Архів за Лютий, 2007

Місяць багів в PHP

20:41 28.02.2007

Фахівець в питань безпеки в PHP, Стефан Ессер, запланував відкрити Month of PHP Bugs. В якості Місяця багів в PHP був обраний березень (тобто акція ось-ось почнеться). Про що ви вже могли чути з інших інформаційних джерел.

Дана акція подібна до інших акцій “місяць багів в …”, які регулярно проводяться секюріті експертами останнім часом (остання акція, Month of Apple Bugs - це місяць багів в Mac OS X та інших продуктах Apple, що пройшла в січні). Тільки в цьому випадку інформація буде про діри в безпеці PHP (як самого інтерпретатора, так і можливо пов’язаних з PHP бібліотек).

Враховуючи, що березень почнеться вже завтра :-) , ми можемо разраховувати на нову й цікаву інформацію відносно PHP. Так що з наступного дня починаємо спостерігати за цим проектом - Місяцем багів в PHP (нас очікує як мінімум 31 уразливість, якщо Стефан не почне публікувати інформацію більше як про одну дірку за добу). Очікуйте інформацію в мене на сайті та на сайті Стефана Ессера. Розробникам мови PHP варто бути на поготові.

70% сайтів в Інтернеті уразливі для хакерів

17:56 28.02.2007

Відповідно до нового дослідження компанії Acunetix близько 70% вебсайтів мають слабкі місця в системі захисту. Що робить їх уразливими для атак хакерів. Раніше я писав про статистику веб атак, від даної секюріті компанії.

Рік тому компанія інтернет-безпеки Acunetix запустила проект по моніторингу веб-сайтів. Компанія зайнялася дослідженням на уразливість як комерційних, так і некомерційних сайтів. У результаті було проаналізовано близько 3200 веб-сайтів. Підсумок такий: 70% сайтів, відповідно до досліджень Acunetix, мають середній чи високий рівень уразливості. Імовірність використання хакерами слабких місць у системі захисту цих веб-сайтів для крадіжки інформації “неймовірно висока”, стверджують аналітики компанії.

“Результати дослідження демонструють, що проблема безпеки інтернет-додатків начисто ігнорується”, заявляє віце-президент компанії Acunetix Кевін Велла. “Статистика, зібрана Acunetix, повинна змусити компанії більш серйозно відноситися до ризику стати жертвою атак інтернет-злочинців. Недавні голосні хакерскі атаки достатньо довели, що ця проблема як ніколи актуальна”.

Згідно опублікованим недавно даним дослідження фахівців з університету Меріленда (США), хакерскі атаки в Інтернеті відбуваються кожні 39 секунд. І в середньому в Інтернеті їх буває щодня 2244.

Також у ході проведення моніторингу було з’ясовано, що 91% усіх проаналізованих веб-сайтів володіють якими-небудь слабкими місцями в системі захисту. На один веб-сайт, як правило, приходиться до 66 дір у системі безпеки. У загальному ж аналітики Acunetix нарахували 210000 уразливих місць у системах безпеки 3200 веб-сайтів.

По матеріалам http://www.secblog.info.

Зазначена проблема має місце (що я щоденно доводжу власною працею) - проблемам безпеки не приділяється достатьно уваги. І сайти в Мережі в переважній більшості випадків мають уразливості (що добре видно з моїх новин). Єдине про що не згадала компанія Acunetix в своєму дослідженні - це про уразливості на їх власному сайті acunetix.com ;-) , про що я раніше писав.

Добірка уразливостей

15:29 28.02.2007

В даній добірці уразливості в веб додатках:

  • NuStore 1.0 (Products.asp) Remote SQL Injection Vulnerability (деталі)
  • NuRems 1.0 Remote XSS/SQL Injection Exploit (деталі)
  • UStore 1.0 (detail.asp) Remote SQL Injection Vulnerability (деталі)
  • Mega Mall [ multiples injection sql & full path disclosure ] (деталі)
  • MyStats <=1.0.8 [injection sql, multiples xss, array & full path disclosure] (деталі)
  • TOPSTORY BASIC Version 1.0 => Remote File Include Vulnerability (деталі)
  • ShopSystems - SQL Injection Issue (деталі)
  • Multiple SQL injection vulnerabilities in Guder und Koch Netzwerktechnik Eichhorn Portal (деталі)
  • Vulnerability in Webmin before 1.290 and Usermin before 1.220 (деталі)
  • Міжсайтовий скриптінг в Diesel Paid Mail (деталі)

Вийшла оновлена версія браузера Firefox

20:26 27.02.2007

Співтовариство Mozilla.org оголосило про випуск оновленої версії браузера Firefox, що одержала індекс 2.0.0.2.

