Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• WGCC <= 0.5.6b (quiz.php) Remote SQL Injection Vulnerability (деталі)
• Lou Portail 1.4.1 (admin_module.php) Remote File Include Vulnerability (деталі)
• Power Phlogger <= 2.0.9 (config.inc.php3) File Include Vulnerability (деталі)
• Segue CMS <= 1.5.8 (themesdir) Remote File Include Vulnerability (деталі)
• WFTPD Pro Server 3.23.1.1 Buffer Overflow (Only a DOS currently, simple POC) (деталі)

В даній добірці експлоіти в веб додатках:

• kawf <= 1.0 (main.php) Remote File Include Vulnerability (деталі)
• Virtual Law Office (phpc_root_path) Remote File Include Vulnerabilities (деталі)
• Open Meetings Filing Application Remote File Include Vulnerabilities (деталі)
• Trawler Web CMS <= 1.8.1 Multiple Remote File Include Vulnerabilities (деталі)
• Lithium CMS <= 4.04c Remote Code Execution Exploit (деталі)

На веб-додатки, що написані мовою PHP, приходиться 43% всіх проблем, позв’язаних з безпекою інформаційних мереж. Такі результати дослідження, проведеного в поточному році американським Національним інститутом стандартів і технології (NIST). У 2005 році на частку додатків на платформі PHP приходилося всего 29% уразливостей. З урахуванням того, що число дір у самій мові мінімально, цифри NIST показують, що проблема криється в розробниках, багато хто з яких не є професіоналами в області інформаційних технологій.

Проблеми з PHP здобувають особливу гостроту в той момент, коли дослідники сфери інформаційної безпеки стали звертати особливу увагу на діри у веб-додатках. На початку (минулого) року один з експертів звернув увагу на тенденцію зростання проломів у веб-додатках у цілому (про що я теж відмічав в своїх підсумках 2006 року) і PHP-додатках зокрема. За даними, зібраним за перші 9 місяців 2006 року, веб-додатки зайняли три верхніх позиції в списку найпоширеніших уразливостей. Наприклад, у вересні 45% інцидентів в області інформаційної безпеки були пов’язані з випадками кросс-сайт скриптінга, SQL-ін’єкцій чи уразливостей, пов’язаних зі зміною PHP файлів. В даний час PHP використовується на майже 20 мільйонах доменів і 1,3 мільйонах IP-адрес.

Популярна мова програмування стала об’єктом особливої уваги після того, як групу розробників мови залишив Стефан Ессер, що займався забезпеченням безпеки PHP. Як причину свого виходу Эссер назвав нерозторопність інших розробників у плані ліквідації загроз безпеки. У свою чергу, члени PHP Group заявили, що Эссер залишив їх через те, що втратив інтерес до розробки в складі їхньої команди.

Згідно даним NIST, за станом на 15 грудня з 6198 уразливостей, зафіксованих у 2006 році, 2690 (чи 43%) містили в описі слово “PHP”. “Я думаю, звичайним людям важко створювати безпечні динамічні веб-додатки. Мови для створення сайтів повинні бути максимально адаптовані під “чайників”. У багатьох випадках я, будучи професіоналом в області безпеки, ламав голову над тим, як зміцнити безпеку коду. Я хотів зміцнити її, але для мене не було очевидним, як це зробити”, - заявив представник NIST Пітер Мелл.

По матеріалам http://www.securitylab.ru.

В даній добірці уразливості в веб додатках:

• Stanford university SCARF user editing (деталі)
• Agora 1.4 RC1 “$_SESSION[PATH_COMPOSANT]” Remote File Inclusion Vulnerability (деталі)
• Cyberfolio <=2.0 RC1 $av Remote File Inclusion Vulnerability (деталі)
• Soholaunch Pro <=4.9 r36 Multiple Remote File Inclusion Vulnerability (деталі)
• Article Script v1.*and v1.6.3 Sql injection (деталі)
• PHP Rapid Kill All Version File Injection (деталі)
• @cid stats v2.3 File Include (деталі)
• SQL-ін’єкція в LBlog (деталі)
• SQL injection vulnerability in Virtual War (VWar) 1.5.0 (деталі)
• PHP remote file inclusion vulnerability in Sonium Enterprise Adressbook (деталі)

Нещодавно, 22.01.2007 вийшов новий реліз WordPress 2.1 (Ella), лише через тиждень після виходу WordPress 2.0.7.

