Архів за Жовтень, 2007

Month of Bugs in Captchas: project description

23:57 31.10.2007
Feeling of full safety is the most dangerous.
(I. Shevelyov)

There are a lot of different CAPTCHA in Internet now and many of them are vulnerable. They are not protecting from spam, because a lot of them can be bypassed. Captchas create only illusion of protection. So the time has come to look at real level of Captcha protection from automated activity.

Main purpose of the project:: to demonstrate the real state of Captchas’ security. There are vulnerabilities in Captchas (that mean that their developers insufficiently attend to security) and the community need to know about that. When they are knowing truth, web developers will can make reliable Captchas, and every owner of the site will can select the most reliable Captcha for his web project.

Participants of the project: different Captcha systems, which are using at many sites in Internet. Including built-in captchas and plugins for different engines and CMS.

Rules of the project: participation of Captchas in the project are voluntary. So I voluntarily chose participants for the project ;-) . Each day I will publish holes in single Captcha. Also there were planned bonus publications, including articles. And at 1st of December I’ll sum up the project. In the project will be demonstrating vulnerabilities only in Captchas (in their algorithms). Such methods as OCR and using hired people for their filling in will not be considered - only vulnerabilities in Captchas themselves.

Results of the project: improvement of protection from automated posts, improvement of security of Captchas and Internet as a whole.

Місяць багів в Капчах: опис проекту

23:29 31.10.2007
Відчуття повної безпеки найбільш небезпечно.
(І. Шевельов)

Зараз в Інтернеті існує чимало різних CAPTCHA і багато з них є вразливими. Вони не захищають від спаму, тому що багатьох з них можна обійти. Капчі створюють лише ілюзію захищеності. Тому настав час подивитися на справжній рівень захисту Капч від автоматизованої активності.

Головна мета проекту: демонстрація реального стану справ з безпекою Капч. В Капчах є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, веб розробники зможуть створити надійні Капчі, а кожен власник сайту зможе вибрати найбільш надійну Капчу для свого веб проекту.

Учасники проекту: різноманітні Captcha системи, що використовується на багатьох сайтах в Інтернеті. В тому числі вбудовані капчі та плагіни для різних движків та CMS.

Правила проекту: участь Капч в проекті добровільна. Тобто я добровільно вибрав учасників для проекту ;-) . Щодня будуть публікуватися дірки по окремій Капчі. Також заплановані бонусні публікації, в тому числі статті. А першого грудня я підведу підсумки проекту. В проекті будуть демонструватися лише уразливості в Капчах (в їх алгоритмах). Такі методи як OCR та використання найманих людей для їх заповнення розглядатися не будуть - тільки уразливості в самих Капчах.

Результат проекту: покращення захисту від автоматизованих постів, покращення безпеки Капч та Інтернету в цілому.

Атака на сайт президента Віктора Ющенко

19:38 31.10.2007

Невідомі зловмисники атакували офіційний сайт президента Віктора Ющенко. Про що повідомили АІН та інші онлайн ЗМІ.

Відповідно до повідомлення, сайт піддавався атаці зловмисників протягом трьох днів (на сьогодні вже чотирьох днів). Зараз співробітники Секретаріату президента тримають ситуацію під контролем і нормальна робота сайта практично відновлена.

Раніше активісти Євразійського союзу молоді заявляли про Інтернет-атаку на сайт президента України.

По матеріалам http://ain.com.ua.

P.S.

Ні вчора на протязі доби, ні сьогодні, сайт так і не став доступний. DDoS атака продовжується і дістатися до сайту не має можливості. Як би співробітники Секретаріату президента не тримали ситуацію під контролем, їм потрібно це робити краще, щоб надати відвідувачам можливість доступу до сайту.

Як я писав учора, в записі Ринок DDoS-атак в Росії, в наш час DDoS-атаки є поширеним явищем. І особливого поширення вони набули в цьому році.

Добірка уразливостей

16:15 31.10.2007

В даній добірці уразливості в веб додатках:

  • Cross-site scripting (XSS) vulnerability in Free LAN In(tra|ter)net Portal (FLIP) (деталі)
  • Multiple SQL injection vulnerabilities in Free LAN In(tra|ter)net Portal (FLIP) (деталі)
  • MyBB version 1.2.4 Multiple Path Disclosure Vulnerabilities (деталі)
  • Cross-site Scripting in EQDKP 1.3.2c and prior (деталі)
  • Cross-Site Scripting in Adobe RoboHelp 6, Server 6 and X5 (деталі)
  • Webspeed OpenEdge Dos exploit (деталі)
  • MyServer privilege escalation (деталі)
  • Cross-site scripting (XSS) vulnerability in ActiveNews Manager (деталі)
  • SQL-ін’єкція в Article Script (деталі)
  • Vulnerability in mmgallery 1.55 (деталі)
  • Vulnerability in Coppermine Photo Gallery (CPG) 1.4.8 (деталі)
  • SQL-ін’єкція в Webdrivers Simple Forum (деталі)
  • PHP-інклюдинг в phpDynaSite (деталі)
  • AT-TFTP <= 1.9 (Long Filename) Remote Buffer Overflow PoC (деталі)
  • Cross-site scripting (XSS) vulnerability in SeleniumServer Web Server 1.0 (деталі)

XSS уразливість в WordPress 2.3

23:54 30.10.2007

Деякий час тому в WordPress 2.3 була виявлена Cross-Site Scripting уразливість. Котра була виправлена у версії WordPress 2.3.1, що вийшла нещодавно.