У представленій модифікації браузера розробники усунули кілька небезпечних помилок, у тому числі дві критичні уразливості, експлуатуючи які, зловмисники теоретично могли одержати повний доступ до віддаленого комп’ютера. Версія Firefox 2.0.0.2 відрізняється від попередніх версій поліпшеною сумісністю з новою операційною системою Windows Vista. Крім того, з випуском Firefox 2.0.0.2 програмісти Mozilla.org збільшили кількість локалізованих версій програми, що тепер доступна на декількох додаткових мовах. Також була поліпшена стабільність роботи браузера.

Співтовариство Mozilla.org настійно рекомендує всім користувачам Firefox завантажити оновлену версію програми.

Одночасно з випуском Firefox 2.0.0.2 була представлена оновлена модифікація браузера Firefox 1.5.0.x, що одержала індекс 1.5.0.10. До речі, Mozilla.org нагадує, що підтримка Firefox 1.5.0.x буде припинена 24 квітня нинішнього року. У зв’язку з цим розробники радять скачати і встановити другу версію програми.

По матеріалам http://security.compulenta.ru.

Нова уразливість на www.uaportal.com

18:16 27.02.2007

05.12.2006

У жовтні, 01.10.2006, я знайшов Cross-Site Scripting уразливість на проекті http://www.uaportal.com - відомому порталі Уанету. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про інші знайдені уразливості на uaportal.com.

Детальна інформація про уразливість з’явиться пізніше.

27.02.2007

XSS:

Дана уразливість досі не виправлена.

Добірка експлоітів

15:41 27.02.2007

В даній добірці експлоіти в веб додатках:

  • LetterIt v2 (inc/session.php) Remote File Include Vulnerability (деталі)
  • phpManta <= 1.0.2 (view-sourcecode.php) Local File Include Exploit (деталі)
  • MyAlbum <= 3.02 (language.inc.php) Remote File Inclusion Vulnerability (деталі)
  • ASPPortal <= 4.0.0 (default1.asp) Remote SQL Injection Exploit (деталі)
  • Exploits Kerio WebStar libucache.dylib privilege escalation (деталі)

Численні уразливості в PHP

19:16 26.02.2007

Виявлені численні уразливості в PHP. Уразливі версії: PHP 5.2 (і попередні).

Можливі переповнення буфера, витоки інформації, DoS умови та інші.

Добірка уразливостей

16:13 26.02.2007

В даній добірці уразливості в веб додатках:

  • Asp Scripter Products (cpLogin.asp) Remote SQL ByPass Injection Vulnerability (деталі)
  • UltraSite 1.0 (update.asp) Remote SQL Injection Vulnerability (деталі)
  • ELOG Web Logbook Remote Denial of Service Vulnerability (деталі)
  • Phpdebug 1.1.0 - Remote File Include by Firewall (деталі)
  • Phpjobscheduler 3.0 - Multiple Remote File Include (деталі)
  • Aigaion Web Interface remote file inclusion (деталі)
  • infinicart [ multiples injection sql & xss (post) ] (деталі)
  • Міжсайтовий скриптінг в TikiWiki (деталі)
  • Vulnerability in NSS Affects Sun Java System Web Server and Sun ONE Application Server (деталі)
  • Multiple XSS vulnerabilities in Guder und Koch Netzwerktechnik Eichhorn Portal (деталі)

Технічні проблеми

14:49 26.02.2007

В минулу суботу, десь після 18 години, сайт по технічним причинам перестав працювати. І аж до понеділка. Це було пов’язано з технічними роботами у хостінг провайдера (про що я сам дізнався від нього лише вечером у суботу). Мій провайдер і я сам приносимо вибачення за незручності.

Тепер все працює (і навіть працює краще, після технічних робіт на сервері). Проект продовжує роботу в звичному рижимі.

Уразливість на www.prorobotu.net.ua

18:00 24.02.2007

02.10.2006

Вчора я як раз зайшов на ain.com.ua почитати новини. І в одній з них згадувався сайт http://www.prorobotu.net.ua, на який я заглянув, щоб подивитися, що він з себе представляє, раз про нього в новинах пишуть (це був лише банальний PR).

Так ось, зайшов я на на www.prorobotu.net.ua і одразу ж знайшов Cross-Site Scripting уразливість. Про що найближчим часом сповіщу адміністрацію проекту.

Даний випадок наводить на відповідні думки. Я вже писав про інші уразливі сайти про роботу (і ще згадаю в новинах про чимало подібних сайтів). Зокрема уразливості на job.itua.info та на job.ws. Власникам подібних сайтів потрібно зайти на свій же сайт і пошукати собі (на роботу) спеціалістів з веб безпеки (або якщо не вийде знайти - то скористатися сайтами конкурентів). Здавалася б для власників сайтів про роботу, не має бути проблем знайти собі необхідних фахівців.

Детальна інформація про уразливості з’явиться пізніше.

24.02.2007

XSS:

Уразливість вже виправлена.