Websecurity - Веб безпека

21.05.2007

У січні, 04.01.2007, я знайшов чимало Cross-Site Scripting уразливостей на проекті http://podcasting.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

11.10.2007

XSS:

POST запит на сторінці http://podcasting.com.ua/wp-register.php:

"><script>alert(document.cookie)</script>В полі: E-Mail.

XSS:

POST запит на сторінці http://podcasting.com.ua/kontakt/:

"><script>alert(document.cookie)</script>В полях: Ваше имя, E-mail, Ваш веб-сайт.

</textarea><script>alert(document.cookie)</script>В полі: Сообщение.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• psipuss 1.0 (editusers.php) Remote Change Admin Password Exploit (деталі)
• The Merchant <= 2.2.0 (index.php show) Remote File Inclusion Exploit (деталі)
• Sendcard <= 3.4.1 (sendcard.php form) Local File Inclusion Vulnerability (деталі)
• mxBB Module FAQ & RULES 2.0.0 Remote File Inclusion Exploit (деталі)
• 1024 CMS 0.7 (download.php item) Remote File Disclosure Vulnerability (деталі)
• PStruh-CZ 1.3/1.5 (download.asp File) File Disclosure Vulnerability (деталі)
• PostNuke Module v4bJournal Remote SQL Injection Vulnerability (деталі)
• YaPIG 0.95b Remote Code Execution Exploit (деталі)
• Censura 1.15.04 (censura.php vendorid) SQL Injection Vulnerability (деталі)
• MyBulletinBoard <= 1.2.5 Remote SQL Injection Exploit (деталі)

This is English version of my Web 3.0 article.

In our time, in era of Web 2.0, people begin thinking about the future evolution of Net - begin thinking about Web 3.0. And so there were appeared publications of Internet figures about this topic lately. Particularly you can look at the article about Web 3.0 at Wikipedia. This article tells about different views at third web, but I have another views at it.

I begun thinking about third web already at the beginning of 2006 year. And not just thinking, but making real steps for appearing of Web 3.0. The first from them was my online Pascal interpreter. After its release I put this web application to Web 3.0 category and begun seeing in third web innovation component. After that I begun strenuously working on security of web sites (I worked on it in 2005 and in first part of 2006, but in second part of 2006 I started working on it more actively). And at the end of 2006 year I drew attention at another component of third web - at its security.

There are two components of Web 3.0: innovation and security.

Web 3.0 - innovation web.

I refer to innovation component my online interpreter - MustLive Perl Pascal Programs Interpreter. It’s first in the world online interpreter and first Web 3.0 application. If in case of Web 2.0 people started wide use web for content creation online (with help of software tools), than in case of Web 3.0 people would begin (and already begun) to use web for software creation online (with help of online interpreters). This is the next level of evolution of Internet.

Version 1.2 of interpreter in which was added online version released at 24.05.2006. This is the date of the beginning of Web 3.0 era’s innovation component.

Web 3.0 - secure web.

I refer to security component the security of sites and web applications. Working in web security field during 2005, 2006 and 2007 years I analyse current state of security of Net. And I can establish, that 90% of sites have security vulnerabilities (by my statistics). Since from opening of my security project in middle of 2006 year, I begun strenuously working on web security and social audit (finding vulnerabilities at sites and notifying their administrators about them).

And after I drew attention at security component of Web 3.0 I laid down next demand: third web must be more secure than second one. If now Web 2.0 has 90% vulnerable sites, than Web 3.0 must has 45-50% of them (i.e. two times less). Only then we can speak that era of third web already has come (in context of security). But I understand that it’s very hard task, and not many want to find vulnerabilities and fix them, so process of reaching of this indicators can be delayed, so with time it’s possible to adjust this demands and set for Web 3.0 limit in 60-70% of vulnerable sites, and set 40-50% already for Web 4.0. Main thing is to work in this direction.

I started my site websecurity.com.ua at 18.07.2006. This is the date of the beginning of Web 3.0 era’s security component.

The security of current Net is very low - Internet very dangerous environment. As considering its current problems for users (such as spam, fishing, viruses), and considering that 90% of sites have security vulnerabilities. So the level of security need to be strongly improved.

In this was consisted the essence of my Month of Search Engines Bugs project - improvement of security of Internet and bringing Web 3.0 era. And I’ll be working on this in the future.

В наш час, в епоху Web 2.0, люди починають замислюватися над майбутнім розвитком Мережі - починають замислюватися над Web 3.0. І тому останнім часом з цього приводу з’являтися публікації Інтернет діячів. Зокрема можете ознайомитися зі статтею про Web 3.0 на Wikipedia. В ній розповідається про різні погляди на третій веб, в мене ж погляди на це зовсім інші.

