 CentOS 4.4 i686 WHM X v3.1.0 Xss Vulnerability (деталі)
• XSS in Zwahlen Online Shop (деталі)
• Multiple XSS vulnerabilities in Archangel Management Archangel Weblog 0.90.02 (деталі)
• Cross-site scripting vulnerability in mojoscripts.com mojoGallery (деталі)
• PHP-інклюдинг в Article System (деталі)

Виявлена кілька днів тому уразливість дозволяла вкрасти контакт лист цільового користувача, що відвідав спеціально сформовану веб сторінку.

Уразливість пов’язана з тим, що список контактів зберігався в javascript коді, що міг бути викликаний довільним сайтом. Gmail не перевіряв, який сайт викликав уразливу функцію, в результаті довільний веб сайт міг прочитати список контактів цільового користувача. Єдина умова для експлуатації уразливості полягала в тім, що користувач повинний у момент експлуатації мати активну сесію в Gmail.

PoC код був опублікований 1-го січня і Google знадобилося більше 30 годин для усунення виявленої уразливості.

По матеріалам http://www.securitylab.ru.

13.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.books.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

09.01.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена. Бажано лише було мені повідомити про це.

В даній добірці експлоіти в веб додатках:

• Free File Hosting <= 1.1 (forgot_pass.php) File Include Exploit (деталі)
• Free Image Hosting <= 1.0 (forgot_pass.php) File Include Exploit (деталі)
• MiraksGalerie <= 2.62 (pcltar.lib.php) Remote File Include Exploit (деталі)
• Electronic Engineering Tool (EE TOOL) <= 0.4.1 File Include Vulnerability (деталі)
• pbpbb archive for search engines Remote File Include Vulnerability (деталі)

Норвезька компанія Opera Software випустила чергову версію однойменного браузера. Ключовим нововведенням в Opera 9.1 є антифішинговий фільтр, що перевіряє відвідувані користувачем сайти на благонадійність. Фільтр використовує технології, розроблені компаніями GeoTrust і OpenDNS.

Нагадаємо, що фішингом називається крадіжка персональних даних за допомогою підставних веб-сайтів чи шахрайських електронних листів та повідомлень. Вбудовані засоби для боротьби з фішингом є в браузерах Mozilla Firefox і Internet Explorer. Буквально днями Microsoft випустила оновлення для недавно представленого браузера Internet Explorer 7, у якому антифішинговий фільтр був дороблений.

Відзначимо, що функція відображення в правій частині адресного рядка імені власника сертифіката при перегляді безпечних онлайнових ресурсів з’явилася вже в останніх версія браузера Opera для персональних комп’ютерів. У новій версії з’явилася можливість одержувати інформацію про благонадійність сайта від бази даних PhishTank, що поповнюють самі користувачі, додаючи в список нові фішингові ресурси, з якими їм довелося зіткнутися.

Передбачається, що при введенні адреси сайта інформація буде автоматично пересилатися на сервер Opera для перевірки. У випадку якщо з’ясується, що набраний URL належить шкідливому сайту, браузер автоматично заблокує завантаження сторінки. Для завідомо безпечних ресурсів у правій частині адресного рядка буде виводитися символ “i”, клацнувши по який, користувачі зможуть одержати додаткову інформацію. Нарешті, ресурси, відомості про які відсутні, будуть маркіруватися знаком питання в адресному рядку.

По матеріалам http://www.secblog.info.

Поздоровляю вас з Різдвом Христовим!

У зв’язку зі святами - Новим Роком та Різдвом - пропоную подивитися мою святкову листівку на флеші.

Всіх благ!

В даній добірці уразливості в веб додатках:

• Mambo component remote inclusion vulneribility (деталі)
• com_videodb Mambo Componenet <= 0.3en Remote Include Vulnerability (деталі)
• Another Mambo module remote inclusion vulneribility (деталі)
• PHP Generator of Object SQL Database (path) Remote File Include Vulnerability (деталі)
• PacPoll <= 4.0 Multiple Vulnerabilities (деталі)
• CruiseWorks Directory Traversal and Buffer Overflow Vulnerabilities (деталі)
• WikiNi Multiple Cross Site Scripting Vulnerabilities (деталі)
• Multiple cross-site scripting vulnerabilities in CivicSpace 0.8.5 (деталі)
• PHP-інклюдинг в SAPID CMS (деталі)
• PHP-інклюдинг в phpFaber CMS (деталі)

Продовжу тему уразливостей на сайтах спецслужб (в даному випадку спецслужб США). Як раз перед Різдвом пропоную вашій увазі уразливість на сайті ЦРУ .

До раніше згаданих дір на сайтах ФБР (FBI) і АНБ (NSA), додам Cross-Site Scripting уразливість на сайті ЦРУ (CIA) - сайті Центрального Развідувального Управління США (Central Intelligence Agency) www.cia.gov, і зокрема на сайті його інформаційного відділу www.foia.cia.gov.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Уразливість знаходиться в pdf-файлі, і вона являє собою універсальну XSS в PDF уразливість (про даний тип XSS я буду окремо розповідати).

Повідомляти адмінам ЦРУ я не стану - враховуючи що адміни сайтів спецслужб США не реагують на мої повідомлення і не виправляють уразливості най своїх сайтах. Нехай самі слідкують за власним сайтом і проводять секюріті аудити (а також слідкують за інформацією на моєму сайті). Бо дана уразливість доволі небезпечна, і чимало користувачів сайта можуть від неї постраждати (це відноситься як до сайту ЦРУ, так і до усіх інших сайтів, вразливих до цієї уразливості - ще додатково розповім про даний тип XSS атак).