Архів за Травень, 2007

Уразливість на www.rian.ru

23:21 31.05.2007

17.02.2007

У листопаді, 11.11.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://www.rian.ru - РІА Новини (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

31.05.2007

XSS:

Дана уразливість була виправлена. Але 14.12.2006 в цьому ж локальному пошуці я знайшов іншу уразливість.

XSS:

Дана уразливість досі не виправлена. Зазначу, що даний пошук базується на Яndex.Server (і про уразливості в цьому пошуковці на інших сайтах я неодноразово писав).

Джерелом 80% внутрішніх атак є незадоволені співробітники

22:49 31.05.2007

Істотна частина інцидентів, пов’язаних з нанесенням збитку ІТ-структурам компаній, має відношення до діючих чи колишніх співробітників цих компаній. Мова йде про людей, що мають схильність до запізнень, прогулів, сварок з колегами і просто поганому виконанню посадових обов’язків. Такі результати дослідження, що проводилося протягом 5 років фахівцями Секретної служби США і координаційного центра з питань комп’ютерної безопаности CERT при університеті Карнегі-Меллона.

80 відсотків організаторів так званих внутрішніх атак - люди, з якими недобре обійшлися роботодавці. Усього в дослідження включені 49 фактів дестабілізації ІТ-інфраструктури: від закладання логічних бомб до фінансових афер. Суми збитку при цьому варіювалися від 500 доларів до десятків мільйонів.

За даними фахівців CERT, 92% внутрішніх атак пішли за негативним моментом, пов’язаним з відносинами в колективі: сваркою, зниженням у посаді чи звільненням. При цьому в 59% випадків уже звільнені співробітники одержували доступ до систем колишніх роботодавців через старі паролі чи, використовуючи розширені адміністративні права, починали атаки ще до звільнення.

86% організаторів атак займали позиції технічних фахівців. 90% даних фахівців мали права адміністраторів ІТ-систем. Як превентивні міри проти подібних атак автори дослідження рекомендували ретельно видаляти облікові записи колишніх працівників, перевіряти статус облікових записів. І вчасно виявляти незадоволених співробітників.

По матеріалам http://www.securitylab.ru.

Добірка уразливостей

19:41 31.05.2007

В даній добірці уразливості в веб додатках:

  • cwmVote 1.0 File Include Vulnerability (деталі)
  • PHPFanBase (protection.php) Remote File Include Vulnerability (деталі)
  • Azucar CMS <= 1.3 (_VIEW) Remote File Include Vulnerability (деталі)
  • phpProfiles <= 3.1.2b Multiple Remote File Include Vulnerabilities (деталі)
  • Paristemi 0.8.3b (buycd.php) Remote File Include Vulnerability (деталі)
  • Valdersoft Shopping Cart v3.0 (E-Commerce Software)*****[ commonIncludePath ] Remote File Include (деталі)
  • PHP remote file inclusion vulnerability in Claroline (деталі)
  • PHP remote file inclusion vulnerability in TeamCal Pro (деталі)
  • Multiple cross-site scripting vulnerabilities in DCP-Portal SE 6.0 (деталі)
  • PHP-інклюдинг в Akarru Social BookMarking Engine (деталі)

Month of Search Engines Bugs: project description

17:55 31.05.2007
Аnd you will know the truth, and the truth will make you free.
(John 8:32)

This words from Bible are very actual in our time. Particularly in context of security of search engines. Community don’t know about real risks that search engines bring to it. And engines vendors like to convince everyone of their work at security (but it is far from reality). So the time has come to look into eyes of truth, which I’ll be trying to bring to you.

Main purpose of the project: to demonstrate the real state of security in search engines. There are vulnerabilities in the engines (that mean that their developers insufficiently attend to security) and the community need to know about that. When he will be knowing truth, every user of Internet will can make thoughtful choice concerning search engines.

Participants of the project: most popular search engines of the world, including Google, Yahoo, MSN. As global search engines, and as local engines, which developers of popular engines offer to site’s owners for placing at their sites.

