Архів за Вересень, 2007

Уразливість на fundux.ru

23:45 30.09.2007

У квітні, 21.04.2007, я знайшов Cross-Site Scripting уразливість на проекті http://fundux.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Опитування спеціалістів з Web Application Security (січень)

22:53 30.09.2007

Раніше я вже писав про грудневе опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати січневого Web Application Security Professionals Survey (в якому я приймав участь).

Питання:

1) What type of organization do you work for?
a) Security vendor / consultant (60%)
b) Enterprise (9%)
c) Government (9%)
d) Educational institution (5%)
e) Other (14%)
No Answer (2%)

2) How would you rate your technical expertise in web application security?
a) Guru (21%)
b) Expert (47%)
c) Intermediate (28%)
d) Novice (2%)
e) I am Nessus (0%)
No Answer (2%)

3) What was your background before entering the web application security field?
a) Software Development (53%)
b) IT (16%)
c) QA (0%)
d) Product/Project Management (2%)
e) I’ll never tell! (2%)
f) Other (please specify) (23%)
No Answer (2%)

4) From your experience, how many security professionals “get” web application security?
a) All or almost all (0%)
b) Most (19%)
c) About half (26%)
d) Some (49%)
e) None or very few (7%)

5) What are your thoughts about the Universal XSS vulnerability in Adobe’s Acrobat Reader Plugin?
a) Really bad (53%)
b) Bad (37%)
c) Never heard of it (2%)
d) Nothing new here, move along (5%)
e) Please stop with the FUD! (2%)

6) During your web application vulnerability assessments, how many websites where that DID NOT have at least one relatively severe vulnerability?
a) All or almost all (2%)
b) Most (2%)
c) About half (2%)
d) Some (19%)
e) None or very few (74%)

7) What’s your preferred acronym for Cross Site Request Forgery?
a) CSRF (58%)
b) XSRF (19%)
c) Neither, I prefer Session Riding (7%)
d) No preference (16%)

8) Does using Ajax technology open up new website attacks?
a) Yes (9%)
b) Yes, it adds some new things (35%)
c) No, but it increases the attacks surface (40%)
d) Nothing new here, move along (5%)
e) Other (9%)
No Answer (2%)

9) Your recommendation about using web application firewalls?
a) Two thumbs up (21%)
b) One thumb up (47%)
c) Thumbs down (12%)
d) Profane gesture (9%)
No Answer (5%)

10) How would describe the current state of web browser security?
a) Rock solid (2%)
b) Could be better (51%)
c) Swiss cheese, fix it! (44%)
No Answer (2%)

11) Name your Top 3 web application security resources.

Перша трійка:
http://ha.ckers.org
http://www.owasp.org
http://jeremiahgrossman.blogspot.com

12) What are your Top 3 tools to find vulnerabilities in websites?

Перша трійка:
Paros
Burp Suite
By Hand / My Brain

13) What are the Top 3 types of website attacks we’re most likely to see a lot more of in 2007?

Перша трійка:
Cross-Site Scripting
Cross-Site Requests Forgery
Web Worms

14) What was your information security New Year’s resolution?

Перша трійка:
Less projects, more quality
To spend more time with my wife and less time thinking about security.
Finding vulnerabilities in FireFox

15) What’s the first thing you have or plan to learn/research/try/code/write in 2007?

Перша трійка:
XSS/CSRF combo attacks
Adding embedded Ruby support to a popular hex editor to make it the Emacs of reverse engineering.
Universal XSS Worm, but only as a PoC and personal information gain.

Результати опитування доволі цікаві. До речі, цього разу окрім статистичних даних, Джеремія також навів цитати опитаних спеціалістів.

Як видно з відповідей на питання 4, респонденти вважають, що не всі секюріти професіонали (і навіть лише невелика частина) розуміються на веб безпеці. Про що я також регулярно нагадую, коли пишу про дірки на секюріти сайтах. І як видно з відповідей на питання 5, більшість (як і я) вважає універсальну XSS в PDF небезпечною уразливістю. З питання 9 видно, що думки з приводу фаєрволів для веб додатків (WAF) розділилися. До речі, Джеремія серед оприлюднених цитат привів і мою, про те, що WAF зараз не дуже корисні, і що я розробив техніку обходу WAF (зокрема mod_security), про що я планую написати статтю.

З питання 6 видно, що респонденти вважають, що більшість сайтів мають серйозні уразливості. І як видно з питання 10, більшість опитаних (95%) вважає, що безпека браузерів потребує покращення. До речі, ha.ckers.org, зайнявший перше місце по результатам питання 11, є також і моїм улюбленим webappsec ресурсом. А результати питання 13 сильно перетинаються з моїми прогнозами на 2007 рік (більше XSS, фішинга та веб хробаків).