Уразливість в скрипті edit-post-rows.php пов’язана з тим, що масив “posts_columns” є не ініціалізованим, що дозволяє задати йому довільне значення при визові скрипта. Тому можлива XSS атака у випадку включених register_globals.

XSS:

http://site/wp-admin/edit-post-rows.php?posts_columns[]=<script>alert('XSS')<script>

Ринок DDoS-атак в Росії

22:43 30.10.2007

Російський ринок DoS-послуг оцінюється експертами в суму біля $200000. Вартість однієї атаки може починатися від $80.

Цей рік серед багато чого іншого запам’ятається нам тим, що поняття DoS-атака почало входити в повсякденний лексикон. Можливо, цим ненавмисним підвищенням комп’ютерної грамотності населення ми зобов’язані естонським подіям весни 2007 р., коли місцева влада проводила акцію перепоховання радянських солдатів, бездоганну з погляду місцевого законодавства, але не занадто ввічливу стосовно воїнів-визволителів.

У ті дні невідомі зловмисники організували серію голосних DDoS-атак на сервера естонських державних структур, найбільшого банку країни SEB Eesti Uhispank і газети Eesti Paevaleht. Улітку 2007 р. популяризації DoS-явищ чимало сприяли атаки таємничих недоброзичливців на ресурси “Маршу незгодних”, персональну сторінку Гаррі Каспарова і на відомий сайт про мобільні телефони.

DDoS (розподілений DoS) проводиться шляхом завчасного зараження “ботами” великої кількості комп’ютерів і перетворення їх у “бот-мережу”. DDoS вважається дуже елегантним рішенням: щоб заблокувати атакуючі IP-адреси, адміністратори сервера-мішені змушені відключати цілі фрагменти Мережі і позбавляти себе аудиторії власноручно. Вважається, що зараз у “бот-мережах” одночасно задіяно більш 150 мільйонів комп’ютерів.

Контакти DDoS-організаторів знайти в Мережі не важко. З чотирьох номерів ICQ, знайдених пошуковцем по ключовим словах “DDoS послуги”, три номери відгукнулися негайно, причому їхні хазяїни виявилися доброзичливі і доступні. Здивували доступністю і їхні тарифи: заблокувати сайт cnews.ru на один робочий день нам запропонували усього за $80-150, на робочий тиждень - від $650 до $900. Цікаво, що при замовленні на п’ятиденку середньодобова ціна атаки у всіх DDoS-виконавців виявилася вище, ніж при замовленні на день: як нам пояснили, тривалі атаки вимагають додаткової підготовки бот-мереж.

По матеріалам http://www.secblog.info.

Уразливість на blogsearch.a.ua

19:37 30.10.2007

10.07.2007

У січні, 11.01.2007, я знайшов Cross-Site Scripting уразливість на проекті http://blogsearch.a.ua (пошук по блогам порталу A.UA). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

30.10.2007

XSS:

Дана уразливість досі не виправлена.

Добірка експлоітів

16:20 30.10.2007

В даній добірці експлоіти в веб додатках:

  • Feindt Computerservice News 2.0 (newsadmin.php action) RFI Vuln (деталі)
  • NagiosQL 2005 2.00 (prepend_adm.php) Remote File Inclusion Vuln (деталі)
  • Media Gallery for Geeklog <= 1.4.8a Remote File Inclusion Vulnerability (деталі)
  • Linksnet Newsfeed 1.0 Remote File Inclusion Vulnerability (деталі)
  • Achievo 1.1.0 (atk.inc config_atkroot) Remote File Inclusion Vulnerability (деталі)
  • XOOPS Module MyConference 1.0 (index.php) SQL Injection Exploit (деталі)
  • XOOPS Module Glossarie <= 1.7 (sid) Remote SQL Injection Exploit (деталі)
  • RunawaySoft Haber portal 1.0 (tr) Multiple Remote Vulnerabilities (деталі)
  • Glossword 1.8.1 custom_vars.php Remote File Inclusion Vulnerability (деталі)
  • Exploits Asterisk cdr_addon_mysql CSS (деталі)

Боротьба зі спамом в коментарях

22:35 29.10.2007

На hostinfo була опублікована цікава стаття “Боротьба зі спамом в коментарях”. Дана тема є актуальною, зокрема враховуючи мій новий проект Місяць багів в Капчах, котрий відбудеться в листопаді.

В даній статті розповідається про методи боротьби зі спамом в коментарях, про плюси та мінуси різних методів захисту від спаму.

В статті наводяться наступні методи захисту:

  • Реєстрація коментаторів і модерація коментарів
  • Використання служб аутентифікації
  • Перейменування скрипта залишення коментарю
  • CAPTCHA
  • Стоп-слова
  • Підтвердження коментарю
  • Akismet

Серед зазначених методів я б виділив як найбільш ефективні наступні: Використання служб аутентифікації, CAPTCHA (невразлива) та Akismet. Всі інші методи менш ефективні та їх можна так чи інакше обійти. А от служби аутентифікації та невразливі капчі (та в деякій мірі сервіс Akismet) можуть захистити від спам коментарів.

  • Борьба со спамом в комментариях (деталі)

Вийшов WordPress 2.3.1

18:24 29.10.2007

Нещодавно, 26.10.2007, вийшла нова версія WordPress 2.3.1 - оновлення для гілки WP 2.3.x.

WordPress 2.3.1 це багфікс та секюріті випуск для 2.3 серії. В даній версії було виправлено більше 20 багів та декілька уразливостей.

Серед виправлень додана відтримка тегів Windows Live Writer, виправлений баг з логіном, пришвидшена робота таксономії, пофіксений імпортер лінків. Серед секюріті проблем була виправлена XSS уразливість.