Сам я почав замислюватися над третім вебом ще на початку 2006 року. І не просто замислюватися - а робити реальні кроки для появи Веб 3.0. Першим з яким був мій онлайновий інтерпретатор Паскаля. Після його випуску я відніс цей веб додаток до категорії Веб 3.0 і почав бачити в третьому вебі інноваційну складову. Потім я почав посилено займатися питаннями безпеки веб сайтів (чим я займався і в 2005 і в першій половині 2006, але в другій половині 2006 я почав займатися цим більш активно). І наприкінці 2006 року я звернув увагу на іншу складову третього веба - на його безпеку.

Є дві складові Web 3.0: інновації та безпека.

Web 3.0 - інноваційний веб (Web 3.0 - innovation web).

До складової інновацій я відношу свій онлайн інтерпретатор - MustLive Perl Pascal Programs Interpreter. Це перший в світі онлайн інтерпретатор та перший Веб 3.0 додаток. Якщо у Веб 2.0 люди стали широко використовувати веб для розробки контенту в онлайні (за допомогою програмних засобів), то в Веб 3.0 люди почнуть (і вже почали) використовувати веб для розробки програм в онлайні (за допомогою онлайнових інтерпретаторів). Це наступний рівень розвитку Інтернет.

Версія 1.2 інтерпретатору в якій була додана онлайн версія вийшла 24.05.2006. Це дата початку інноваційної складової ери Web 3.0.

Web 3.0 - безпечний веб (Web 3.0 - security web).

До складової безпеки я відношу безпеку сайтів і веб додатків. Займаючись веб безпекою на протязі 2005, 2006 та 2007 років я проаналізував сучасний стан безпеки Мережі. І можу констатувати, що 90% сайтів мають уразливості безпеки (за моєю статистикою). Починаючи з відкриття мого секюріті проекту в середині 2006 року, я почав посилено займатися питаннями веб безпеки і соціальним аудитом (знаходячи уразливості на сайтах і повідомляючи про них їх адміністраторам).

І звернувши увагу на складову безпеки Веб 3.0 я виставив наступну умову: третій веб має бути більш безпечним ніж другий. Якщо зараз Веб 2.0 має 90% уразливих сайтів, то Веб 3.0 повинен мати їх 45-50% (тобто в 2 рази менше). Лише тоді можна говорити, що епоха третього вебу вже настала (в контексті безпеки). Але я розумію, що це дуже складна задача, і знаходити уразливості та їх виправляти мало хто хоче, тому процес досягнення цих показників може затягнутися, тому з часом можна підкорегувати ці вимоги і для Веб 3.0 встановити межу в 60-70% уразливих сайтів, а 40-50% вже для Веб 4.0. Головне працювати в цьому напрямку.

Свій сайт websecurity.com.ua я запустив 18.07.2006. Це дата початку складової безпеки ери Web 3.0.

Безпека сьогоднішньої Мережі є вкрай низькою - Інтернет доволі небезпечне середовище. Як враховуючи його сучасні проблеми для користувачів (такі як спам, фішинг, віруси), так і враховуючи те, що 90% сайтів мають уразливості безпеки. Тому рівень безпеки потрібно сильно покращувати.

В цьому і полягала суть мого проекту Місяць багів в Пошукових Системах - покращення безпеки Інтернету і наближення епохи Веб 3.0. І над цим я буду працювати в подальшому.

В даній добірці уразливості в веб додатках:

• Michelle’s L2J Dropcalc (деталі)
• Cadre remote file inclusion (деталі)
• bftpd FTP server DoS (деталі)
• Speedy Asp Discussion Forum (forum.mdb) Remote Password Disclosure Vulnerablity (деталі)
• Sun Solaris 10 - Sun Java web console format string vulnerability (деталі)
• turbulence core.0.0.1-alpha - REMOTE FILE INCLUSION (деталі)
• UseBB Version 1.0.4 Path Disclosure Vulnerability (деталі)
• Multiple cross-site scripting vulnerabilities in Wheatblog (wB) (деталі)
• Vulnerability in Wheatblog (wB) (деталі)
• PHP remote file inclusion vulnerability in gtcatalog (aka GimeScripts Shopping Catalog) (деталі)
• Розкриття даних в SmartGate SSL Server (деталі)
• Cross-site scripting vulnerability in Efficient IP iPmanager (IPm) 2.3 (деталі)
• AspPired2Poll <= 1.0 (MoreInfo.asp) Remote SQL Injection Exploit (деталі)
• Обхід каталогу в INCA IM-204 (деталі)
• PHP-інклюдинг в phpProfiles (деталі)

Департамент внутрішньої безпеки США (DHS) випустив відеофільм про можливі наслідки хакерської атаки на інфраструктуру електромереж країни. Фільм показали вищому керівництву США для того, щоб вони змогли оцінити важливість комп’ютерної безпеки.