Зазначу, що в статистичних даних є невеликі помилки (не завжди збігається 100%), про що я вже повідомив Джеремії. Але результати дають змогу оцінити сучасний стан галузі.

Уразливість на search.a.ua

18:42 30.09.2007

07.05.2007

У грудні, 29.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://search.a.ua (пошукова система порталу A.UA). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

30.09.2007

XSS:

Дана уразливість досі не виправлена.

Добірка експлоітів

16:19 30.09.2007

В даній добірці експлоіти в веб додатках:

  • audioCMS arash 0.1.4 (arashlib_dir) Remote File Inclusion Vulnerabilities (деталі)
  • Gallery 1.2.5 (GALLERY_BASEDIR) Multiple RFI Vulnerabilities (деталі)
  • NMDeluxe 1.0.1 (footer.php template) Local File Inclusion Exploit (деталі)
  • XOOPS Module tsdisplay4xoops 0.1 Remote File Inclusion Vulnerability (деталі)
  • StoreFront for Gallery (GALLERY_BASEDIR) RFI Vulnerabilities (деталі)
  • Cabron Connector 1.1.0-Full Remote File Inclusion Vulnerability (деталі)
  • MiniGal b13 (image backdoor) Remote Code Execution Exploit (деталі)
  • Joomla Component JoomlaPack 1.0.4a2 RE (CAltInstaller.php) RFI (деталі)
  • AjPortal2Php (PagePrefix) Remote File Inclusion Vulnerabilities (деталі)
  • Advanced Poll 2.0.0 >= 2.0.5-dev textfile RCE (деталі)

Вийшла нова версія Mozilla Firefox 2.0.0.7

22:34 29.09.2007

Нещодавно вийшла нова версія браузера Firefox 2.0.0.7. Компанія Mozilla була змушена випустити оновлення безпеки, що усуває можливість експлуатації уразливості річної давнини в Apple QuickTime. Уразливості піддаються користувачі, у яких встановлений програвач Apple QuickTime і Firefox є браузером по замовчуванню.

Для захисту користувачів від подібних уразливостей, останнє виправлення відключає можливість виконання довільних сценаріїв з командного рядка за допомогою опції -chrome.

Компанія Apple у 2006 році повідомила, що у версії 7.1.5 ця уразливість усунута, що виявилося не зовсім правдою. Таким чином, користувачі Firefox і QuickTime перебували під загрозою цілий рік.

По матеріалам http://www.securitylab.ru.

P.S.

Про дану уразливість в QuickTime, котру виявив і оприлюднив pdp, я ще розповім детально.

Уразливості в локальних пошуковцях

19:42 29.09.2007

Про те, що в пошукових системах (як глобальних, так і локальних) чимало уразливостей, зокрема XSS, я писав багато в своїх записах. В тому числі цю тему я детально висвітлив під час Місяця багів в Пошукових Системах. Локальний пошук на сайтах є важливою функцією, тому зверну вашу увагу на локальні пошуковці та проаналізую стан їх безпеки.

Локальні пошукові системи бувають декількох типів:

  • власні скрипти (зроблені під сайт, в тому числі й безкоштовні скрипти),
  • вбудовані пошукові движки в CMS,
  • пошукові системи сторонніх виробників (як відомих пошукових систем, так і менш відомих вендорів).

Причому останні пошуковці бувають двох видів: що встановлються безпосередньо на сайті (програмні або апаратно-програмні комплекси) та ті, що визиваються з сайта користувача і ведуть на сайт виробника системи (результати можуть виводитися як на сторінці сайта користувача у іфреймі, так і виводитися на сайті виробника пошуковця).

Про уразливості в різних пошукових скриптах (розроблених під окремі сайти) я писав чимало, і ще не раз згадаю, тому що дуже часто стикаюся з сайтами, що використовують діряві пошукові скрипти. Про діряві вбудовані в CMS пошукові движки я також писав неодноразово. Зупинюся детально на локальних пошукових системах сторонніх виробників.

Серед уразливих популярних локальних пошуковців я писав про наступні: PicoSearch, Яndex.Server (Free Edition та Enterprise), AltaVista local search engine, Google Custom Search Engine (що я оприлюднив в рамках MOSEB) та Google Search Appliance (а рік тому я писав про іншу XSS в Google Search Appliance).

Підводячи підсумок зазначу, що уразливості в пошукових системах, в тому числі локальних (як відомих, так і менш відомих виробників) - це дуже поширене явище. Тому всім користувачам локальних пошуковців, котрі використовуються на їх сайтах, варто приділяти увагу їх безпеці.

