Уразливість на fundux.ru
23:45 30.09.2007У квітні, 21.04.2007, я знайшов Cross-Site Scripting уразливість на проекті http://fundux.ru. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше.
У квітні, 21.04.2007, я знайшов Cross-Site Scripting уразливість на проекті http://fundux.ru. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше.
Раніше я вже писав про грудневе опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати січневого Web Application Security Professionals Survey (в якому я приймав участь).
Питання:
1) What type of organization do you work for?
a) Security vendor / consultant (60%)
b) Enterprise (9%)
c) Government (9%)
d) Educational institution (5%)
e) Other (14%)
No Answer (2%)
2) How would you rate your technical expertise in web application security?
a) Guru (21%)
b) Expert (47%)
c) Intermediate (28%)
d) Novice (2%)
e) I am Nessus (0%)
No Answer (2%)
3) What was your background before entering the web application security field?
a) Software Development (53%)
b) IT (16%)
c) QA (0%)
d) Product/Project Management (2%)
e) I’ll never tell! (2%)
f) Other (please specify) (23%)
No Answer (2%)
4) From your experience, how many security professionals “get” web application security?
a) All or almost all (0%)
b) Most (19%)
c) About half (26%)
d) Some (49%)
e) None or very few (7%)
5) What are your thoughts about the Universal XSS vulnerability in Adobe’s Acrobat Reader Plugin?
a) Really bad (53%)
b) Bad (37%)
c) Never heard of it (2%)
d) Nothing new here, move along (5%)
e) Please stop with the FUD! (2%)
6) During your web application vulnerability assessments, how many websites where that DID NOT have at least one relatively severe vulnerability?
a) All or almost all (2%)
b) Most (2%)
c) About half (2%)
d) Some (19%)
e) None or very few (74%)
7) What’s your preferred acronym for Cross Site Request Forgery?
a) CSRF (58%)
b) XSRF (19%)
c) Neither, I prefer Session Riding (7%)
d) No preference (16%)
8) Does using Ajax technology open up new website attacks?
a) Yes (9%)
b) Yes, it adds some new things (35%)
c) No, but it increases the attacks surface (40%)
d) Nothing new here, move along (5%)
e) Other (9%)
No Answer (2%)
9) Your recommendation about using web application firewalls?
a) Two thumbs up (21%)
b) One thumb up (47%)
c) Thumbs down (12%)
d) Profane gesture (9%)
No Answer (5%)
10) How would describe the current state of web browser security?
a) Rock solid (2%)
b) Could be better (51%)
c) Swiss cheese, fix it! (44%)
No Answer (2%)
11) Name your Top 3 web application security resources.
Перша трійка:
http://ha.ckers.org
http://www.owasp.org
http://jeremiahgrossman.blogspot.com
12) What are your Top 3 tools to find vulnerabilities in websites?
Перша трійка:
Paros
Burp Suite
By Hand / My Brain
13) What are the Top 3 types of website attacks we’re most likely to see a lot more of in 2007?
Перша трійка:
Cross-Site Scripting
Cross-Site Requests Forgery
Web Worms
14) What was your information security New Year’s resolution?
Перша трійка:
Less projects, more quality
To spend more time with my wife and less time thinking about security.
Finding vulnerabilities in FireFox
15) What’s the first thing you have or plan to learn/research/try/code/write in 2007?
Перша трійка:
XSS/CSRF combo attacks
Adding embedded Ruby support to a popular hex editor to make it the Emacs of reverse engineering.
Universal XSS Worm, but only as a PoC and personal information gain.
Результати опитування доволі цікаві. До речі, цього разу окрім статистичних даних, Джеремія також навів цитати опитаних спеціалістів.
Як видно з відповідей на питання 4, респонденти вважають, що не всі секюріти професіонали (і навіть лише невелика частина) розуміються на веб безпеці. Про що я також регулярно нагадую, коли пишу про дірки на секюріти сайтах. І як видно з відповідей на питання 5, більшість (як і я) вважає універсальну XSS в PDF небезпечною уразливістю. З питання 9 видно, що думки з приводу фаєрволів для веб додатків (WAF) розділилися. До речі, Джеремія серед оприлюднених цитат привів і мою, про те, що WAF зараз не дуже корисні, і що я розробив техніку обходу WAF (зокрема mod_security), про що я планую написати статтю.
З питання 6 видно, що респонденти вважають, що більшість сайтів мають серйозні уразливості. І як видно з питання 10, більшість опитаних (95%) вважає, що безпека браузерів потребує покращення. До речі, ha.ckers.org, зайнявший перше місце по результатам питання 11, є також і моїм улюбленим webappsec ресурсом. А результати питання 13 сильно перетинаються з моїми прогнозами на 2007 рік (більше XSS, фішинга та веб хробаків).