Фільм “Тест генератора Аврора”, позначений грифом “тільки для офіційного користування”, показує, як людина за клавіатурою, що вводить команди в систему керування електростанцією, розкручує турбіну до критичної швидкості, після чого вона починає димітися і, у кінцевому рахунку, розлітається на частини.

Зйомки проводилися в Національній лабораторії в Айдахо, де вивчаються можливі ризики, яким може піддатися електроніка, що працює на електростанціях, хімічних заводах і інших критично важливих підприємствах. Як повідомляє анонімне джерело з офіційних кіл США, фільм показали вищому керівництву країни, включаючи віце-президента Діка Чейни. За словами колишнього глави відділу кібербезпеки при адміністрації президента Джорджа Буша Аміта Йорана, наочність допоможе владі зрозуміти наслідки, до яких можуть привести хакерські атаки. “Одна справа - говорити про біти і байти, а інше - показати займання”, - говорить фахівець.

За заявою менеджера North American Electric Reliability Corp, організації, що спостерігає за безпекою електромереж, “відео насправді не відображає реальної схеми функціонування системи”. Для того щоб створити аналогічну ситуацію, необхідні спеціальні знання, якими не володіє середньостатистичний хакер. Зокрема, для створення екстремальної ситуації необхідно відключити попереджуючі системи.

Хакерська атака, що виводить з ладу стратегічну інфраструктуру США, може обійтися терористам усього в $5 млн. і 3-5 років підготовки, стверджує О. Семі Савдьярі, фахівець некомерційної організації “Професіонали за комп’ютерну оборону”.

По матеріалам http://www.cnews.ru.

24.05.2007

У січні, 04.01.2007, я знайшов Cross-Site Scripting уразливості на проекті http://telegraf.by (онлайн ЗМІ). В тому числі уразливості в пошуці на Яндекс.XML (сайтів з дірками в пошуці, що базується на Яндекс.XML я зустрічав чимало). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.10.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

На іншому проекті Телеграф (mail.telegraf.by) є також дві XSS в DOM уразливості, але з недавніх пір цей піддомен не працює (тому і не приводжу їх). Причому дані уразливості в пошуці на Яндекс.XML.

В даній добірці експлоіти в веб додатках:

• phpOracleView (include_all.inc.php page_dir) RFI Vulnerability (деталі)
• phpBandManager 0.8 (index.php pg) Remote File Inclusion Vulnerability (деталі)
• EsForum 3.0 (forum.php idsalon) Remote SQL Injection Vulnerability (деталі)
• Firefly 1.1.01 (doc_root) Remote File Inclusion Vulnerabilities (деталі)
• burnCMS <= 0.2 (root) Remote File Inclusion Vulnerabilities (деталі)
• PostNuke pnFlashGames Module 1.5 Remote SQL Injection Vulnerability (деталі)
• Fenice OMS server 1.10 Remote Buffer Overflow Exploit (exec-shield) (деталі)
• Imageview 5.3 (fileview.php album) Local File Inclusion Vulnerability (деталі)
• TCExam <= 4.0.011 (SessionUserLang) Shell Injection Exploit (деталі)
• Alessandro Lulli wavewoo Remote File Include Exploit (деталі)

На цьому тижні, 13 та 14 жовтня, в Україні в Києві відбудеться конференція BlogCamp 2007.

BlogCamp - це конференція (або як її називають, “неконференція”) для країн СНГ і Балтії по новим медіа, блогам, Веб 2.0 и всьому, що з цим пов’язано. Про даний захід ви можете детальніше дізнатися на офіційному сайті - BlogCamp CIS and Baltics.

Я планую прийняти участь в конференції та виступити з доповіддю на тему “Безпека блогосфери” (Security of Blogosphere). Тому всіх хто зможе завітати на Блогкамп та всіх бажаючих поспілкуватися зі мною запрошую на мою доповідь на конференції. Доповідь відбудеться в суботу 13.10.2007 о 15.30.

Виявлене переповнення буфера в Internet Explorer і Pictures and Videos на Windows Mobile (buffer overflow).

Уразливі продукти: Microsoft Windows Mobile 2003, Microsoft Windows Mobile 5.0.

Переповнення буфера можливе при розборі файлів JPEG.

• Buffer overflow in Internet Explorer on Windows Mobile 5.0 and Windows Mobile 2003 and 2003SE for Smartphones and PocketPC (деталі)
• DoS vulnerability in Pictures and Videos on Windows Mobile 5.0 and Windows Mobile 2003 and 2003SE for Smartphones and PocketPC (деталі)