Websecurity - Веб безпека

Виявлена можливість виконання довільного коду в Microsoft IIS. Уразливість дозволяє віддаленому користувачу виконати довільний код на цільовій системі.

Уразливі продукти: Internet Information Services (IIS) 5.1 та Windows XP.

Уразливість існує через помилку при обробці URL запитів. Віддалений користувач може за допомогою спеціально сформованих URL запитів до веб сторінки, що знаходиться на уразливому сервері, виконати довільний код на цільовій системі.

• Выполнение произвольного кода в Microsoft IIS (деталі)

В даній добірці уразливості в веб додатках:

• Drupal 4.6.11 / 4.7.5 fixes DoS issue (деталі)
• iLife iPhoto Photocasing Format String Vulnerability (деталі)
• CMS Made Simple non-permanent XSS (деталі)
• CMS Made Simple non-permanent XSS (деталі)
• SAP Internet Graphics Service (IGS) Remote Buffer Overflow (деталі)
• MkPortal “All Guests are Admin” Exploit (деталі)
• Міжсайтовий скриптінг в Macromedia ColdFusion (деталі)
• Fedora Core 6 Update: ruby-1.8.5.2-1.fc6 (деталі)
• php інклюдинг в Vitrax Premodded (деталі)
• Multiple unrestricted file upload vulnerabilities in Walter Beschmout PhpQuiz (деталі)

Три дні тому я знайшов уразливість в сервері Apache, коли досліджував безпеку одного веб сайта. Cross-Site Scripting уразливість на сторінці з 404 помилкою - це сторінка 404 Not Found, котра виводиться у випадку, коли запитана сторінка сайта не існує.

XSS:

В URL задається неіснуюча сторінка сайта, адреса якої містить необхідний код:

http://site/%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливим є Apache 2.0.54 (Debian GNU/Linux) Server.

Окрім Cross-Site Scripting атаки, при подібній уразливості також можлива атака Content Spoofing (з метою фішингу).

Подібні проблеми з XSS на 404 сторінках вже траплялися раніше (зокрема в попередніх версіях Апача) і здавалося вони вже канули в минуле. Але виявляється, ще трапляються сайти, де 404 сторінки мають XSS дірки, тому що виводять нефільтруючи адрес запитаної сторінки. Розробникам сервера та адмінам, що їм користуються, варто перерости цю проблему і зробити 404 сторінки безпечними.

Hewlett-Packard придбала SPI Dynamics, компанію, що спеціалізується на комп’ютерній безпеці.

ПЗ SPI Dynamics сканує веб-сайти і корпоративні програми на потенційні проломи безпеки. Клієнтами компанії є федеральний уряд США і великі фінансові компанії.

Тепер Hewlett-Packard буде використовувати рішення в області безпеки SPI Dynamics у своїх бізнесах-системах, таких як комерційні сайти чи додатки для роботи з фінансами.

Фахівці вважають, що Hewlett-Packard зробила такий крок у світлі недавньої покупки IBM (головного конкурента Hewlett-Packard) компанії Watchfire, що спеціалізується в області програмних продуктів для тестування безпеки.

Технології Watchfire дозволять зміцнити стратегію IBM по керуванню ризиками завдяки інтеграції в цикл розробки програмних рішень великих можливостей по забезпеченню безпеки і нормативної відповідності. При спільному використанні з програмними продуктами IBM Rational технології Watchfire допоможуть клієнтам інтегрувати у свої web-додатки засоби забезпечення безпеки вже на ранній стадії циклу розробки програмного забезпечення й ефективно застосовувати їх на всьому протязі зазначеного циклу.

Торік IBM за 1,3 млрд дол. придбала компанію Internet Security Systems Inc. (ISS), що надає послуги мережевого моніторингу і розробляє системи безпеки для серверів.

По матеріалам http://www.securitylab.ru.

P.S.

