Websecurity - Веб безпека

Сенат одноголосно підтримав резолюцію, що визначає червень 2007 року місяцем національної інтернет-безпеки (National Internet Safety Month). Хоча це не дає додаткового фінансування чи підтримки, ні до чого не зобов’язуюча резолюція попереджає американських споживачів про небезпеки Інтернету і про необхідність безпечного і відповідального поводження в онлайні.

Міністерство юстиції США відносить до інтернет-злочинів кіберстеження, кібершантаж, дитячу порнографію, інтернет-шахрайство і “крадіжку особистості”. У резолюції відзначається, що у світі понад мільярд користувачів Інтернету, причому 35 млн із них - американці шкільного віку. Більшість користувачів-учнів 5-12 класів проводять в онлайні мінімум одну годину в тиждень, а 41% не розповідають батькам, чим вони там займаються.

Відповідно до сенатської статистики, кожен четвертий учень ховає свою онлайнову діяльність, а кожен третій знає, як обійти фільтруюче ПО. 61% школярів користуються Інтернетом небезпечним чи неналежним чином, а кожен п’ятий зустрічався з тими, з ким познайомився в онлайні.

У резолюції Сенату говориться, що 47% батьків вважають свої можливості по контролю і захисту дітей від небажаних матеріалів в Інтернеті обмеженими. 61% сказали, що вони готові прийняти більш активну участь у забезпеченні інтернет-безпеки. Тепер Сенат призиває їх, а також правоохоронні органи і приватні компанії, активізуватися: займатися освітою, поширювати інформацію й учити, та заохочувати тих, хто вже щось робить для того, щоб Інтернет став більш безпечним місцем для усіх.

Всі спроби федеральної влади законодавчо обмежити приступність небажаного контента для неповнолітніх закінчилися провалом.

По матеріалам http://www.securitylab.ru.

P.S.

Добре, що Сенат звернув увагу на небезпеки в Інтернеті (на що я щоденно звертаю увагу громадськості), і я радий що Сенат оголосив червень місяцем національної інтернет-безпеки. Але вони повинні були врахувати, що я ще раніше (за місяць до них) оголосив червень Місяцем багів в пошуковцях (Month of Search Engines Bugs). Тому їм варто було вибрати інший місяць (той же липень) для своєї акції . Але все рівно це добре, що можновладці США звертають увагу на питання безпеки в Мережі.

В даній добірці експлоіти в веб додатках:

• Sami HTTP Server 2.0.1 (HTTP 404 - Object not found) DoS Exploit (деталі)
• ASP EDGE <= 1.2b (user.asp) Remote SQL Injection Vulnerability (деталі)
• RPW 1.0.2 (config.php sql_language) Remote File Inclusion Vulnerability (деталі)
• phpXD <= 0.3 (path) Remote File Inclusion Vulnerability (деталі)
• BBClone 0.31 (selectlang.php) Remote File Inclusion Vulnerability (деталі)
• vhostadmin 0.1 (MODULES_DIR) Remote File Inclusion Vulnerability (деталі)
• GPS CMS 1.2 (print.asp) Remote SQL Injection Vulnerability (деталі)
• Remote Oracle dbms_export_extension exploit (any version) Grant or revoke dba permission to unprivileged user (деталі)
• Woltlab Burning Board Lite <= 1.0.2 / Woltlab Burning Board <= 2.3.6 GetHashes over search.php (деталі)
• Exploits phpindexpage 1.0 & 1.0.1 (config.php)Remote File Include Vulnerability (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На сімнадцятий день Місяця багів в Пошукових Системах я опублікував 2 Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошуковій системі Lycos.

• MOSEB-17: Vulnerability at search.lycos.com (деталі)
• MOSEB-17 Bonus: Vulnerability at www.lycos.com (деталі)

Одна XSS уразливість в пошуці Lycos по вебу та одна XSS уразливість на сайті Lycos (в сервісі Retriever).

Очікуємо на наступний день Month of Search Engines Bugs.

New bonus vulnerability in Lycos. In this case vulnerability not at search domain, like at MOSEB-17: Vulnerability at search.lycos.com, but at main domain of Lycos (in Retriever service).

The vulnerability is at main Lycos site (www.lycos.com) in Lycos Retriever. This Cross-Site Scripting hole I found 10.06.2007.

XSS:

• alert(document.cookie)
• redirector
• html injection

The vulnerability is in query parameter:
http://www.lycos.com/retriever/search.php?rbsearch=dna&query=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Moral: surfing on search engines vendors’ sites can be risky.

