Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Vulnerability in PostNuke (деталі)
• LDU <= 8.x Remote SQL Injection Vulnerability. (деталі)
• Seditio <= 1.10 Remote SQL Injection Vulnerability. (деталі)
• JiRos Links Manager[injection sql & xss permanent] (деталі)
• creadirectory [injection sql & xss] (деталі)
• Link Exchange Lite [injection sql] (деталі)
• Інклюдинг локальних файлів в Wikepage (деталі)
• Multiple PHP remote file inclusion vulnerabilities in interact 2.2 (деталі)
• Vulnerability in Xchat 2.6.7 (деталі)
• Cross-site scripting vulnerability in HLstats 1.34 (деталі)

Виявлені численні уразливості в програмах Mozilla Firefox, Thunderbird та Seamonkey.

Можливий обхід фільтрації HTML-вмісту, міжсайтовий скриптінг, слабка хешуюча функція, ушкодження пам’яті, переповнення буфера та інше.

Уразливі продукти: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.

• Mozilla Foundation Security Advisory 2007-09 (деталі)
• Mozilla Foundation Security Advisory 2007-10 (деталі)
• Mozilla Foundation Security Advisory 2007-05 (деталі)
• Mozilla Foundation Security Advisory 2007-04 (деталі)
• Mozilla Foundation Security Advisory 2007-03 (деталі)
• Mozilla Foundation Security Advisory 2007-02 (деталі)
• Mozilla Foundation Security Advisory 2007-01 (деталі)

В даній добірці експлоіти в веб додатках:

• Pearl Forums 2.4 Multiple Remote File Include Vulnerabilities (деталі)
• aBitWhizzy (abitwhizzy.php) Information Disclosure Vulnerability (деталі)
• ContentNow 1.39 (pageid) Remote SQL Injection Exploit (деталі)
• Seditio <= 1.10 (avatarselect id) Remote SQL Injection Vulnerability (деталі)
• PHPWind <= 5.0.1 "AdminUser" blind SQL injection exploit (деталі)

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Вже в котре не було опубліковано багів за черговий день багів: вже на день тринадцятий був такий випадок, потім на день дев’ятнадцятий і от, вчора, на день двадцять перший те саме.

На офіційному сайті Month of PHP Bugs на двадцять перший день не було упобліковано деталей про жодну уразливість в PHP.

Я вчора не написав про це, бо не було нових багів, і я вирішив почекати деякий час, коли сьогодні з’явиться інформація за вчорашній день. Але годі й чекати: вже більше пів нової доби минуло з учора, а Стефан так і не опублікував свіжої інформації (за більше як 1,5 доби). Тому вчорашній день виявився “безбажним”, не вийшло в нього опублікувати дані про нові баги.

Подивимося, що ж буде опубліковано сьогодні, чекаємо нової інформації від MOPB.

15.10.2006

Про уразливості (зокрема XSS) на веб сайтах інтернет ЗМІ - на різноманітних новинних ресурсах, як онлайнових ЗМІ, так і сайтів газет, офлайнових ЗМІ - я писав чимало, і ще багато подібних прикладів наведу. В мене в списку уразливих сайтів серед інших дуже багато зустрічається саме новинних сайтів, як це можна побачи з моїх повідомлень. Це новинні сайти Уанету і Рунету. Та й зокрема слід відзначити, що адміни саме цієї категорії сайтів найменш серйозно відносяться до безпеки і дуже слабо реагують на мої повідомлення (рідко виправляють уразливості). І я рекомендую їм всім переглянути свою політику безпеки власних сайтів.

Три дні тому, 12.10.2006, я знайшов кілька Cross-Site Scripting уразливостей на відомому новинному проекті http://weekly.com.ua (до речі, це веб сайт газети, в якій працює мій брат). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

22.03.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• PHPQuickGallery <= 1.9 (textFile) Remote File Include Vulnerability (деталі)
• Photo Cart 3.9 (adminprint.php) Remote File Include Vulnerability (деталі)
• e-Ark 1.0 (src/ark_inc.php) Remote File Include Vulnerability (деталі)
• phpPC <= 1.04 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Rama CMS <= 0.68 (Cookie: lang) Local File Include Exploit (деталі)

За даними відомої аналітичної компанії Netcraft, у минулому 2006 році в Інтернеті було виявлено близько 609000 шахрайських сайтів, створених фішерами для різного роду злочинних дій, наприклад шантажу користувачів, підробки під відомі торгові марки, банки й інтернет-магазини.