До речі, деякий час тому, Джеремія в своєму записі The web application security market is hot, hot, hot прокоментував дану ситуацію з купівлею Watchfire та SPI Dynamics. Про те, чи планує яка-небудь велика компанія купити його компанію WhiteHat, він вирішив не коментувати.

13.02.2007

У листопаді, 11.11.2006, я знайшов нову Cross-Site Scripting уразливість на відомому проекті http://context.meta.ua - системі показу контекстної реклами в пошуковці Мета. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я писав про уразливості на meta.ua, в тому числі і на context.meta.ua. І хоча Мета вже виправила масу уразливостей на context.meta.ua, про які я їм раніше повідомив (і навіть адміни проявили ініціативу і по моїй рекомендації самі пошукали й виправили ряд уразливостей), але виправили вони не до кінця. Ось вам ще одна уразливість в МетаКонтекст, яку необхідно виправити.

Детальна інформація про уразливість з’явиться пізніше.

11.07.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• F3Site <= 2.1 Remote Code Execution Exploit (деталі)
• Remotesoft .NET Explorer 2.0.1 Local Stack Overflow PoC (деталі)
• Flipper Poll 1.1.0 (poll.php root_path) Remote File Include Vulnerability (деталі)
• EQdkp <= 1.3.1 (Referer Spoof) Remote Database Backup Vulnerability (деталі)
• Photo Galerie Standard <= 1.1 (view.php) SQL Injection Vulnerability (деталі)
• KDPics <= 1.11 (exif.php lib_path) Remote File Include Vulnerability (деталі)
• Woltlab Burning Board Lite <= 1.0.2pl3e (pms.php) SQL Injection Exploit (деталі)
• PhP Generic library & framework (include_path) Remote File Include Exploit (деталі)
• XOOPS Module myAlbum-P <= 2.0 (cid) Remote BLIND SQL Injection Exploit (деталі)
• XOOPS Module debaser <= 0.92(genre.php) BLIND SQL Injection Exploit (деталі)

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіт в розширенні Tidy для PHP 5.2.3.

• PHP 5.2.3 Tidy extension Local Buffer Overflow Exploit (деталі)

Кілька днів тому в Інтернеті розпочав роботу сервіс аукціонів Wabi-sabi, де будь-який хакер може виставити на торги інформацію про нові діри. На даний момент на торги виставлено чотири лоти, у тому числі уразливість з переповненням буфера в Yahoo! Messenger 8.1 під WinXP. Початкова ціна - €2000.

Швейцарський стартап з японською назвою позіціонується як легальний сервіс, такий “eBay для хакерів”, але він відразу викликав підозру фахівців з безпеки. У своє виправдання швейцарці говорять, що вони просто хочуть витягти на світло підпільний хакерський бізнес.

По матеріалам http://www.securitylab.ru.

P.S.

Ідея цікава . Про подібний проект я періодично замислююся ще з минулої осені.

В даній добірці уразливості в веб додатках:

• SQL Injection in ig-Calendar (деталі)
• JAMWiki User Permission Security Issue (деталі)
• Serene Bach Unspecified Cross-Site Scripting Vulnerability (деталі)
• OvBB Script Insertion Vulnerability (деталі)
• SPINE Cross-Site Request Forgery Vulnerability (деталі)
• Drupal 4.6.11 / 4.7.5 fixes XSS issue (деталі)
• Cross-site scripting (XSS) vulnerability in MyBB (деталі)
• Cross-site scripting vulnerability in Perpetual Motion Interactive Systems DotNetNuke (деталі)
• php інклюдинг в p4CMS (деталі)
• Vulnerability in The Date Library in John Lim ADOdb Library for PHP (деталі)

Виявлені проблеми з дозволеними методами HTTP в Apache (unfiltered HTTP methods).

Не перевіряється відповідність методу запиту RFC 2616, що може привести, наприклад, до міжсайтового скриптінгу.

• Apache/PHP REQUEST_METHOD XSS Vulnerability (деталі)