There are hundreds (and thousands) different search engines in the world, big and small ones. It was not easy to chose the most popular from them. I spent a lot of time for this choice. I notice, that for current time there is no information about popularity of engines in world scope. There is information about popularity engines in some countries (moreover I mainly know this data), but there are no information about whole world. For this reason selection of participants are relatively subjective. But each of them are taking leading stand in its own category.

If somebody will not find his favorite engine during the month, then you don’t worry - there are holes in this engine also :-) . There are vulnerabilities in all engines. In my own practice of social security audit I found a lot of holes in search engines, I wrote about that at my site, and about some other holes I’ll write during the Month of Bugs. There are also many others engines, where I found holes, which didn’t get to final list of participants. There are a lot of engines in the world, one month is not enough to write about all. It is not hard for me to make additional new month of bugs in search engines, even full year of bugs. But the month will be enough to attract attention of Internet community on this problem. And about other engines, which didn’t get to list of participants, I’ll write later, during my own everyday work.

Rules of the project: participation of search engines in the project are voluntary. So I voluntarily chose participants for the project ;-) . Each day I will publish holes in single engines. It can be one or more vulnerabilities. It will be so during 29 days, and on 30th day I planned a surprise (it will be complex day of bugs). And at 1st of July I’ll sum up the project.

Information disclosure for developers of search engines will be specific. It will be different from my general practice, when I found hole, make an announcement (without details), than I inform site’s owner, and then after some time (presently it is 3 months) I write details. This is very long process, so for this project I chose other form of informing. All details will be published at site without prior informing to engines’ owners (so they need to watch the news). It will be approaching to real life - where bad guys found holes and use it, without informing anyone, so engines vendors must be ready for that (and not to dawdle). Welcome to real world. Engines’ owners must understand, that nobody got a job to inform them about anything, they need to attend to security on their own. In case when somebody else attend to their security (and inform them), then they need to appreciate (some engines vendors forgot about that). If I announced this project, then engines’ owners need to think about security of their systems. And taking into account than my primary goal is security, then I’ll send official notification to all participants (about the participation in my project). And developers of engines just need to watch the news at site and to fix the vulnerabilities.

Also I have a proposition: lets choose the best bug of Month of bugs. I propose two nominations: Best bug of MOSEB MustLive Choice and Best bug of MOSEB Visitors Choice. In the first nomination I already chose winner, so now the visitors need to chose winner in the second nomination. During holding the project, if you will like some bug to much, than you write a response in the comments (”Cool”, “Nice”, etc.). And in the end of month I’ll compute the voices. The results will be announced in the project’s totals.

Results of the project: improvement of security of search engines and Internet as a whole.

Місяць багів в Пошукових Системах: опис проекту

23:48 30.05.2007
І пізнаєте правду, і правда зробить вас вільними.
(Вiд Iвана 8:32)

Ці слова із Біблії дуже актуальні в наш час. Зокрема в контексті безпеки пошукових систем. Громадськість не знає про реальні загрози, що несуть їй пошукові системи. Та й розробники пошуковців полюбляють запевнювати, що вони слідкують за безпекою (що насправді далеко не так). Тому настав час подивитися правді у вічі, котру я буду намагатися донести до вас.

Головна мета проекту: демонстрація реального стану справ з безпекою в пошукових системах. В пошуковцях є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, кожен користувач Інтернету зможе зробити усвідомлений вибір щодо пошукових систем.

Учасники проекту: найбільш популярні пошукові системи світу, в тому числі Google, Yahoo, MSN. Як глобальні пошукові системи, так і локальні пошуковці, котрі розробники популярних пошуковців пропонують власникам сайтів для встановлення на їх ресурсах.

В світі існують сотні (і тисячі) різноманітних пошукових систем, великих і маленьких. Вибрати з них самих популярних було не просто. На цей вибір я потратив чимало часу. Зазначу, що на даний момент немає інформації про популярність пошуковців в світовому масштабі. Є інформація по популярності пошуковців в деяких країнах (причому ці дані мені переважно відомі), але інформації по світу в цілому немає. Тому й вибірка учасників відносно суб’єктивна. Але кожен з них в своїй категорії займає лідируючі позиції.

