Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• REMLAB Web Mech Designer 2.0.5 Path Disclosure Vulnerability (деталі)
• b2evolution XSS Vulnerabilities (деталі)
• Horde Kronolith Arbitrary Local File Inclusion Vulnerability (деталі)
• SiteKiosk - FileSystem Access (деталі)
• IBM DB2 Remote DoS during CONNECT processing (деталі)
• FipsSHOP SQL Injection (деталі)
• Розкриття даних в ModernBill (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Stefan Ernst Newsscript (WM-News) (деталі)
• Численні уразливості в CubeCart (деталі)
• Cross-site scripting (XSS) vulnerability in MKPortal (деталі)

Відповідно до повідомлення, заснованому на дослідженнях команди ISS XForce, у 2006 році було виявлено і проаналізовано 7247 нових уразливостей, що складає більш 20 уразливостей у день. Кількість уразливостей за 2006 рік збільшилося більш ніж на 40%, у порівнянні з 2005 роком. Більш 88% уразливостей, виявлених у 2006 році, можуть експлуатуватися віддаленно і більш 50% дозволяють нападнику одержати доступ до системи в результаті успішної експлуатації.

У 2007 році, як очікується, збільшиться напад на веб браузери, що є результатом створеної індустрії по розробці експлоітів. Продаж експлоітів стає усе більш організованим й усе більш нагадує форму продажів, використовувану законними компаніями. Зловмисники купують код експлоіта в підпільних хакерів, а потім продають його злочинним угрупованням, що розсилають спам повідомлення. У результаті організована розробка і продаж зашифрованих експлоітів приведе до низької ефективності сигнатурних систем захисту в новому році.

Також X-Force звертає увагу на наступні статистичні дані:

• За минулий рік частка спам повідомлень виросла на 100% у порівнянні з 2005 роком.
• Найчастіше джерелом спама стають комп’ютери США, Іспанії і Франції.
• C кожним роком підвищується частка спам повідомлень, написаних на мовах, відмінних від англійської.
• Сама популярна тема повідомлення в спам розсиланнях у 2006 році була “Re: hi.”.
• Південна Корея найчастіше є джерелом фішингових email повідомлень.
• Найбільш популярною категорією зловмисних програм у 2006 році були даунлоадери, на частку яких приходиться 22% усіх зловмисних програм.
• Найбільш популярний експлоіт, що використовується в мережі Інтернет для зараження веб браузерів, експлуатував уразливість MS04-013, виявлену ще в 2004 році.

По матеріалам http://www.securitylab.ru.

P.S.

Свій прогноз на цей рік я зробив у записі Розвиток веб безпеки в 2007 році.

29.10.2006

У жовтні, 29.10.2006, я знайшов Cross-Site Scripting уразливості на відомому проекті http://proua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.04.2007

XSS:

http://proua.com

• alert(document.cookie)

А також ще дві XSS в цьому самому скрипті (в двох інших параметрах).

http://ru.proua.com

• alert(document.cookie)

А також ще дві XSS в цьому самому скрипті (в двох інших параметрах).

Дані уразливості вже виправлені. Варто лише було мене сповістити.

Триває Місяць багів в MySpace. І його засновники продовжують інформувати про діри в безпеці MySpace.

Як повідомляється на офіційному сайті Month of MySpace Bugs, позавчора та учора, на дев’ятнадцятий та двадцятий дні були упобліковані деталі про одну уразливість.

• MOMBY-00001111: Myspace FriendsView.aspx “__VIEWSTATE” POST XSS (деталі)

Дана FriendsView.aspx XSS уразливість доволі цікава. В ній використовується Base64 кодування для обходу фільтрів (для закодування тіла XSS експлоіту).

Це баг лише за позавчорашній день, а ось учора засновники MOMB відпочивали, тому й не опублікували інформації про наступний баг.

Дев’ятнадцятий та двадцятий дні Місяця багів в MySpace видалися цікавими. Чекаємо на наступний день багів.

В даній добірці експлоіти в веб додатках:

• Golden FTP server 1.92 (USER/PASS) Heap Overflow PoC (деталі)
• ThinkEdit 1.9.2 (render.php) Remote File Inclusion Vulnerability (деталі)
• paFileDB 3.5.2/3.5.3 Remote Login Bypass SQL Injection Vulnerability (деталі)
• TorrentFlux 2.2 (downloaddetails.php) Local File Disclosure Exploit (деталі)
• mxBB calsnails module 1.06 Remote File Inclusion Exploit (деталі)

Пропоную вашій увазі добірку експлоітів (від milw0rm.com) з Місяця багів в PHP, що проходив в березні.