WordPress 2.1 - це нова гілка WP, яка буде розвиватися окремо від 2.0.x (оновлення будуть випускатися паралельно, але основна увага буде приділена розвитку саме 2.1.x гілки). В цій версії зроблено чимало виправлень помилок та уразливостей (всього в версії 2.1 більше 550 виправлень), та додано нові функції.

В новій версії:

• Функція автозбереження (autosave).
• Новий редактор з закладками (табами), що дозволить прямо під час написання записів миттєво перемикатися між режимами WYSIWYG та редагування коду.
• Імпор та експорт XML без втрат.
• В новому переробленому візуальному редакторі з’явилася перевірка орфографії (spell checker).
• Нова опція приватності від пошуковців (search engine).
• Можливість виставляти будь яку “сторінку” головною сторінкою.
• Оновлений та більш ефективний код роботи з БД (більш шивидкий).
• В лінки додана підтримка підкатегорій.
• Перероблена логін сторінка.
• Більше AJAX функціоналу в інтерфейсі, для швидкої та зручної роботи.
• Сторінки тепер можуть бути як чернетка чи приватна.
• Оновлена адмінка.
• Дошка оголошень зараз процює миттєво та асинхронно скачує RSS фіди в фоні.
• В фіді кометарів зараз включені всі коментарі, а не лише 10.
• Краща інтернаціоналізація.
• Менеджер заватажень дозволяє з легкістю керувати зображеннями, відео та аудио.
• В поставку входить нова версія плагіна Akismet.
• Та багато іншого.

Нові функції для розробників:

• Псевдо-cron функціональність.
• Покращене керування юзерами для адміна.
• Новий WP_Error клас для виведення помилок.
• Новий завантажувач javascript для розробників плагінів.
• Тонни нових хуків та API.
• Розпочато вбудоване документування коду.
• Нове API для зображень та ногітків для розробників плагінів.
• Власні заголовки, вибирачі кольору та обрізачі зображень фреймворки.

Починаючи з цієї версії розвиток Вордпресу піде по гілці 2.1 (та наступним), але попередня гілка 2.0 буде підтримуватися аж до 2010 (будуть випускатися виправлення помилок та уразливостей).

Очікується, що наступна версія WP з’явиться 23 квітня.

21.11.2006

У вересні, 25.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті Mail.ru Drive - http://drive.mail.ru (онлайн гра). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Компанії Mail.ru варто слідкувати за безпекою власних проектів.

02.02.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• PHP-Nuke <= 7.9 (Encyclopedia) Remote SQL Injection Exploit (деталі)
• EZ-Ticket 0.0.1 (common.php) Remote File Include Vulnerability (деталі)
• RSSonate (xml2rss.php) Remote File Include Exploit (деталі)
• CASTOR <= 1.1.1 (lib/rs.php) Remote File Include Exploit (деталі)
• WAR_FTPD Remote Denial Of Service (DOS) (деталі)

В своєму звіті Хакерська активність в Уанеті в 2006 я навів дані про діяльність хакерів в Уанеті за шість місяців 2006 року (літо-осінь) - за період з 01.06.2006 по 30.11.2006.

Зараз я надам додаткову інформацію про хакерську активність в Уанеті за грудень та підведу підсумки за 2006 рік.