Зазначу, що в статистичних даних є невеликі помилки (не завжди збігається 100%), про що я вже повідомив Джеремії. Але результати дають змогу оцінити сучасний стан галузі.
07.05.2007
У грудні, 29.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://search.a.ua (пошукова система порталу A.UA). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше.
30.09.2007
XSS:
Дана уразливість досі не виправлена.
В даній добірці експлоіти в веб додатках:
Нещодавно вийшла нова версія браузера Firefox 2.0.0.7. Компанія Mozilla була змушена випустити оновлення безпеки, що усуває можливість експлуатації уразливості річної давнини в Apple QuickTime. Уразливості піддаються користувачі, у яких встановлений програвач Apple QuickTime і Firefox є браузером по замовчуванню.
Для захисту користувачів від подібних уразливостей, останнє виправлення відключає можливість виконання довільних сценаріїв з командного рядка за допомогою опції -chrome.
Компанія Apple у 2006 році повідомила, що у версії 7.1.5 ця уразливість усунута, що виявилося не зовсім правдою. Таким чином, користувачі Firefox і QuickTime перебували під загрозою цілий рік.
По матеріалам http://www.securitylab.ru.
P.S.
Про дану уразливість в QuickTime, котру виявив і оприлюднив pdp, я ще розповім детально.
Про те, що в пошукових системах (як глобальних, так і локальних) чимало уразливостей, зокрема XSS, я писав багато в своїх записах. В тому числі цю тему я детально висвітлив під час Місяця багів в Пошукових Системах. Локальний пошук на сайтах є важливою функцією, тому зверну вашу увагу на локальні пошуковці та проаналізую стан їх безпеки.
Локальні пошукові системи бувають декількох типів:
Причому останні пошуковці бувають двох видів: що встановлються безпосередньо на сайті (програмні або апаратно-програмні комплекси) та ті, що визиваються з сайта користувача і ведуть на сайт виробника системи (результати можуть виводитися як на сторінці сайта користувача у іфреймі, так і виводитися на сайті виробника пошуковця).
Про уразливості в різних пошукових скриптах (розроблених під окремі сайти) я писав чимало, і ще не раз згадаю, тому що дуже часто стикаюся з сайтами, що використовують діряві пошукові скрипти. Про діряві вбудовані в CMS пошукові движки я також писав неодноразово. Зупинюся детально на локальних пошукових системах сторонніх виробників.
Серед уразливих популярних локальних пошуковців я писав про наступні: PicoSearch, Яndex.Server (Free Edition та Enterprise), AltaVista local search engine, Google Custom Search Engine (що я оприлюднив в рамках MOSEB) та Google Search Appliance (а рік тому я писав про іншу XSS в Google Search Appliance).
Підводячи підсумок зазначу, що уразливості в пошукових системах, в тому числі локальних (як відомих, так і менш відомих виробників) - це дуже поширене явище. Тому всім користувачам локальних пошуковців, котрі використовуються на їх сайтах, варто приділяти увагу їх безпеці.
В даній добірці уразливості в веб додатках:
Нещодавно, 25.09.2007, вийшла нова версія WordPress 2.3.
Дана версія WordPress 2.3 - це значне оновлення движка. В цьому релізі додана підтримка тегування, оповіщень про оновлення плагінів, покращене управління URL та багато іншого.
Серед нових функцій даної версії:
1. Вбудована підтримка тегування (tagging), котру можна використовувати разом з категоріями (для своїх записів). Також додані імпортери для декількох Вордпресових плагінів для підтримки тегів, щоб можна було перенести дані з них до нової системи тегів.
2. Нова система оповіщення про оновлення плагінів.
3. Покращені механізми управління URL записів та сторінок (додана підтримка канонічних URL). Що зробить сайт більш зручним як для користувачів, так і пошукових систем.
4. Нова функція очікування огляду запису для блогів, котрі ведуть декілька авторів.
5. Новий просунутий WYSIWYG функціонал.
Нові функції для розробників:
1. Повна підтримка Atom 1.0, включно з протоколом публікації.
2. Використання jQuery, який на “800% швидше”.
3. За системою тегування, котру бачать користувачі, стоїть потужна система тахономії, що додає багато гнучкості.
4. Імпортери були перероблені, для кращого використання пам’яті. І тепер можна додавати імпортери через плагіни.
5. Через хуки та фільтри тепер можна перевизначити багато функціоналу (більше ніж раніше).
6. Новий $wpdb->prepare() підхід до виконання SQL запитів.
7. Виправлено чимало багів і зроблено чимало покращень.
05.05.2007
У грудні, 29.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.webpark.ru. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
28.09.2007
XSS:
Дана уразливість вже виправлена. Але в даному скрипті залишилися інші уразливості - Redirector та Remote XSS Include.
Redirector:
Remote XSS Include:
Дані уразливості ще потрібно буде виправити.
В даній добірці експлоіти в веб додатках: