Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Xoops Module Kshop <= 1.17 (id) Remote SQL Injection Exploit (деталі)
• Xoops Module Virii Info <= 1.10 (index.php) Remote File Include Exploit (деталі)
• SmodCMS <= 2.10 (Slownik ssid) Remote SQL Injection Exploit (деталі)
• SmodBIP <= 1.06 (aktualnosci zoom) Remote SQL Injection Exploit (деталі)
• cattaDoc 2.21 (download2.php fn1) Remote File Disclosure Vulnerability (деталі)
• Beryo 2.0 (downloadpic.php chemin) Remote File Disclosure Vulnerability (деталі)
• FileCOPA FTP Server <= 1.01 (LIST) Remote Buffer Overflow Exploit (2) (деталі)
• PHP-Nuke Module eBoard 1.0.7 GLOBALS[name] LFI Exploit (деталі)
• ScarAdControl 1.1 Remote/Local File Inclusion Vulnerabilities (деталі)
• OVidentia 5.x Series Remote File Include (деталі)

В травні цього року, ще до BlackHat, пройшла конференція BlueHat. Котру відвідав RSnake, про що він розповів в себе на сайті. Дана конференція на тему інформаційної безпеки була організована компанією Microsoft.

На конференції він зробив доповідь та зустрівся з експертами в галузі безпеки та представниками секюріті команди Microsoft, а також з командою IE. З командою розробників Internet Explorer він обговорив питання безпеки даного браузера.

З цього приводу в записі BlueHat Errata, він зазначає, що існують деякі неточності з приводу IE, які поширені в Мережі, і котрі треба спростувати. По-перше, в IE 7 так і не був виправлений баг (як дехто вважав), що дозволяв на сторінках де не встановлене кодування (charset), перевизначати його через фрейм. Цей баг може використовуватися для подальших атак. По-друге HTTPOnly кукіси не можуть бути прочитаними через XMLHTTPRequest в IE 7 (як дехто вважав). Але з іншої сторони, в Firefox кукіси можуть бути прочитаними через XMLHTTPRequest, і враховуючи, що в ньому зараз вводиться підтримка HTTPOnly кукісів, то це є проблемою.

Також він виклав фотки з конференції з додатковими коментарями.

В mod_proxy можливий Denial of Service. Уразливі версії: Apache 2.3.

Уразливість в модулі пов’язана з читанням за межами буфера при розборі відповіді сервера.

• DoS in mod_proxy in Apache 2.3.0 (деталі)
• rPSA-2007-0182-1 httpd mod_ssl (деталі)

В даній добірці уразливості в веб додатках:

• FrontBase Database <= 4.2.7 ALL PLATFORMS REMOTE BUFFER OVERFLOW CONDITION (деталі)
• AllMyLinks <= 0.5.0 (index.php) Remote File Include Vulnerability (деталі)
• AllMyGuests 3.0 Remote File Inclusion Vulnerability (деталі)
• Oracle 10g Dynamic Monitoring Services XSS /servlet/Spy (деталі)
• Xoops All Version -Articles- Print.PHP (ID) Blind SQL Injection Exploit And PoC (деталі)
• Multiple XSS in IronMail (деталі)
• Satel Lite for PhpNuke (Satellite.php) <= Local File Inclusion (деталі)
• PHP remote file inclusion vulnerability in MySource CMS (деталі)
• Уразливість в механізмі перевірки орфографії в Asbru Web Content Management (деталі)
• PHP remote file inclusion vulnerability in miniBB (деталі)
• Multiple PHP remote file inclusion vulnerabilities in miniBB (деталі)
• Multiple vulnerabilities in Pentaho Business Intelligence (BI) Suite (деталі)
• Огляд довільних файлів на системі в FOAFgen (деталі)
• Недостатня обробка вхідних даних в JASmine (деталі)
• SQL injection vulnerability in Uni-Vert PhpLeague (деталі)

В минулому роціі, 24.08.2006, я знайшов Cross-Site Scripting уразливість в движку Nucleus. Як раз коли знайшов уразливість на ain.com.ua, де і використовується дана CMS.

XSS:

Уразливість на сторінці index.php в параметрі archive.

http://site/index.php?blogid=1&archive=2007-01-01%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразлива версія Nucleus 3.01 та потенційно усі попередні (і можливо наступні версії).

Цікава стаття на тему флеш-безпеки була опублікована Стефаном Ессером (в минулому році) - Пошук нових дір з міждоменними файлами політик Флеша.