Це усі експлоіти, котрі були опубліковані в Month of PHP Bugs:

• PHP 4 Userland ZVAL Reference Counter Overflow Exploit PoC (деталі)
• PHP <= 4.4.4 unserialize() ZVAL Reference Counter Overflow Exploit PoC (деталі)
• PHP wddx_deserialize() String Append Crash Exploit (деталі)
• PHP 4.4.3 - 4.4.6 phpinfo() Remote XSS Vulnerability (деталі)
• PHP < 4.4.5 / 5.2.1 php_binary Session Deserialization Information Leak (деталі)
• PHP < 4.4.5 / 5.2.1 WDDX Session Deserialization Information Leak (деталі)
• PHP <= 5.2.1 substr_compare() Information Leak Exploit (деталі)
• PHP < 4.4.5 / 5.2.1 (shmop Functions) Local Code Execution Exploit (деталі)
• PHP < 4.4.5 / 5.2.1 (shmop) SSL RSA Private-Key Disclosure Exploit (деталі)
• PHP 5.2.0 / PHP with PECL ZIP <= 1.8.3 zip:// URL Wrapper BoF Exploit (деталі)
• PHP <= 5.2.0 ext/filter FDF Post Filter Bypass Exploit (деталі)
• PHP 5.2.0 ext/filter Space Trimming Buffer Underflow Exploit (MacOSX) (деталі)
• PHP <= 5.2.1 session_regenerate_id() Double Free Exploit (деталі)
• PHP 5.2.0/5.2.1 Rejected Session ID Double Free Exploit (деталі)
• PHP <= 4.4.6 / 5.2.1 array_user_key_compare() ZVAL dtor Local Exploit (деталі)
• PHP 5.2.0 header() Space Trimming Buffer Underflow Exploit (MacOSX) (деталі)
• PHP <= 4.4.6 / 5.2.1 ext/gd Already Freed Resources Usage Exploit (деталі)
• PHP <= 5.2.1 hash_update_file() Freed Resource Usage Exploit (деталі)
• PHP 5.2.1 unserialize() Local Information Leak Exploit (деталі)
• PHP < 4.4.5 / 5.2.1 _SESSION Deserialization Overwrite Exploit (деталі)
• PHP < 4.4.5 / 5.2.1 _SESSION unset() Local Exploit (деталі)
• PHP 4.4.5 / 4.4.6 session_decode() Double Free Exploit PoC (деталі)

Виявлена уразливісь, що дозволяє виконати код через Adobe Macromedia Flash Player (code execution).

Можливе виконання коду на *nix-платформах (Linux, Solaris та FreeBSD).

• Vulnerability in the Adobe Macromedia Flash Player 7.x and 9.x plug-in on Opera (деталі)

В даній добірці уразливості в веб додатках:

• CubeCart <=3.0.14 Bind Sql Injection POC (деталі)
• ClickContact SQL Injection (деталі)
• uPhotoGallery (v 1.1) SQL Injection (деталі)
• “mboard” file creation issue (деталі)
• PhpGedView 4.0.2 (DOCUMENT_ROOT) File inclusion Vulnerablity (деталі)
• b2evolution Remote File inclusion Vulnerability (деталі)
• Помилка завищення на одиницю в mod_auth_kerb (деталі)
• PHP-інклюдинг в phpECard (деталі)
• Cross-site scripting (XSS) vulnerability in Rob Hensley AckerTodo 4.0 (деталі)
• Multiple SQL injection vulnerabilities in RunCMS 1.4.1 (деталі)

Розробник додатків для захисту від вірусів і вторгнень - компанія “F-Secure” запропонувала міжнародній корпорації по розподілу доменних імен (ICANN) створити домен “.safe”, призначений спеціально для фінансовий установ. На думку компанії, це дозволить відгородити користувачів від шахраїв, що створюють підробні веб сайти відомих банків та фінансових компаній. Таким чином, кібер-злочинці шляхом обману довідаються в користувачів паролі й одержують доступ до їх банківських рахунків.

Як повідомляє прес-центр “F-Secure”, створювати сайти в “фінансовому” домені зможуть тільки перевірені фінустанови. Таким чином, користувачі зможуть бути впевнені, що заходять на ресурс реального банку, і безпечно здійснювати фінансові операції через Інтернет.

Представники компанії відзначають, що в окремій доменній зоні провайдерам і компаніям, що займаються інформаційною безпекою, буде простіше побудувати надійні захисні механізми.

Раніше фахівці компанії “Panda Software” повідомляли, що на сьогоднішній день практично не існує банка, що пропонує онлайн-послуги, що не був би уразливий для атак т.зв. банківських троянів. Віруси цього виду склали 20% усіх троянів, що були виявлені компанією в 2006 році.

Банківські трояни використовуються для перехоплення доступу до банківських сайтів і крадіжки інформації, що вводиться на цих сторінках. Зокрема, це номера рахунків, кредитних карт, пін-коди і паролі. Після цього трояни відправляють отриману інформацію своєму творцю, що може використовувати її для здійснення усіх видів злочинів - від крадіжки грошей до “підміни особистості”.

По матеріалам http://news.liga.net.

08.04.2007

Вчора, 07.04.2007, я знайшов Cross-Site Scripting (XSRF + XSS) уразливості на популярному порталі http://myspace.com. Про що найближчим часом сповіщу адміністрацію порталу.

Також учора я вислав деталі про ці уразливості організаторам проекту Місяць багів в MySpace. Тому, у проекта MOMB з’явилися нові кандидати в баги Майспейса . Таким чином я вніс свій внесок в дану акцію.

Детальна інформація про уразливості з’явиться пізніше.

19.04.2007

XSS:

POST запит в полях Password та Confirm Password на сторінці http://signup.myspace.com/index.cfm?fuseaction=comedianJoin:
"><script>alert(document.cookie)</script>

Дані уразливість досі не виправлені.

Для цих уразливостей я також приготував PoC/Exploit: MySpace_XSS_exploit

Також інформація про дану уразливість була оприлюднена на вісімнадцятий день Місяця багів в MySpace. Організаторам даної акції я раніше вислав деталі про дані дірки.