Websecurity - Веб безпека

З ініціативи Єврокомісії вчора в Європі пройшов четвертий День безпечного Інтернету (з чим вас і поздоровляю). Його ціль - роз’яснення загроз, що несе Всесвітня павутина, у першу чергу підростаючому поколінню.

Головним координатором Дня безпечного Інтернету стала некомерційна організація Insafe (European Safer Internet Network). Її задачею, як зазначено на сайті, є “підтримка громадян у безпечному, етичному й ефективному використанні Інтернету, так само як і інших інформаційних та комунікаційних технологій”.

Необхідність залучення уваги до проблеми безпеки в Мережі викликана тим, що віртуальне середовище давно зрівнялося по небезпеці з реальним. Неприємності, що приходять з комп’ютера, приблизно ті ж, що й у звичайному житті: віруси, крадіжки і грабежі, хамство і переслідування, вимагання і погрози, неетична і нав’язлива реклама, тероризм і екстремізм.

У нинішньому році День безпечного Інтернету покликаний звернути увагу громадськості і влади в європейських країнах на небезпеку використання дітьми мобільних телефонів, що нерідко заміняють їм комп’ютери. Саме діти і підлітки сьогодні найменш захищені від потоку негативної інформації з Інтернету, наголошують експерти.

По матеріалам http://www.securitylab.ru.

В даній добірці уразливості в веб додатках:

• XSS Vulnerability in Zend Framework Preview 0.2.0 (деталі)
• Advanced Guestbook 2.3.1 (Admin.php) Remote File Include (деталі)
• phpFox XSS Injection (деталі)
• Cyberfolio <=2.0 RC1 $av Remote File Inclusion Vulnerability (деталі)
• Soholaunch Pro <=4.9 r36 Multiple Remote File Inclusion Vulnerability (деталі)
• PHPAdventure 1.1 (ad_main.php) Remote File Include Vulnerability (деталі)
• iWare Pro <= 5.0.4 (chat_panel.php) Remote Code Execution Vulnerability (деталі)
• Cross-site scripting vulnerability in OneOrZero (деталі)
• SQL injection vulnerability in OneOrZero 1.6.4.1 (деталі)
• PHP-інклюдинг в SportsPHool (деталі)

Брайан Кребс, оглядач Washington Post, що спеціалізується на висвітленні технологічних і комп’ютерних тем, порахував, що торік браузер Internet Explorer був уразливий протягом 284 днів.

Протягом 284 днів (більш 9 місяців) експлоіти для відомих, невиправлених критичних уразливостей в Internet Explorer були доступи в Інтернет. Також протягом 98 днів були відсутні виправлення для уразливостей, що активно експлуатувалися мережевими злочинцями, щоб викрасти особисті та фінансові дані користувачів.

При цьому для браузера Mozilla Firefox, основного конкурента IE, торік спостерігалася принципово інша картина - за весь рік був лише єдиний подібний випадок, коли протягом дев’яти днів існував опублікований експлоіт, для якого не був випущений патч. Однак слід зазначити, що сумарно в Mozilla Firefox було виявлено в 2 рази більше критичних уязвимостей, ніж в Internet Explorer.

Торік було виявлено 10 уразливостей в IE, виправлення до яких з’явилися після того, як привселюдно була опублікована інформація про уразливість (я також в себе публікував подібні експлоіти).

Злочинці, що спеціалізуються в інтернет-шахрайстві, одержували велику частину своїх доходів експлуатуючи уразливості в браузері Internet Explorer торік. У 2006 році компанія Microsoft опублікувала 5 виправлень для 0day дір (це уразливості, про які виробник довідався в момент їхньої активної експлуатації злочинцями).

По матеріалам http://www.securitylab.ru.

23.11.2006

У вересні, 26.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ljseek.com (пошук по ЖЖ). Причому одна уразливість веде одразу до двох XSS уразливостей: пасивної і активної. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.02.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але лише частково. З невеличкою модифікацією уразливість знову працює (та й в title також вона не була виправлена).

XSS:

• alert(document.cookie)
• цікавий
• html включення

Тому дана уразливість ще досі не виправлена.

Окрім того, це не тільки пасивна XSS, а ще й активна (persistent XSS). Бо результати останніх запитів водображуються на сторінці http://www.ljseek.com/last.php, що дозволить провести XSS атаку на всіх відвідувачів цієї сторінки.

В даній добірці експлоіти в веб додатках:

• Netref 4 (cat_for_aff.php) Source Code Disclosure Exploit (деталі)
• QnECMS <= 2.5.6 (adminfolderpath) Remote File Inclusion Exploit (деталі)
• PHPMyRing <= 4.2.1 (cherche.php) Remote SQL Injection Vulnerability (деталі)
• Faq Administrator 2.1 (faq_reply.php) Remote File Include Vulnerability (деталі)
• 2BGal 3.0 Remote Command Execution Exploit (деталі)

В своїх публікаціях я регулярно розповідаю про атаки через JavaScript, а також розповідав про атаки через Флеш (і ще додатково напишу). Зокрема через дані напрямки можна провести XSS атаки (та можливі й інші різновиди атак).