В статті розповідається про те, як зашити crossdomain.xml у gif-файл. З метою його використання для подальших атак (CSRF) через флешки, за допомогою уразливостей в політиці безпеки Flash Player, таких як альтернативні файли безпеки.

• Poking new holes with Flash Crossdomain Policy Files (деталі)

26.04.2007

У грудні, 27.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://rabota.ua. Про що найближчим часом сповіщу адміністрацію проекту.

В новинах я регулярно згадую стосовно сайтів про пошук роботи. Останній раз я писав про уразливість на zarplata.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.09.2007

XSS:

Уразливість на сторінці PassRecovery.xpx. Адміни дірку не виправили, єдине що вони зробили - це заборонили роботу скрипта з GET запитом. Але атака через POST запит все ще можлива.

POST запит на сторінці http://rabota.ua/PassRecovery.xpx:

<script>alert(document.cookie)</script>В полі Введите email.

В даній добірці експлоіти в веб додатках:

• Xoops Module debaser <= 0.92 (genre.php) BLIND SQL Injection Exploit (деталі)
• Xoops Module Camportail <= 1.1 (camid) Remote SQL Injection Exploit (деталі)
• PHP-Generics 1.0.0 beta Multiple Remote File Inclusion Vulnerabilities (деталі)
• CodeWand phpBrowse (site_path) Remote File Inclusion Vulnerability (деталі)
• Sisplet CMS <= 05.10 (site_path) Remote File Inclusion Vulnerability (деталі)
• phpMyNewsletter <= 0.8 (beta5) Multiple Vuln Exploit (деталі)
• XOOPS Module WF-Links <= 1.03 (cid) Remote SQL Injection Exploit (деталі)
• Wserve HTTP Server 4.6 (Long Directory Name) Denial of Service Exploit (деталі)
• WebSPELL <= 4.01.02 (picture.php) File Disclosure Vulnerability (деталі)
• Advanced Poll 2.0.0 >= 2.0.5-dev textfile admin session gen. (деталі)

Для того щоб перевірити, чи не був ваш емайл акаунт (в даному випадку вебмайл) похаканий, можна скористатися одним цікавим методом. В своєму записі How to check if your WebMail account has been hacked Джеремія розповів про один метод перевірки емайл акаунта на предмет прихованої активності.

Для перевірки використовується приховане зображення. Котре буде працювати як прихований сигнал, що спрацює у випадку, коли зловмисник зайде у ваш почтовий акаунт. Алгоритм цієї системи оповіщення наступний.

1. Завантажити зображення (це може бути і скрипт) на сервер. Адресу зображення ніхто не повинен знати, ця адреса буде використовуватися лише для даної задачі. Щоб не було зайвих записів в логах, тільки активність в емайл ящику.

2. Відіслати собі на цей емайл ящик листа з прихованим зображенням. Причому тему листа потрібно зробити дуже інтригуючою (наприклад “Your new online Bank password” ). Даного листа потрібно залиши в ящику непрочитаним.

3. Чекати доки не настане той час, коли спрацює сигнал тривоги - приховане зображення (сподіваючись, що цього ніколи не станеться). Коли зловмисник отримає доступ до вашого акаунту, і зайде в нього почитати пошту і не втримається і відкриє листа з інтригуючою темою. При цьому спрацює зображення, і в логах запишеться IP зловмисника, а також дата і час взлому (а якщо використовувати скрипт, то можна надіслати собі на інший емайл або sms на мобільний телефон з інформацією про нападника).

На щорічній конференції SyScan Conference у Сінгапурі виконавчий директор компанії Immunity Жюстін Ейтел представила звіт по статистиці 0-day експлоітів.

Immunity підрахувала, що 0-day-експлоіт у середньому залишається актуальним 348 днів від свого відкриття, до того часу, коли його знайдуть і виправлять. Одна з уразливостей залишалася невиправленою протягом трьох років з моменту виявлення хакером. Також фахівці Immunity відзначають, що проблема 0-day-експлоітів особливо актуальна у фінансовій сфері, включаючи системи торгівлі на біржах, де спостерігається особливо велика кількість 0-day-уразливостей. Хакерам, що знаходять уразливості, вигідніше продати ї тому, хто запропонує найбільшу винагороду.

Immunity заявляє, що занадто велика кількість компаній покладається на публічні інформаційні канали у виявленні експлоітів, тоді як їм потрібно наймати хакерів для цілеспрямованої роботи в цій області. “Період часу між виявленням уразливості та її усуненням занадто великий. Це небезпечно для компаній, що покладаються тільки на інформацію про експлоіти від розробників і спеціальних компаній”, - сказала Ейтел.

По матеріалам http://www.xakep.ru.