Якщо хтось не знайде протягом місяця свого улюбленого пошуковця, то ви не переживайте - і в цьому пошуковці є дірки :-) . Уразливості є в усіх пошуковцях. В своїй практиці соціального секюріті аудита я знаходив чимало дірок в пошукових системах, про що писав в себе на сайті, і про деякі з них я напишу під час Місяця багів. Ще чимало пошуковців, баги в яких я знайшов, не потрапили в фінальних список учасників. В світі багато пошуковців, за місяць про всіх не розповісиш. Мені не важко зробити додатково ще один місяць багів в пошукових системах, та хоч цілий рік багів. Але одного місяця вистачить, щоб звернути увагу інтернет спільноти на цю проблему. А про всі пошуковці, що не ввійшли в список учасників, я буду писати пізніше, в рамках своєї щоденної роботи.

Правила проекту: участь пошукових систем в проекті добровільна. Тобто я добровільно вибрав учасників для проекту ;-) . Щодня будуть публікуватися дірки по окремому пошуковцю. Це може бути як одна, так і більше уразливостей. Так буде на протязі 29 днів, а на 30 день я запланував сюрприз (це буде комплексний день багів). А першого липня я підведу підсумки проекту.

Інформування розробників пошукових систем буде специфічне. Воно буде відмінне від моєї загальної практики, коли я знаходжу дірку, роблю анонс (без деталей), потім повідомляю власника сайту, і лише через деякий час (зараз це 3 місяці) я пишу деталі. Це дуже затяжний процес, тому для даного проекту я вибрав іншу форму інформування. Всі деталі будуть публікуватися на сайт без попереднього повідомлення власникам пошуковців (тому їм треба слідкувати за новинами). Це буде наближанням до реального життя - де погані хлопці знаходять дірки і використовують їх, нікому про це не повідомляючи, тому власники пошуковців повинні бути на готові (а не бити байдики). Ласкаво просимо до реального світу. Власники пошуковців повинні зрозуміти, що ніхто не наймався їм повідомляти про щось, вони самі повинні слідкувати за безпекою. І у випадку, якщо хтось інший займається їх безпекою (та їм повідомляє), то треба буди вдячними (про що деякі власники пошуковців забувають). Раз я анонсував цей проект, значить вже власники пошуковців повинні були замислитися над безпекою своїх систем. І враховуючи, що основна моя мета - це безпека, то усім учасникам мого проекту я вишлю офіційне повідомлення (про участь в моєму проекті). І розробникам пошуковців залишиться лише слідкувати за новинами на сайті та виправляти уразливості.

Також у мене пропозиція: давайте виберемо найкращий баг Місяця багів. Пропоную дві номінації: Best bug of MOSEB MustLive Choice та Best bug of MOSEB Visitors Choice. В першій номінації я вже вибрав переможця, тепер треба щоб відвідувачі вибрали переможця у другій номінації. Під час проведення проекту, якщо якийсь баг вам дуже сподобається, то ви в коментарях напишіть відгук (”Cool”, “Nice”, тощо). А в кінці місяця я підрахую голоси. Результати будуть оголошені в підсумках проекту.

Результат проекту: покращення безпеки пошукових систем та Інтернету в цілому.

DoS проти MySQL

22:58 30.05.2007

Виявлена можливість DoS проти сервера баз даних MySQL.

Уразливі версії: MySQL 5.0.

Ділення на нуль і посилання по нульовому вказівнику при обробці умови IF.