За грудень були взломані наступні сайти:

• сайт www.mobilnik.ua (невідомимим хакером) - 07.12.2006 (по інформації ain.com.ua)

За весь 2006 рік (за останніх його 7 місяців, що я проаналізував і знайшов інформацію) в Уанеті було проведено 5 атак на веб сайти. Це дуже маленька цифра, і дуже низька активність хакерів (в порівнянні з іншими регіонами Інтернету), але це вже щось, активність є (відмінна від нуля) і вона продовжує зростати.

В 2006 році загалом були атаковані наступні ресурси: sprotiv.info, silver.biz.ua, gorod.lugansk.ua, www.stereoliza.com та www.mobilnik.ua.

Причому зазначу, що це лише офіційна інформація, про яку власники сайтів офіційно заявили в пресу (зокрема в інтернет ЗМІ), тим самим підвердивши її. Бо ще є інша інформація, не підверджена (наприклад про взлом сайта Кабміну, про що в мене в коментарях писали). Такий малий об’єм даних про взломи також свідчить про те, що більшість випадків просто приховується (або про них навіть не здогадуються, бо атаки хакерів просто не виявляються).

Головні причини, що подібної інформації вкрай мало, в тому що з однієї сторони хакерська активність в Уанеті дуже низька, а з іншої - про подібні випадки ЗМІ згадують не часто. Тому активність і хакерів і ЗМІ вкрай низька. Але ситуація змінуються - разом з розвитком Уанету і поширенням доступа до Мережі в Україні.

До мене ще ніхто не проводив досліджень в цьому напрямку і я буду змінювати дану ситуацію. Тому очікуйте в цьому році на нові звіти про хакерську активність в Уанеті.

Останнім часом у компаній, які шукають нові кадри серед студентів, що завершують навчання, з’явилися конкуренти. Групи, що займаються кіберзлочинністю, активно вербують молодих фахівців у своє середовище, затверджують в антивірусній компанії McAfee.

Вербування, говориться в щорічній доповіді про стан справ у сфері комп’ютерної безпеки, не уступає по своїм методам радянському КДБ. Студентів і юних комп’ютерних дарувань шукають в університетах, школах, комп’ютерних клубах - скрізь, де вони можуть з’явитися. Групи навіть спонсують навчання деяких з них на комп’ютерних курсах і зараховують у резерв свого бізнесу. Студенти займаються написанням вірусів, крадуться персональну інформацію і допомагають у відмиванні грошей, заявляє McAfee. Адже кіберзлочинність по доходах стала набагато вигіднішою, ніж наркоторгівля.

“Хоча організовані кіберзлочинці можуть самі бути не настільки компетентними, щоб робити злочини, у них є засоби для купівлі необхідних людей, що усе зроблять за них”. У доповіді говориться, що приведені твердження засновані не тільки на спостереженнях компанії, але і на основі даних європейських спецслужб і ФБР США.

Зокрема, розквіт кіберзлочинності приходиться на країни Східної Європи. Тут високий рівень безробіття і низькі зарплати. За відносно невелику суму в хакерів замовляють віруси, трояни, що потім заражають мільйони машин, крадуть конфіденційну інформацію, зокрема, дані про кредитні карти. Хакери всі частіше стають найманцями в шпигунському бізнесі, а корпоративне шпигунство - це великий бізнес, говориться в доповіді.

По матеріалам http://www.cnews.ru.

В даній добірці уразливості в веб додатках:

• IF-CMS multiples XSS vunerabilities (деталі)
• admin.tool 3 CMS - Multiple Cross Site Scripting Issues (деталі)
• Web Directory Pro bypass Vulnerabilities (деталі)
• Xenis.creator CMS - Multiple Cross Site Scripting and SQL Injection Issues (деталі)
• XSS in script Mobile (деталі)
• SIMPLOG 0.9.3 injection sql & multiple xss (деталі)
• OpenEMR <=2.8.1 Multiple Remote File Inclusion Vulnerability (деталі)
• Численні уразливості в Bugzilla (деталі)
• Directory traversal vulnerability in IPCheck Server Monitor (деталі)
• Міжсайтовий скриптінг в InstantForum.NET (деталі)