Websecurity - Веб безпека

Продовжу тему уразливостей на сайтах спецслужб. Після попередніх дірок на сайтах американських спецслужб ЦРУ (CIA), ФБР (FBI) та АНБ (NSA), зверну увагу на безпеку веб сайтів британських спецслужб.

У лютому, 22.02.2007, я знайшов уразливість на www.sis.gov.uk - на сайті Секретної Розвідувальної Служби Великобританії (MI6) - Britain’s Secret Intelligence Service (SIS). Це була UXSS уразливість. Як я сьогодні перевірив, більше pdf файлів на даному сайті немає - вони явно чули про UXSS уразливості (молодці), тому вирішили прибрати pdf-ки з сайта, тим самим виправивши дані уразливості.

Але сьогодні я знайшов нову Cross-Site Scripting уразливість на http://www.sis.gov.uk (в пошуці по сайту). Про що найближчим часом сповіщу адміністрацію сайта. Як я писав в своєму проекті MOSEB, XSS дірки доволі поширені в глобальних та локальних пошукових системах.

XSS:

• alert(document.cookie)
• цікавий
• html включення

У ході досліджень, проведених компанією Sophos, що спеціалізується в області інформаційної безпеки, з’ясувалося, що Росія й Україна входять у число лідируючих країн по кількості заражених вірусами інтернет-сторінок. Фахівці Sophos прийшли до такого висновку, вивчивши вміст 8 мільярдів сторінок.

Перше місце по кількості вірусів зайняв китайський сегмент Мережі. У Китаї виявилося 44,8 відсотка від загального числа заражених сторінок. Друге місце зайняли Сполучені Штати Америки з 20,8 відсотка інфікованих сайтів. Трійку лідерів з показником у 11,3 відсотки замкнула Росія. Четверте місце зайняла Україна з показником у 7,7 відсотка.

У порівнянні з показниками липневих досліджень, проведених британською Sophos, Китай трохи здав свої позиції в рейтингу: місяцем раніше (а мова йде про дані за серпень 2007) на Китай приходилося 53,9 відсотка інфікованих веб-сторінок.

По матеріалам http://www.korrespondent.net.

05.08.2007

В січні, 28.01.2007, я знайшов Cross-Site Scripting уразливість у веб-додатку Site-UP. Це файловий веб-менеджер. Саму дірку я знайшов на сайті розробника Site-UP (www.siteup.ru), де є онлайн демонстрація додатку.

Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам додатку.

18.09.2007

XSS:

POST запит на сторінці http://site/siteuprus/index.cgi:

<script>alert(document.cookie)</script>В полях: Искать, Укажите маску для поиска.

Уразливість у веб-додатку Site-UP 2.64 та попередніх версіях. Розробник додатку мав виправити дірку в наступній версії програми.

В даній добірці експлоіти в веб додатках:

• Xoops Module Zmagazine 1.0 (print.php) Remote SQL Injection Exploit (деталі)
• Xoops Module XFsection <= 1.07 (articleid) BLIND SQL Injection Exploit (деталі)
• Scorp Book 1.0 (smilies.php config) Remote File Inclusion Vulnerability (деталі)
• MyBlog: PHP and MySQL Blog/CMS software RFI Vulnerability (деталі)
• PcP-Guestbook 3.0 (lang) Local File Inclusion Vulnerabilities (деталі)
• ScarNews 1.2.1 (sn_admin_dir) Local File Inclusion Exploit (деталі)
• WitShare 0.9 (index.php menu) Local File Inclusion Vulnerability (деталі)
• Battle.net Clan Script for PHP 1.5.1 Remote SQL Injection Vulnerability (деталі)
• PHP121 Instant Messenger 2.2 Local File Inclusion Vulnerability (деталі)
• Exploits McRefer PHP inclusion (деталі)

Раніше я вже писав про листопадове опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати грудневого Web Application Security Professionals Survey (в якому я участі не приймав).

Цього разу в опитуванні прийняли участь 63 респонденти, професіонали в галузі веб вебзпеки. Більшість спеціалістів радять проводити перевірки безпеки після кожної (значної) зміни коду на сайті чи у веб додатку. Комерційні сканери безпеки використовує невелика частина опитаних, що узгоджується з результатами попередніх опитувань.

Стосовно оприлюднення знайдених уразливостей то значна частина голосів опитаних розділилася між відповідальним оприлюдненням (що я практикую), та не оприлюдненням. Детальна інформація про дане опитування на сайті Джеремії.

Найближчим часом підготую інформацію про січневе опитування.

Німецька поліція заарештувала групу людей, що підозрюються в так званому “фішингу” - інтернет-шахрайстві, за допомогою якого злочинці одержують доступ до особистих даних користувачів всесвітньої мережі.

Як повідомили представники федеральної поліції ФРН, у результаті 18-місячного розслідування в Кельні, Дюссельдорфі, Франкфурті-на-Майні та ряді інших міст були “арештовані 10 чоловік, серед яких - громадяни Німеччини, Росії й України”.

Згідно даним правоохоронних органів, арештовані підозрюються в тому, що посилали клієнтам банків послання по електронній пошті нібито від компаній Deutsche Telekom і eBay Inc. з вкладеними в них в якості додатків вірусами-троянами. Саме ці програми допомагали заволодіти особистими даними жертв.

