Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Oracle Application Server 10g - Directory Traversal (деталі)
• Oracle Reports Web Cartridge (RWCGI60) vulnerable to XSS (деталі)
• phpAdsNew and phpPgAds 2.0.9-pr1 vulnerability fixed (деталі)
• Kiwi CatTools TFTP server path traversal (деталі)
• Toxiclab Shoutbox Password Disclosure Vulnerability (деталі)
• Django Two Vulnerabilities (деталі)
• WebGUI User Name Script Insertion Vulnerability (деталі)
• PHP remote file inclusion vulnerability in Open Tibia Server Content Management System (OTSCMS) (деталі)
• Декілька уразливостей в додатку для партнерських програм NixieAffiliate (деталі)
• SQL-ін’єкція в системі управління змістом eXV2 (деталі)
• PHP remote file inclusion vulnerability in Adobe PHP SDK (деталі)
• Directory traversal vulnerability in Imageview 5 (деталі)
• Декілька уразливостей в RSS агрегаторі Feedsplitter (деталі)
• PHP-інклюдинг в phpQuestionnaire (деталі)
• PHP remote file inclusion vulnerability in EPNadmin (деталі)

Нещодавно, 12.08.2007, я виявив XSS уразливість в темах Blix 0.9.1 та Blix 0.9.1 Rus для WordPress. Це інша уразливість, ніж раніше згадана XSS в Blix.

Раніше я вже писав про Cross-Site Scripting дірку в темі WordPress Classic 1.5. Дана уразливість пов’язана з недостатньою фільтрацією змінної PHP_SELF.

XSS:

http://site/index.php/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Про уразливість я повідомлю розробнику теми Blix найближчим часом.

Наступне оновлення для третьої версії браузера Firefox буде містити багато важливих нововведень, що стосуються безпеки і які тому будуть не дуже помітні для тестерів програми. Про це повідомила глава відділу Mozilla, що займається безпекою.

Зокрема, планується впровадження інструмента, що буде автоматично блокувати сайти, підозрювані в поширенні шкідливих кодів. Блокувальник заснований на “чорному” списку сайтів, що створюється компанією Google.

Браузер також буде пропонувати розширені можливості по перевірці сертифікатів Secure Sockets Layer (EV SSL). Ці сертифікати використовуються на сайтах багатьох банків, фінансових установ і магазинів. Одним з перших сайтів, що почав їх використовувати, був PayPal. Після впровадження цієї функції користувачі Firefox зможуть бачити спеціальний індикатор, який буде показувати, що на сайті використовується цей тип захисту.

По матеріалам http://www.3dnews.ru.

29.03.2007

У листопаді, 29.11.2006, я знайшов Cross-Site Scripting уразливість на http://www.kyiv.ukrtelecom.ua - сайті Київської міської філії ВАТ “Укртелеком”. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.08.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена. І це дуже несерйозно для Укртелекому.

В даній добірці експлоіти в веб додатках:

• JGBBS 3.0beta1 (search.asp author) SQL Injection Exploit (деталі)
• X-ice News System 1.0 (devami.asp id) SQL Injection Vulnerability (деталі)
• WarFTP 1.65 (USER) Remote Buffer Overflow Exploit (win2k SP4) (деталі)
• WebCreator <= 0.2.6-rc3 (moddir) Remote File Inclusion Vulnerability (деталі)
• CARE2X 1.1 (root_path) Remote File Inclusion Vulnerability (деталі)
• Activist Mobilization Platform (AMP) 3.2 Remote File Include Vuln (деталі)
• Dayfox Blog 4 (postpost.php) Remote Code Execution Vulnerability (деталі)
• WSN Guest 1.21 (comments.php id) Remote SQL Injection Exploit (деталі)
• ZomPlog <= 3.7.6 Local File Inclusion Vulnerabilty (win32) (деталі)
• [0-day] Remote Oracle DBMS_AQ.ENQUEUE exploit (10g) (деталі)

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2007 року.

За першу половину поточного року хакери в Уанеті ведуть себе більш активно ніж в 2006 році. Причому доволі відчутне політичне забарвлення - в минулому році хакали різні сайти (окрім політичних), то в цьому році атакують виключно політичні сайти. Це така регіональна специфіка . Особливо в контексті майбутніх виборів.

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2007 року - за період з 01.01.2007 по 30.06.2007.

За цей час були взломані наступні сайти:

• сайт Наталії Вітренко www.vitrenko.org (південно-корейськими хакерами) - 07.02.2007 (по інформації www.podrobnosti.ua)
• сайт Автобазар avtobazar.lg.ua (хакером XSPY3X) - 01.03.2007 (по інформації void.ru)
• сайт Компартії України www.kpu.net.ua (невідомими хакерами) - 05.05.2007 (по інформації ain.com.ua)
• форум сайта Союзу молоді регіонів України (хакерами націоналістами) - 10.05.2007 (по інформації ain.com.ua)
• сайт депутата від БЮТ Дмитра Видріна (невідомими хакерами) - 13.05.2007 (по інформації ain.com.ua)
• сайт Партії Регіонів (DDoS атака “вірусом”) - 15.05.2007 (по інформації ain.com.ua)

Рейтинг хакерів:

1. хакери націоналісти (які залишили веселе повідомлення на сайті)
2. невідомі хакери (які взломали сайт Дмитра Видріна)
3. “вірус” (що атакував сайт Партії Регіонів)
4. невідомі хакери (які взломали сайт КПУ)
5. південно-корейські хакери
6. XSPY3X (який взломав сайт Автобазар)

Наприкінці року підготую звіт за друге півріччя та підведу підсумки за 2007 рік. Вже зараз активність хакерів збільшується, в зв’язку з початком передвиборчої компанії.

Хакери успішно справилися з задачею, розкривши самий надійний замок M3 від компанії Medeco, що займає 70% ринку.

Традиційна демонстрація мистецтва взлому замків на конференції DefCon, що пройшла нещодавно у Лас-Вегасі, була присвячена замкам, що закривають найважливіші двері у США - Пентагону і Білого дому. Хакери успішно справилися з задачею, розкривши самий надійний замок M3 від компанії Medeco.

Врізний M3 був взломаний за допомогою скріпки менш чим за хвилину. За словами одного з учасників групи взломщиків, сищика Марка Вебера Тобіаса, в інших фахівців на цей замок пішло б 30-35 років. “Врізний замок - дійсно серйозна проблема безпеки. Я не хотів би створювати паніки, однак він вимагає доробки”. Замок M3 прийшов на зміну двохосьовим замкам Biaxial у 2005 р.

Нагадаю, що на минулій конференції Defcon 11-літня дівчинка на ім’я Дженалін взломала один зі складних замків Kwikset, ударяючи по ньому.

По матеріалам http://www.secblog.info.

В даній добірці уразливості в веб додатках:

• Oracle Buffer Overflow in DBMS_LOGMNR.ADD_LOGFILE (деталі)
• Oracle Buffer Overflow in DBMS_LOGREP_UTIL.GET_OBJECT_NAME (деталі)
• webchat File Include Vulnerability (деталі)
• XSS in 212cafeBoard ( Verision 0.08 & 6.30 Beta ) (деталі)
• Maxtricity Tagger Password Disclosure Vulnerability (деталі)
• ZixForum <= 1.14 (Zixforum.mdb) Remote Password Disclosure Vulnerability (деталі)
• ProFTPD Controls Buffer Overflow (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Vtiger CRM (деталі)
• miniBB <= 2.0.2 (bb_func_txt.php) Remote File Include Exploit (деталі)
• WoltLab Burning Book <= 1.1.2 Remote SQL Injection Exploit PoC (деталі)
• PHPRecipeBook <= 2.35 (g_rb_basedir) Remote File Include Exploit (деталі)
• Міжсайтовий скриптінг в системі управління змістом eyeOS (деталі)
• SQL-ін’єкція у веб додатку для створення блогів xweblog (деталі)
• phpBB Prillian French Mod <= 0.8.0 Remote File Include Exploit (деталі)
• PHP remote file inclusion vulnerability in Open Tibia Server Content Management System (OTSCMS) (деталі)

Сьогодні я виявив цікаву Cross-Site Scripting уразливість в Internet Explorer.

Нещодавно я згадував про останню знайдену уразливість в Internet Explorer. Яка полягала в тому, що IE зберігав логіни та паролі при роботі з FTP у середині веб сторінки, що зберігалася на диск. Досліджуючи це питання, в виявив нову дірку в Internet Explorer.

При збереженні сторінки зі “спеціальним” URL, в коді сторінки зберігається XSS код. І відбувається виконнання XSS коду при відкритті даної сторінки (причому її відкритті в будь-якому браузері, не тільки в IE). А також при завантаженні цієї сторінки на сайт і перегляді її відвідувачами.

XSS:

http://site/--><script>alert("XSS")</script>

http://site/?--><script>alert("XSS")</script>

Дану уразливість можна назвати Post Persistent XSS (Saved XSS), котра є підкласом Persistent XSS. Подібні уразливості можуть використовуватися для доступу до локальної файлової системи.

Для прихованої атаки можна використати iframe в коді сторінки:

<iframe src='http://site/?--><script>alert("XSS")</script>' height='0' width='0'></iframe>

Дірку протестував в Internet Explorer 6, але дуже вірогідно, що уразливі як IE6, так і IE7.

Виявлена можливість обходу захисту в Adobe Flash Player (protection bypass).

Уразливі версії: Adobe Flash Player 9.0.

Подію SecurityErrorEvent можна використовувати для сканування портів.

• Design flaw in AS3 socket handling allows port probing (деталі)