Усе це робилося з однією метою - роздобути, під тим чи іншим приводом, гроші, або персональні дані користувачів.

Фахівці відзначають, що 2006 рік можна сміливо назвати роком інтернет-шахраїв, так за рік кількість випадків шахрайства зросла в 14 разів. Особливо бурхливу активність інтернет-шахраї виявили в останньому кварталі 2006 року, коли вони почали використовувати автоматичні засоби для генерації сайтів-підробок у великій кількості.

Також допомогу фішерам, самі того не знаючи, робили і безтурботні користувачі, що як і раніше відкривали електронні листи, що прийшли від незрозумілого відправника, а також не перебираючи скачували і запускали усі файли, що потім виявлялися троянами для розсилання спама, шпигунськими чи рекламними модулями.

Примітний також і ріст кількості заблокованих шахрайських сайтів, якщо раніш щомісяця блокувалося від 1000 до 20000 сайтів-підробок, то в жовтні 2006 року кількість таких сайтів зросла до 45000, у листопаді - до 135000, а в грудні - до 277000 сайтів!

Фахівці говорять, що за даними цифрами приховуються не зростаючі армії мережевих шахраїв, а засоби, застосовувані ними. Так, наприклад, торік у Netcraft на протязі кожного місяця фіксували появу нових програм, що швидко розвертали цілі мережі фішингових сайтів на взломаних серверах. Крім цього, у минулому році фішери розвертали сайти навіть на домашніх і робочих комп’ютерах, що були інфіковані та стали учасниками бот-мереж.

За даними Netcraft, у 2006 році фішери найчастіше підробляли сайти 942 різних установ, включаючи банки, кредитні і керуючі компанії, онлайнові платіжні шлюзи, інтернет-магазини, сайти соціальних мереж, провайдери, сервиси онлайн-ігор та різні урядові агентства.

Разом з тим, аналітики звертають увагу на те, що природа фішинга по істині інтернаціональна, але найчастіше фішингові сайти знаходилися на території США, Південної Кореї, Китаю і Румунії.

По матеріалам http://itua.info.

В даній добірці уразливості в веб додатках:

• Travelsized CMS - Multiple Cross Site Scripting Issues (деталі)
• NetBSD FTPD and ports ***REMOTE ROOOOOT HOLE*** (деталі)
• NetBSD FTPD and ports ***REMOTE ROOOOOT HOLE*** (деталі)
• phpPC 1.04 Multiples Remote File Inclusion (деталі)
• Pearl Forums 2.4 Multiple Remote File Include Vulnerabilities (деталі)
• PhotoCart 3.9 (adminprint.php) Remote File Include Vulnerability (деталі)
• Direct static code injection vulnerability in CJ Tag Board (деталі)
• Vulnerability in usercp_avatar.php in PHPBB 2.0.20 (деталі)
• Cross-site scripting vulnerability in MyBulletinBoard (деталі)
• PHP-інклюдинг в phpCOIN (деталі)

Триває Місяць багів в PHP. І Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на двадцятий день були упобліковані деталі про дві уразливості в PHP (одна за вчорашній день і одна за сьогоднішній).

• PHP ext/gd Already Freed Resource Access Vulnerability (деталі), експлоіт: MOPB-27-2007.php
• PHP hash_update_file() Already Freed Resource Access Vulnerability (деталі), експлоіт: MOPB-28-2007.php

Двадцятий день Місяця багів в PHP видався цікавим і спекотним. Чекаємо, що Стефан приготував нам на завтра.

27.12.2006

У жовтні, 12.10.2006, я знайшов декілька Cross-Site Scripting уразливостей на популярному проекті http://www.nist.org - Network Information Security & Technology News (сайт про новини в галузі інформаційної безпеки). Про що найближчим часом сповіщу адміністрацію проекту.

Про уразливості в секюріті сайтах я вже писав в записі Безпека сайтів про безпеку.

Детальна інформація про уразливості з’явиться пізніше.

20.03.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.