Websecurity - Веб безпека

Ось і настав час для анонсу мого нового проекту - Місяця багів в Пошукових Системах (Month of Search Engines Bugs). Даний проект відбудеться в наступному місяці. Тому червень - це місяць багів в пошукових системах .

Метою даного Місяця багів є демонстрація реального стану справ з безпекою в пошукових системах, котрі є найбільш популярними сайтами в Інтернеті. Щоб користувачі пошукових систем та в цілому веб спільнота розуміли всі ризики, що несуть їм пошукові системи. А також щоб привернути увагу власників пошукових систем до питань безпеки своїх сайтів.

На протязі місяця будуть щоденно публікуватися уразливості в найбільш популярних пошукових системах світу. Зокрема Cross-Site Scripting уразливості. Кожного дня будуть публікуватися уразливості в різних системах (мінімум по одній публікації, але іноді будуть і бонусні публікації).

Адреса проекту: http://websecurity.com.ua/category/moseb/

Додаткова інформація про проект і його правила буде опублікована в кінці поточного місяця. Червень буде спекотним місяцем.

08.02.2007

У листопаді, 06.11.2006, я знайшов Cross-Site Scripting уразливості на популярному проекті http://www.newsru.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.05.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• AIDeX Mini-WebServer <= 1.1 Remote Denial of Service Crash Exploit (деталі)
• PHP-Update <= 2.7 (admin/uploads.php) Remote Code Execution Exploit (деталі)
• phpBB2 Plus 1.53 (Acronym Mod) Remote SQL Injection Vulnerability (деталі)
• WYWO - InOut Board 1.0 Multiple Remote Vulnerabilities (деталі)
• aFAQ 1.0 (faqDsp.asp catcode) Remote SQL Injection Vulnerability (деталі)
• EasyNews PRO News Publishing 4.0 Password Disclosure Vulnerability (деталі)
• Durian Web Application Server 3.02 Denial of Service Exploit (деталі)
• Enthrallweb eCoupons 1.0(myprofile.asp) Remote Pass Change Exploit (деталі)
• SH-News 0.93 (misc.php) Remote File Include Exploit (деталі)
• Enthrallweb eClassifieds 1.0 Remote User Pass Change Exploit (деталі)

Стосовно уразливостей в локальному пошуковці Яндекса, про що я писав в записі Уразливості в пошуці Яndex.Server, з котрими мені доводилося багато разів стикатися, то зазначу. Що уразливими є обидві версії: Free Edition та Enterprise.

Пошуковець Яndex.Server постачається в двох версіях: Яndex.Server Free Edition та Яndex.Server Enterprise. З недавніх пір Яндекс почав розповсюджувати свого локального пошуковця у версії Free Edition (раніше була Lite версія), котра є повістю безкоштовною. Ну і залишилась друга версія - Enterprise (за ціною від $100000).

Мені траплялися диряві сайті з обома версіями Яndex.Server. У випадку Free Edition існує вимога, що треба на сторінках пошуку мати обов’язково лінку на сайт Яндекса (причому явно не всі сайти, що мали згадку в своєму пошуці “про Яндекс”, були на Free, деякі явно мали Enterprise версію). Також мені траплялися сайти, що використовують даний локальний пошуковець (по інформації від самого Яндекса), але без згадки про це, тобто використовували Enterprise версію. І уразливості також мали місце.

Тому Яндексу треба зайнятися підвищенням безпеки свого продукту (особливо враховуючи ціну Enterprise версії). А користувачам обох версій системи треба приділяти увагу аудиту безпеки своїх сайтів.

В даній добірці експлоіти в веб додатках:

• Limbo CMS Module event 1.0 Remote File Include Vulnerability (деталі)
• Fantastic News <= 2.1.4 Multiple Remote File Include Vulnerabilities (деталі)
• Bubla <= 1.0.0rc2 (bu/process.php) Remote File Include Vulnerability (деталі)
• Yrch 1.0 (plug.inc.php path variable) Remote File Include Exploit (деталі)
• Enthrallweb eNews 1.0 Remote User Pass Change Exploit (деталі)

За станом на 1 січня 2007 року на обліку в МВС Білорусії знаходилися 1300 кіберзлочинців - хакерів, кардерів, інтернет-шахраїв. Про це повідомив начальник управління по розкриттю злочинів у сфері високих технологій МВС Білорусії Ігор Черненко. За його словами, 97% злочинів у сфері комп’ютерної інформації зроблено дорослими людьми, причому більш третини з них зробили жінки.