Добірка експлоітів

19:24 30.05.2007

В даній добірці експлоіти в веб додатках:

  • AllMyGuests <= 0.3.0 (AMG_serverpath) Remote Inclusion Vulnerabilities (деталі)
  • NaviCOPA Web Server 2.01 (GET) Remote Buffer Overflow Exploit meta (деталі)
  • L2J Statistik Script <= 0.09 (index.php page) Local File Include Exploit (деталі)
  • MOTIONBORG Web Real Estate <= 2.1 SQL Injection Vulnerability (деталі)
  • PPC Search Engine 1.61 (INC) Multiple Remote File Include Vulnerabilities (деталі)
  • @lex Guestbook <= 4.0.2 Remote Command Execution Exploit (деталі)
  • Application Enhancer (APE) 2.0.2 Local Privilege Escalation Exploit (деталі)
  • WebText <= 0.4.5.2 Remote Code Execution Exploit (деталі)
  • Exploits EIQ Networks Network Security Analyzer DoS (деталі)
  • Simple Web Content Management System SQL Injection Exploit (деталі)

Редиректори

17:11 30.05.2007

Представляю вам інформацію про одну з сучасних проблем в веб безпеці - редиректори. Раніше я вже торкався цієї теми в новинах. Даною темою я почав цікавитися з початку вересня 2006 року (після ознайомлення зі статтями RSnake за кінець серпня початок вересня про redirection). І з того часу я провів чимало досліджень в цьому напрямку.

Редиректори - це скрипти на веб сайтах, що переадресовують на інші сайти (редиректять). А Redirector уразливості - це уразливості в веб додатках, що відносяться до класу Abuse of Functionality. За звичай дані скрипти використовують для ведення статистики, куди ж (і в якій кількості) переходять користувачі сайту. Тому в більшості випадків в якості параметра для редиректорів використувують адресу сайта, на який має перейти користувач.

Але в останній час даний функціонал став використовуватися зловмисниками (зокрема фішерами) для своїх недобрих справ. Зараз редиректори часто використовують зловмисники для переадресації на фішинг сайти. Тому редиректори - це реальна проблема (якщо вони не захищені від подібного використання), і вони можуть нанести шкоду. Ось чому даними уразливостями, котрими є редиректори (незахищені) потрібно займатися.

Наведу декілька прикладів редиректорів в популярних пошукових системах. Всі наведені лінки на редиректори ведуть на websecurity.com.ua.

Редиректори в пошукових системах:

Це перша стаття з серії статей про редиректори. З часом я продовжу розповідати вам про редиректори на популярних сайтах (пошукових системах, порталах та інших веб сайтах).

Добірка експлоітів

22:47 29.05.2007

В даній добірці експлоіти в веб додатках:

  • iG Calendar 1.0 (user.php id variable) Remote SQL Injection Vulnerability (деталі)
  • Coppermine Photo Gallery <= 1.4.10 Remote SQL Injection Exploit (деталі)
  • QUOTE&ORDERING SYSTEM 1.0 (ordernum) Multiple Vulnerabilities (деталі)
  • NUNE News Script 2.0pre2 Multiple Remote File Include Vulnerabilities (деталі)
  • IMGallery <= 2.5 Create Uploader Script Exploit (деталі)

Захисне ПО найбільш важливе для ІT-професіоналів

20:14 29.05.2007

Додатки для захисту комп’ютерів і мереж цього року стоять на першому місці по важливості для ІТ-професіоналів, стверджує індустріальна асоціація комп’ютерних технологій (CompTIA) на основі онлайнового опитування 1100 фахівців. У 2006 році захист займав друге місце.

На думку президента і виконавчого директора компанії Джона Венатора, це невипадково, оскільки ІБ впливає на всі процеси, що відбуваються в компанії.

Безпеку поставили на перше місце 24,3% опитаних. 13,1% вважають, що саме головне - додатки бездротового обміну даними. На третьому місці стоїть IP-телефонія, конвергентні рішення й уніфіковані системи обміну повідомленнями. Торік вони стояли на чолі списку. Далі йдуть рішення з відкритим кодом, віртуалізація, Web 2.0, RFID, контроль доступу до мережі, бізнес-аналіз (BI) та системи збереження даних.

По матеріалам http://www.securitylab.ru.