В своєму записі AFLAX and something more Pdp розповідає про такий варіант атак, як атака через AFLAX. Перша версія якого вийшла в минулому році.

AFLAX представляє собою фреймворк для інтеграції JavaScript та Flash. І окрім додаткових плюсів для веб розробників, він також несе в собі нові ризики пов’яазані з бепекою. Потенційно зловмисники можуть використати AFLAX (Flash + JavaScript) для нового напрямку веб атак. Використовуючи сильні сторони обох мов (AS та JS) і технологій, та обходячи деякі обмеження кожної з мов - для проведення нових і більш ефективних атак.

Веб 2.0 окрім позитивних надбань, несе в собі й деякі негативні, зокрема нові технології (та їх сімбіози) несуть в собі додаткові ризики безпеки. З якими нам прийдеться зіштовхнутися.

Користувачі популярної соціальної мережі MySpace, ризикують стати жертвами фішерів. Деякий час тому в мережі був замічений шкідливий відеоролик у форматі QuickTime MOV, що експлуатує уразливість у програмному забезпеченні MySpace і особливості реалізації JavaScript у медіаплеєрі Apple (про подібний напрямок атаки я вже писав XSS в Quicktime, а також про XSS вірус в Quicktime).

Зараження користуцького профілю відбувається при відвідуванні сторінки в MySpace, що містить створений спеціальним чином відеофайл. Причому якщо для перегляду сторінки застосовується браузер Microsoft Internet Explorer, то шкідливий код активується автоматично, відзначають у компанії F-Secure. Після цього хробак видозмінює профіль, додаючи посилання на фішерські сайти. Крім того, шкідлива програма заміняє стандартний навігаційний рядок MySpace на новий, виконану в синьому кольорі.

Як видно, основна мета зловмисників, що поширили шкідливий відеоролик, полягає в тім, щоб заманити користувачів MySpace на підставні сайти і виманити в них конфіденційні дані. Такі сайти копіюють дизайн MySpace, і тому неуважні користувачі можуть цілком залишити на них свою реєстраційну інформацію.

Це вже не перший випадок, коли користувачі соціальної мережі MySpace стають жертвами кіберзлочинців. Раніше зловмисники вже намагалися шахрайством виманити в передплатників сервісу конфіденційні дані і поширити в MySpace програмне забезпечення, що відображає рекламні банери.

По матеріалам http://www.secblog.info.

В даній добірці уразливості в веб додатках:

• MX Smartor Album Module Remote File Include (деталі)
• GreenBeast CMS <= 1.3 PHP Arbitrary File Upload Vulnerability (деталі)
• DigiOz Guestbook version 1.7 Path Disclosure Vulnerability in list.php (деталі)
• AIOCP <=1.3.007 multiples vulnerabilities (sql, remote file include, xss) (деталі)
• MWChat pro V 7.0 <= (CONFIG[MWCHAT_Libs]) Remote File Include Vulnerability (деталі)
• Joomla 1.0.11 Remote File Include (деталі)
• phpComasy CMS - Multiple Cross Site Scripting Issues (деталі)
• SQL injection vulnerability in Virtual War (VWar) 1.5.0 R14 (деталі)
• PHP-інклюдинг в PHlyMail Lite (деталі)
• PHP-інклюдинг в NES Game & NES System (деталі)

30.01.2007

В багатьох браузерах виявлені уразливості пов’язані з короткочасними умовами (race conditions). Існують різні умови, пов’язані з міжпотоковою синхронізацією, що приводять до ушкодження пам’яті, коли кілька подій відбуваються одночасно.

Уразливі продукти: Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Internet Explorer, Netscape 8.1, Firefox 1.5, K-Meleon 1.0.

• Concurrency strikes MSIE (potentially exploitable msxml3 flaws) (деталі)
• Flock Concurrency-related Memory Corruption Vulnerability (деталі)
• Netscape Concurrency-related Memory Corruption Vulnerability (деталі)
• K-Meleon Concurrency-related Vulnerability (деталі)
• Re: Concurrency-related vulnerabilities in browsers - expect problems (деталі)
• Concurrency-related vulnerabilities in browsers - expect problems (деталі)

04.02.2007

Пошкодження пам’яті в Microsoft Internet Explorer.

Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні додатка. Уразлива версія: Internet Explorer 6.x.

Уразливість стану операції існує при перезавантаженні XML файлів в iframe. Зловмисник може за допомогою спеціально сформованого XML файлу викликати пошкодження пам’яті й аварійно завершити роботу браузера.

• Повреждение памяти в Microsoft Internet Explorer (деталі)
• Race condition in the msxml3 module in Microsoft Internet Explorer (IE6 and IE7) (деталі)

25.11.2006

У вересні, 26.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://blog.3dnews.ru (сервіс блогів від відомого новинного проекта 3DNews). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже згадув про Уразливість на 3dnews.ru.

Детальна інформація про уразливість з’явиться пізніше.

04.02.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена.