Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• fipsCMS <= 4.5 (index.asp) Remote SQL Injection Exploit (деталі)
• Woltlab Burning Board Lite 1.0.2 Blind SQL Injection Exploit (деталі)
• PEGames (index.php) Remote File Include Vulnerability (деталі)
• OWLLib 1.0 (OWLMemoryProperty.php) Remote File Include Vulnerability (деталі)
• Quick.Cart <= 2.0 Remote Code Execution Exploit (деталі)

Компанія Symantec сьогодні випустила комплексний звіт про безпеку, що складається аналітиками компанії кожні півроку. Головний висновок, що міститься в документі, полягає в тому, що в США як і раніше створюється більше всього шкідливих програм, крім того, саме на території США нараховується більше всього хакерських угруповань, що роблять атак більше, ніж будь-яка інша країна у світі.

Також у Symantec відзначають, що між хакерськими угрупованнями існує досить тверда конкуренція на підпільному ринку взломів і торгівлі краденою інформацією. Саме завдяки даній конкуренції, за словами експертів, купити сьогодні чиїсь крадені дані можна дешевше і простіше, ніж ще півроку тому.

У звіті Internet Security Threat Report Symantec приводить ряд прикладів. Наприклад на початку поточного року фахівці компанії змогли придбати крадені номери пластикових банківських карт за ціною 1 долар за кожен номер, також на чорному ринку в США присутні і різні банківські бази даних. Однак на відміну від Росії, де така інформація коштує від 70 до 1000 доларів за CD, у США середня вартість диска з краденими банківськими даними коштує всего 14 доларів, стверджують у Symantec.

Відзначається, що близько 30% від загальної кількості комп’ютерних атак у другій половині 2006 року відбувалося саме за рахунок американських зловмисників. По кількості генеруємого зловмисного коду США також попереду планети всієї - так за звітний період у США була створена кожна третя шпигунська програма і написаний кожен третій вірус чи троян. На другому місці йде Китай з 10%, третє місце за Німеччиною - 7%.

Окрім цього, лідирують США і по кількості бот-мереж, що складаються з інфікованих комп’ютерів за допомогою яких хакери розсилають спам і роблять атаки. У переважній більшості випадків власники комп’ютера не підозрюють про те, що машина інфікована і витрачає процесорний час і трафік в інтересах хакерів.

Примітно, що кількість персональних комп’ютерів, втягнених у хакерські бот-мережі, у другій половині 2006 року збільшилося на 29% до 6 млн штук, а от кількість серверів, що керують даним ПК знизилося на 25% - до 4700 штук, що говорить про консолідацію бот-мереж у руках меншої кількості зловмисників. Більше всього бот-мереж розташовано на території Китаю - 26%.

Symantec також відзначає і ріст спама в другій половині 2006 року на 59%, що, як говорять фахівці, досить багато, якщо врахувати ріст спама на 5% в першому півріччі 2006 року. Більше всього спама було пов’язано з грою на біржі та різними фінансовими махінаціями.

Також США лідирують і по кількості інсайдерів. У компанії відзначають, що як мінімум половина американських компаній так чи інакше мали справу з інсайдерами. У Symantec говорять, що в середньому кожен другий ПК у компанії використовується співробітниками частково не по призначенню.

Вперше в Symantec вивчили й активність мережевих шахраїв (фішерів), котрі створюють сайти, що імітують сайти великих магазинів чи банків з метою крадіжок персональних даних відвідувачів. За словами Альфреда Хьюгера, віце-президента підрозділу Symantec Security Response, фішинг став найвищою мірою організованим, високорозвиненим і без яких-небудь моральних бар’єрів. Ріст кількості сайтів-підробок склав 65% у порівнянні з першим півріччям 2006 року. Що стосується інтернет-браузерів, те самим “привабливим” для хакерів залишається Internet Exploer - 77% атак і уразливостей так чи інакше пов’язані з ним.

По матеріалам http://itua.info.

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять четвертий день були упобліковані деталі про дві уразливості в PHP (за вчора і за позавчора, коли в роботі проекту відбулася перерва).

• PHP _SESSION unset() Vulnerability (деталі), експлоіт: MOPB-30-2007.php
• PHP _SESSION Deserialization Overwrite Vulnerability (деталі), експлоіт: MOPB-31-2007.php

Двадцять четвертий день Місяця багів в PHP видався цікавим і спекотним (і для цього є підстави). Чекаємо що MOPB приготували на сьогодні.

В даній добірці уразливості в веб додатках:

• aBitWhizzy [local file include] (деталі)
• Security analysis of cutenews 1.4.5 (деталі)
• The Classified Ad System [multiple xss & injection sql] (деталі)
• ltwCalendar => 4.2.1 Remote File Include Vulnerabilities (деталі)
• my little weblog => Cross Site Scripting (деталі)
• Classified System [injection sql] (деталі)
• Розкриття даних в PHProjekt Content Management Module (деталі)
• Обхід аутентифікації в eFiction (деталі)
• Cross-site scripting vulnerability in PmWiki (деталі)
• PHP remote file inclusion vulnerability in Web3news (деталі)

Виявлений обхід захисту Safe Mode в PHP (protection bypass). Уразливі версії: PHP 5.2.

Можливо обійти захист на обмеження каталогу за допомогою Writing mode (префікса srpath://../ у fopen()).

• PHP 5.2.0 safe_mode bypass (by Writing Mode) (деталі)

29.12.2006

У жовтні, 13.10.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://mojoflix.com (відомий сервіс розміщення відео контенту). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Про схожу уразливість на подібному проекті www.youtube.com я вже писав.

24.03.2007

XSS:

POST запит на сторінці http://mojoflix.com/Videos/Search в полі пошуку:

"><script>alert(document.cookie)</script>

Уразливість вже виправлена.

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Вчора, на день двадцять третій, не було опубліковано жодної нової інформації. Лише з запізненням була опублікована інформація про один баг за день двадцять другий, про що я писав учора. А безпосередньо за двадцять третій день не було жодної інформації.

Це вже в котрий раз подібна ситуація, коли не було опубліковано нової інформації за черговий день багів: на день тринадцятий був такий випадок, потім на день дев’ятнадцятий, потім на день двадцять перший і от, учора, на день двадцять третій те саме.

Так що чекаємо нової інформації від MOPB, запланованої на сьогодні.

В даній добірці експлоіти в веб додатках:

• LDU <= 8.x (avatarselect id) Remote SQL Injection Vulnerability (деталі)
• fipsForum <= 2.6 (default2.asp) Remote SQL Injection Vulnerability (деталі)
• fipsGallery <= 1.5 (index1.asp) Remote SQL Injection Vulnerability (деталі)
• a-ConMan <= 3.2b (common.inc.php) Remote File Inclusion Vulnerability (деталі)
• CMSmelborp(user_standard.php) Remote File Inclusion Exploit (деталі)

13.02.2007

Продовжимо тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку та Безпека сайтів про безпеку 2.

Ось нова добірка уразливих сайтів про інформаційну безпеку:

• www.foia.cia.gov
• www.securitylab.ru
• acunetix.com

Всім security компаніям та проектам слід приділяти набагато більше уваги власній безпеці.

23.03.2007

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• www.picosearch.com (Cenzic)
• hakin9.org
• www.computerworld.com

Секюріті проектам слід більше уваги приділяти безпеці власних сайтів.

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, учора, на двадцять другий день були упобліковані деталі про одну уразливість в PHP.

• PHP 5.2.1 unserialize() Information Leak Vulnerability (деталі), експлоіт: MOPB-29-2007.php

Двадцять другий день Місяця багів в PHP видався цікавим, хоча й спізнілим (бо лише сьогодні пишу за вчорашній день, тому що Стефан пізно опублікував інформацію). Чекаємо, про що буде повідомлено сьогодні.