Добірка уразливостей

16:18 29.09.2007

В даній добірці уразливості в веб додатках:

  • CWB PRO Version 1.5 (INCLUDE_PATH) Remote File Include Vulnerabilites (деталі)
  • CWB PRO Version 1.5 (INCLUDE_PATH) Remote File Include Vulnerabilites (деталі)
  • Flexphpnews 0.0.5 (news.php newsid) Remote SQL Injection Vulnerability (деталі)
  • MapLab MS4W 2.2.1 Remote File Inclusion Vulnerability (деталі)
  • PHP-FUSION Arcade Module (cid) Remote SQL Injection Vuln (деталі)
  • RSPA Remote File Inclusion (деталі)
  • MySpeach <= 3.0.7 Remote/Local File Inclusion Vulnerability (деталі)
  • PHP-інклюдинг в Multi-Page Comment System (деталі)
  • Directory traversal vulnerability in phpManta (деталі)
  • Search path vulnerability in OpenBase SQL (деталі)
  • Міжсайтовий скриптінг в Sun Java System Messaging Server (деталі)
  • Міжсайтовий скриптінг в cPanel (деталі)
  • Cross-site scripting vulnerability in Immediacy CMS (Immediacy .NET CMS) 5.2 (деталі)
  • Rama CMS <= 0.68 (Cookie: lang) Local File Include Exploit (деталі)
  • SQL-ін’єкція в Drupal Extended Tracker (деталі)

Вийшов WordPress 2.3

21:37 28.09.2007

Нещодавно, 25.09.2007, вийшла нова версія WordPress 2.3.

Дана версія WordPress 2.3 - це значне оновлення движка. В цьому релізі додана підтримка тегування, оповіщень про оновлення плагінів, покращене управління URL та багато іншого.

Серед нових функцій даної версії:

1. Вбудована підтримка тегування (tagging), котру можна використовувати разом з категоріями (для своїх записів). Також додані імпортери для декількох Вордпресових плагінів для підтримки тегів, щоб можна було перенести дані з них до нової системи тегів.
2. Нова система оповіщення про оновлення плагінів.
3. Покращені механізми управління URL записів та сторінок (додана підтримка канонічних URL). Що зробить сайт більш зручним як для користувачів, так і пошукових систем.
4. Нова функція очікування огляду запису для блогів, котрі ведуть декілька авторів.
5. Новий просунутий WYSIWYG функціонал.

Нові функції для розробників:

1. Повна підтримка Atom 1.0, включно з протоколом публікації.
2. Використання jQuery, який на “800% швидше”.
3. За системою тегування, котру бачать користувачі, стоїть потужна система тахономії, що додає багато гнучкості.
4. Імпортери були перероблені, для кращого використання пам’яті. І тепер можна додавати імпортери через плагіни.
5. Через хуки та фільтри тепер можна перевизначити багато функціоналу (більше ніж раніше).
6. Новий $wpdb->prepare() підхід до виконання SQL запитів.
7. Виправлено чимало багів і зроблено чимало покращень.

Уразливість на www.webpark.ru

19:42 28.09.2007

05.05.2007

У грудні, 29.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.webpark.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.09.2007

XSS:

Дана уразливість вже виправлена. Але в даному скрипті залишилися інші уразливості - Redirector та Remote XSS Include.

Redirector:

Remote XSS Include:

Дані уразливості ще потрібно буде виправити.

Добірка експлоітів

17:36 28.09.2007

В даній добірці експлоіти в веб додатках:

  • Pixaria Gallery 1.x (class.Smarty.php) Remote File Include Vulnerability (деталі)
  • Mambo/Joomla Component Article 1.1 Remote File Inclusion Vulnerability (деталі)
  • LS simple guestbook (v1) Remote Code Execution Vulnerability (деталі)
  • XAMPP for Windows <= 1.6.0a mssql_connect() Remote BoF Exploit (деталі)
  • CNStats 2.9 (who_r.php bj) Remote File Inclusion Vulnerability (деталі)
  • Papoo <= 3.02 (kontakt menuid) Remote SQL Injection Exploit (деталі)
  • SunShop Shopping Cart 3.5/4.0 (abs_path) RFI Vulnerabilities (деталі)
  • openMairie 1.10 (scr/soustab.php) Local File Inclusion Vulnerability (деталі)
  • Web Slider 0.6 (path) Remote File Inclusion Vulnerabilities (деталі)
  • AT Contenator <= v1.0 (Root_To_Script) Remote File Include Exploit (деталі)