Websecurity - Веб безпека

Повідомляю вам (хоча й з затримкою) про подію, яка відбулася на минулому тижні, 17 травня. Дана подія стосується кожного користувача Інтернет, в тому числі кожного машканця Уанету.

Цього року темою проведення Всесвітнього дня електрозв’язку й інформаційного суспільства стало освоєння інформаційних і комунікаційних технологій молоддю, вільний і широкий доступ до інформаційних технологій дітей із країн, що розвиваються, і країн з перехідною економікою.

Глава ООН призвав політичних діячів і лідерів промисловості сприяти доступу молодого покоління до інформаційно-комунікаційних технологій, і, таким чином, створити відкрите й орієнтоване на розвиток інформаційне суспільство.

Генеральний секретар ООН призвав міжнародне співтовариство проводити далекоглядну державну політику, сприяти інноваційним формам бізнесу і шукати творчі технологічні рішення, що будуть розширювати права молодих людей і забезпечувати їхню участь у глобальних зусиллях, спрямованих на реалізацію Цілей розвитку, поставлених у Декларації тисячоріччя.

Всесвітній день інформаційного суспільства був оголошений Генеральною Асамблеєю ООН у березні 2006 року. Раніш у цей день відзначався Всесвітній день електрозв’язку, присвячений створенню 17 травня в 1865 р. Міжнародного телеграфного союзу, перейменованого в 1934 р. у Всесвітній союз електрозв’язку.

По матеріалам http://www.securitylab.ru.

В даній добірці уразливості в веб додатках:

• Messageriescripthp SQL Injection and Cross-Site Scripting (деталі)
• Updated squirrelmail packages fix vulnerabilities (деталі)
• b2evolution “inc_path” File Inclusion Vulnerability (деталі)
• Drupal Chatroom Module Session ID Information Disclosure (деталі)
• shopsite advisory (деталі)
• Drupal Help Tip Module Multiple Vulnerabilities (деталі)
• Численні уразливості в Mailman (деталі)
• Vulnerability in SQL-Ledger before 2.4.4 (деталі)
• RaidenHTTPD 1.1.49 “SoftParserFileXml” Parameter Handling File Inclusion Exploit (деталі)
• PHP-інклюдинг в FlashChat (деталі)

Триває Місяць ActiveX багів. І його засновник продовжує інформувати про діри в ActiveX компонентах.

Як повідомляється на офіційному сайті Month of ActiveX Bugs, за другі десять днів було упобліковано деталі про дванадцять уразливостей.

• MoAxB #11: Morovia Barcode ActiveX Professional Arbitrary file overwrite (деталі)
• MoAxB #11 Bonus: GDivX Zenith Player AviFixer Class ActiveX BOF (деталі)
• MoAxB #12: PrecisionID Barcode ActiveX (PrecisionID_DataMatrix.DLL) 1.3 Denail of Service (деталі)
• MoAxB #13: ID Automation Linear Barcode ActiveX Control (IDAutomationLinear6.dll) v. 1.6.0.5 DoS (деталі)
• MoAxB #14: Clever Database Comparer ActiveX version 2.2 Remote Buffer Overflow Exploit (деталі)
• MoAxB #15: DB Software Laboratory DeWizardX (DEWizardAX.ocx) Remote Arbitrary File Overwrite (деталі)
• MoAxB #16: IE 6 PrecisionID Barcode ActiveX 1.9 0day (PrecisionID_Barcode.dll) Denail of Service (деталі)
• MoAxB #16 Bonus: IE 6 PrecisionID Barcode ActiveX 1.9 0day (PrecisionID_Barcode.dll) Remote Arbitrary File Overwrite (деталі)
• MoAxB #17: Sienzo Digital Music Mentor (DMM) 2.6.0.4 (ltmm15.dll) Buffer Overflow Exploit (деталі)
• MoAxB #18: LeadTools JPEG 2000 COM Objejct (LTJ2K14.ocx v. 14.5.0.35) Remote Stack-Based Buffer Overflow (деталі)
• MoAxB #19: LeadTools Thumbnail Browser Control (lttmb14E.ocx v. 14.5.0.44) Remote Stack-Based Buffer Overflow (деталі)
• MoAxB #20: LeadTools Raster Thumbnail Object Library (LTRTM14e.DLL v. 14.5.0.44) Remote Stack-Based Buffer Overflow (деталі)

Чекаємо на наступні дні багів і нові дірки.

Чеській поліції вдалося розкрити частину злочинної групи, що через Інтернет перевела з рахунків трьох клієнтів Комерційного банку більш півтора мільйона крон.

Організаторами злочину були, за даними поліції, українські громадяни, яким допомагали три чехи - підставні особи.

За словами Милослава Коцаба з відділу економічної злочинності празької поліції, злочинці в такий же спосіб знімали гроші й у банківських установах в інших країнах світу, наприклад, у Німеччині і США.

Чеські помічники, чиї особистості встановлені, були найняті по Інтернету й інструкції одержували по телефону. Вони стверджують, що не знали, що були спільниками шахраїв.

По матеріалам http://www.securitylab.ru.

09.02.2007

У листопаді, 06.11.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://work.com.ua (http://work.ua). Про що найближчим часом сповіщу адміністрацію проекту.

На сайтах про пошук роботи я регулярно знахожу уразливості (перед цим я писав про уразливості на job.ukr.net). Тому це вже звичне явище.

Детальна інформація про уразливість з’явиться пізніше.

22.05.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Durian Web Application Server 3.02 Remote Buffer Overflow Exploit (деталі)
• WebText <= 0.4.5.2 Remote Code Execution Exploit (деталі)
• ASPTicker 1.0 (admin.asp) Login ByPass SQL Injection Vulnerability (деталі)
• Voodoo chat 1.0RC1b (users.dat) Password Disclosure Vulnerability (деталі)
• x-news 1.1 (users.txt) Remote Password Disclosure Vulnerability (деталі)
• Click N Print Coupons <= V2005.01 (key) Remote SQL Injection Exploit (деталі)
• FreeStyle Wiki <= 3.6.2 (user.dat) Password Disclosure Vulnerability (деталі)
• Enthrallweb ePages (actualpic.asp) Remote SQL Injection Exploit (деталі)
• Exploits Pagetool CMS <=1.07 (RFI) (деталі)
• Newsletter MX <= 1.0.2 (ID) Remote SQL Injection Exploit (деталі)

Нова добірка експлоітів для останніх помилок (уразливостей) в Internet Explorer. В ній представлені експлоіти для IE6 та IE7.

• MS Internet Explorer 7 (DLL-load hijacking) Code Execution Exploit PoC (деталі)
• MS Internet Explorer (FTP Server Response) DoS Exploit (MS07-002) (деталі)
• MS Internet Explorer Recordset Double Free Memory Exploit (MS07-009) (деталі)

Попередня добірка eксплоітів для Internet Explorer.

Поява більшого числа сайтів на технології Web 2.0, написаних з використанням Ajax, в основі якого лежить мова сценаріїв JavaScript, становить нову загрозу для комп’ютерної безпеки, стверджує головний вчений і засновник компанії захисту інформації Fortify Software Брайан Чесс.

Зокрема, використання Ajax робить більш уразливими корпоративні додатки.

“Дуже складно помітити різницю між діями Ajax і атакою JavaScript, - сказав Чесс. - Потенційно він (Ajax) являє собою міст між зовнішніми інтернет-додатками і внутрішніми інтранет-додатками, що знаходяться під брандмауером”.

На цьому тижні Fortify представила нову версію свого продукту Secure Coding Rulepacks, призначеного для аналізу уразливостей коду на JavaScript.

По матеріалам http://www.secblog.info.

В даній добірці уразливості в веб додатках:

• DadaIMC default configuration vulnerability (деталі)
• AnnonceScriptHP V2.0 Multiple Vulnerabilities (деталі)
• Messageriescripthp V2.0 XSS & SQL Injection (деталі)
• ProNews V1.5 XSS & SQL Injection (деталі)
• KDPics Multiple Vulnerabities (деталі)
• PhpLeague “cheminmini” File Inclusion Vulnerabilities (деталі)
• Завантаження довільних файлів в TikiWiki (деталі)
• Cross-site scripting vulnerability in forum.asp in Snitz Forums 2000 (деталі)
• SQL-ін’єкція в Autentificator (деталі)
• XSS vulnerability in CloudNine Interactive CJ Tag Board 3.0 (деталі)

The time has come for announcement of my new project - Month of Search Engines Bugs. This project will start next month. So June is a month of bugs in search engines .

The purpose of this Month of Bugs is to demonstrate the real state of security in search engines, which are the most popular sites on Internet. I will help search engines users and the web community as a whole understand all risks that search engines bring to them. I’ll also make search engines’ owners aware of the security issues of their sites.

During the month, each day I will publish vulnerabilities in the most popular search engines of the world. Cross-Site Scripting vulnerabilities will be focused on in particular. Each day I will publish vulnerabilities in different engines (minimum one publication at a time, and there will also be bonus publications).

Address of the project: http://websecurity.com.ua/category/moseb/

Additional information about the project and its rules will be published at the end of this month. June will be the hot month.