Усього за минулий рік у Білорусії зроблено 847 злочинів з використанням комп’ютерної техніки, у тому числі 334 - проти інформаційної безпеки. У першому кварталі таких злочинів зафіксовано 257, з яких 196 - проти інформаційної безпеки.

Як відзначив І.Черненко, кіберзлочинність у Білорусії перетерпіла за останні роки значні зміни. Так, якщо з 1998 по 2001 роки в її структурі переважали факти розкрадань із закордонних інтернет-магазинів по викрадених реквізитах кредитних карт, то зараз велике поширення одержали хакерські атаки на сайти державних і комерційних установ, впровадження в процес обміну електронними даними.

В усіх регіонах Білорусії також відзначені випадки розкрадання коштів по підроблених кредитних картах, несанкціонований доступ до комп’ютерної інформації та її модифікація, створення підробних сайтів банківських установ та інші злочини в сфері високих технологій, розробка і використання шкідливих програм.

Говорячи про збитки, що наносяться білоруськими киберзлочинцями, І.Черненко навів як приклад так звану “справу Павловича”. Цей громадянин за участю українських хакерів організував в Інтернеті злочинне співтовариство, що займалося розкраданням з банківських структур реквізитів кредитних карт, їхнім продажем і виготовленням підроблених кредитних карт. Збиток, нанесений діяльністю групи Павловича міжнародним платіжним системам, оцінюється в 15 млн. доларів США. В даний час він засуджений у Білорусії по статтях 212 (розкрадання майна за допомогою комп’ютерної техніки) і 222 (реалізація підроблених платіжних засобів).

По матеріалам http://www.securitylab.ru.

В даній добірці уразливості в веб додатках:

• DuWare DuDownloads SQL Injection Vuln (деталі)
• CM68 News <= 12.02.06 (addpth) Remote File Inclusion Vulnerability (деталі)
• DuWare DuPortal SQL Injection Vuln (деталі)
• PhpBB Toplist 1.3.7 Xss Vuln. (деталі)
• Animated Smiley Generator File Include Vul. (деталі)
• mxBB Module Profile Control Panel 0.91c Remote File Include Vulnerability (деталі)
• Численні уразливості в php-revista (деталі)
• Multiple cross-site scripting vulnerabilities in Luke Hutteman SharpReader (деталі)
• SQL-ін’єкція в ssLinks (деталі)
• Eval injection vulnerability in Tagger LE (code execution) (деталі)

Кожна десята сторінка, перевірена інженерами Google, містила програми-віруси, що здатні заразити комп’ютери користувачів.

Програмісти інтернет-компанії досліджували мільярди сайтів. Близько 450 тисяч з них були здатні завантажити небезпечні програми, такі як шпигунські програми чи віруси, без відому користувача. Ще 700 тисяч сторінок, потенційно містили програми, здатні завдати шкоди комп’ютерам користувачів.

У Google вирішили зайнятися цією проблемою. Програмісти почали роботу з ідентифікації в мережі усіх веб-сторінок, що містять небезпечні програми.

По матеріалам http://obozrevatel.com.

P.S.

Вже деякий час, як можна спостерігати в Гуглі попередження в результатах пошуку, що звертають увагу на небезпечність деяких сайтів (по оцінці Гугла). Компанія вже давно працює в цьому напрямку, і результати її роботи стають доступними користувачам.

07.02.2007

У листопаді, 04.11.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://auction.ua (інтернет аукціон). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

12.05.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• PHP-Update <= 2.7 str_replace() Multiple Vulnerabilities Exploit (деталі)
• Cahier de texte 2.2 Bypass General Access Protection Exploit (деталі)
• The Classified Ad System 1.0 (main) Remote SQL Injection Exploit (деталі)
• logahead UNU edition 1.0 Remote Upload File / Code Execution Vuln (деталі)
• myPHPCalendar 10192000b (cal_dir) Remote File Include Vulnerabilities (деталі)
• mxBB Module pafiledb <= 2.0.1b Remote File Include Vulnerability (деталі)
• Cacti <= 0.8.6i cmd.php popen() Remote Injection Exploit (деталі)
• Exploits Open Newsletter <= 2.* Muliple Vulnerabilities (деталі)
• Ixprim 1.2 Remote Blind SQL Injection Exploit (деталі)
• File Upload Manager <= 1.0.6 (detail.asp) Remote SQL Injection Exploit (деталі)