Next participant of the project is Lycos search engine. It is one of the popular search engines.

The vulnerability is at Lycos (search.lycos.com) in web search. This Cross-Site Scripting hole I found 09.10.2006. When I found this hole at Lycos in that October day, I first thought about making some project with vulns in search engines (which became MOSEB).

XSS:

• alert(document.cookie)
• redirector
• html injection (PR7)

The vulnerability is in query parameter:
http://search.lycos.com/?query=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E

Also page with html injection hole has PR7. It is a sweet dream (and I made dream come true). And this is best choice for black seo guys .

Moral: searching in the web can be dangerous.

Note, that Lycos engine use Ask.com search engine. So Ask.com also responsible for this vulnerability.

P.S.

I prepared another hole at Lycos. So wait for today’s bonus post .

В даній добірці уразливості в веб додатках:

• phpcms <=- 1.1.7 Remote File Inclusion (деталі)
• PHP Live! 3.2.2 Multiple Cross-Site Scripting Vulnerabilities (деталі)
• XSS with Vbulletin (new idea !) (деталі)
• Forum AnyBoard - Sql Inyection By Firewall (деталі)
• TimberWolf 1.2.2 vulnerable to XSS (деталі)
• Fishyshoop Security Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in PT News 1.7.8 (деталі)
• SQL-ін’єкція в Runcms (деталі)
• Розкриття даних в TWiki (деталі)
• Directory traversal vulnerability in Site@School (S@S) (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На шістнадцятий день Місяця багів в Пошукових Системах я опублікував 3 Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошуковій системі My Way.

• MOSEB-16: Vulnerabilities at search.myway.com (деталі)

Всі 3 XSS уразливості в результатах пошуку My Way.

Очікуємо на наступний день Month of Search Engines Bugs.

Next participant of the project is My Way search engine. It is one of the popular meta search engines (in USA).

The vulnerabilities are at My Way (search.myway.com) in search results. These Cross-Site Scripting holes I found 27.05.2007.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• redirector
• html injection

The vulnerabilities are in searchfor, st and ptnrS parameters:
http://search.myway.com/search/AJmain.jhtml?ptnrS=mw&searchfor=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Moral: searching in meta engines can be risky.

Note, that My Way engine belongs to IAC Search & Media. So Ask.com also responsible for these vulnerabilities (as for their own at MOSEB-10 and MOSEB-10 Bonus).

Компанія Intellectual Weapons пропонує дослідникам уразливостей патентувати свої відкриття й одержувати з них прибуток, ліцензуючи інформацію розробникам уразливих додатків, їх конкурентам і виробникам продуктів ІТ-безпеки. В даний час фахівці IW розробляють відповідний сервіс.

Компанія повідомила про винахід процесу швидкого патентування і ліцензування знайдених уразливостей, але поки не доробила його до повної готовності. Мова йде про уразливості, що знайдені законним шляхом.

Деякі компанії вже скуповують уразливості для запропонування швидких патчів своїм клієнтам. Цим займається iDefense у рамках Vulnerability Contributor Program і 3Com, що відкрила “Ініціативу нульового дня”. За кожну знайдену уразливість дослідник може одержати до $10000. Якщо мати правильний контракт і працювати з урядовими агентствами, то можна одержати до $50000. Уразливості також продаються нелегально на чорному ринку.

По матеріалам http://www.securitylab.ru.

P.S.

Цікава ідея у IW . Безпека коштує грошей й інтернет компанії повинні це розуміти.

В даній добірці експлоіти в веб додатках:

• Mafia Scum Tools 2.0.0 (index.php gen) Remote File Include Exploit (деталі)
• 3Com TFTP Service <= 2.0.1 Remote Buffer Overflow Exploit (meta) (деталі)
• Vote-Pro 4.0 (poll_frame.php poll_id) Remote Code Execution Exploit (деталі)
• Oracle 10g (SYS.KUPV$FT.ATTACH_JOB) PL/SQL Injection Exploit (деталі)
• Oracle 10g SYS.KUPW$WORKER.MAIN PL/SQL Injection Exploit (деталі)
• Oracle 10g SYS.DBMS_CDC_IMPDP.BUMP_SEQUENCE PL/SQL Injection (деталі)
• ASP NEWS <= v3 (news_detail.asp) Remote SQL Injection Vulnerability (деталі)
• Exploits Oreon1.2.3 Remote File I.nclude (деталі)
• MGB <= 0.5.4.5 Exploit (деталі)
• Woltlab Burning Board 2.X/Lite search.php SQL Injection exploit (деталі)