По твердженнях поліції, збиток від дій міжнародної групи склав “багато сотень тисяч євро”, а самі підозрювані вели “розкішний спосіб життя”.

По матеріалам http://ain.com.ua.

В даній добірці уразливості в веб додатках:

• Buffer overflow in D-Link TFTP Server 1.0 (DoS) (деталі)
• Mephisto blog is vulnerable to XSS (деталі)
• Horde Webmail Multiple HTML Injection vulnerability (деталі)
• EIQ Networks Network Security Analyzer DoS Vulnerability (деталі)
• CcCounter 2.0 cross-site scripting vulnerability (деталі)
• CVSTrac 2.0.0 Denial of Service (DoS) vulnerability (деталі)
• Vulnerability in Sun Java System Web Server 6.0 and 6.1 (деталі)
• Vulnerability in Hosting Controller 6.1 (деталі)
• Декілька уразливостей в обробці вхідних даних в Flatnuke (деталі)
• Cross-site scripting (XSS) vulnerability in iG Shop 1.4 (деталі)
• Cross-site scripting vulnerability in iG Shop 1.4 (деталі)
• Недостатня обробка вхідних даних в Softerra PHPLibrary (деталі)
• Недостатня обробка вхідних даних в Claroline (деталі)
• Webdrivers Simple Forum (message_details.php) SQL Injection Exploit (деталі)
• Декілька уразливостей в MailEnable (деталі)

В WordPress виявлений міжсайтовий скриптінг і SQL-ін’єкція.

Уразливі версії: WordPress версії до 2.2.3, WordPress MU версії до 1.2.5a.

Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад і виконати довільні SQL команди в базі даних додатку.

1. Уразливість існує через недостатню обробку вхідних даних деяких параметрів (наприклад, у параметрі “post_type” при обробці URL, що передається функції “pingback.extensions.getPingbacks()” методу XMLRPC). Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільні SQL команди в базі даних додатку.

2. Віддалений користувач може одержати привілею “unfiltered_html” шляхом додавання поля “no_filter”. Віддалений користувач може за допомогою спеціально сформованого запиту опублікувати довільний HTML код у блозі.

Дані уразливості вже виправлені в WordPress 2.2.3.

• Межсайтовый скриптинг и SQL-инъекция в WordPress (деталі)

Деякий час тому, на сторінках MySpace був знайдений шкідливий код, що встановлює бота FluxBot на ПК жертви.

Дослідники Internet Storm Center провели дослідження і знайшли, що сторінки сервісу MySpace допомагали зловмисникам заражати комп’ютери користувачів. Йоханнес Ульріх, головний технолог Internet Storm Center, повідомляє, що шкідливий код встановлює FluxBot, новий небезпечний вид ботів. Оскільки бот не має центрального керування і замість цього покладається на комплекс мереж проксі серверів, що постійно змінюються, його дуже важко знайти і нейтралізувати.

“Хакерам вдалося заразити біля двох десятків сторінок. Зараз, MySpace працює над вирішенням цієї проблеми”, - сказав Ульріх.

Також, співробітники Internet Storm Center пояснили, що шкідливий код використовує уразливість Microsoft Internet Explorer, що була усунута ще в середині 2006 року. “Усе ще є багато людей, що користуються необновленою версією цього браузера. При потраплянні до такого користувача, бот встановлюється на ПК”.

Йоханнес Ульріх розповів, що MySpace не є новою мішенню для зловмисників. “MySpace користується такою популярністю, тому що дозволяє користувачам створювати і керувати своїми власними веб-сторінками, а це залучає велику кількість хакерів, що прагнуть поширювати свої віруси через такі сторінки”.

По матеріалам http://www.securitylab.ru.

P.S.

Проблем з безпекою на Майспейсі завжди вистачало. Про що засвідчив Місяць багів в MySpace (для якого я також знайшов декілька уразливостей). Тому адміністраторам порталу варто більше слідкувати за його безпекою.

24.12.2006

CodeIDE - це цікавий проект. Це веб система розробки програм на різних мовах (прямо в браузері). На даний момент підтримуються наступні мови: Basic, Pascal, C++, Perl, Java Script, HTML, Lisp та Math. Та ще планують додати підтримку інших мов програмування.

Проект codeide.com - по суті це онлайновий інтерпретатор. Даний проект схожий на мій MustLive Perl Pascal Programs Interpreter (але з упором на IDE), про вихід версії Perl Pas Interpreter v.1.2.8 я писав нещодавно.

Так от, учора на сайті проекту codeide.com я знайшов Cross-Site Scripting уразливість. Про що найближчим часом сповіщу адміністрацію проекту. Про ще одну уразливість - XSS, яка дозволяла редирекцію, я ще вчора повідомив головному розробнику системи (дана уразливість є прикладом Cross-Language Scripting).

Детальна інформація про уразливість з’явиться пізніше.

16.09.2007

XSS:

• alert(document.cookie)
• alert(document.cookie) (на http://basic.siteheart.com)
• цікавий
• html включення

Дана уразливість досі не виправлена (на обох доменах codeide.com та basic.siteheart.com).