Websecurity - Веб безпека

В цей вівторок корпорація Microsoft випустила 7 бюлетенів безпеки з описом 11 уразливостей в операційних системах Windows різних версій, поштовому клієнті Outlook Express, браузері Internet Explorer та інших програмних компонентах.

Як повідомляється, три з виявлених дір становлять критичну небезпеку. Це означає, що уразливості можуть використовуватися зловмисниками для одержання несанкціонованого доступу до віддаленого комп’ютера з подальншим виконанням на ньому довільних операцій. Критичні діри виявлені в програмних інтерфейсах DirectX із сьомої по десяту версію, Internet Explorer 6 і 7, а також кодеку Windows Media Format Runtime, що входить до складу плеера Windows Media Player.

По матеріалам http://www.secblog.info.

24.07.2007

У січні, 31.01.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.obozrevatel.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.12.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• WSN Links Basic Edition (displaycat catid) SQL Injection Vulnerbility (деталі)
• JBlog 1.0 Create / Delete Admin Authentication Bypass Exploit (деталі)
• bwired (index.php newsID) Remote SQL Injection Vulnerability (деталі)
• Joomla! CMS 1.5 beta 2 (search) Remote Code Execution Vulnerability (деталі)
• Xserver 0.1 Alpha Post Request Remote Buffer Overflow Exploit (деталі)
• Entertainment CMS (Local Inclusion) Remote Command Execution Exploit (деталі)
• Confixx Pro <= 3.3.1 (saveserver.php) Remote File Inclusion Vulnerability (деталі)
• Article Directory (index.php page) Remote File Inclusion Vulnerability (деталі)
• IndexScript <= 2.8 (show_cat.php cat_id) SQL Injection Vulnerability (деталі)
• Coppermine Photo Gallery 1.3.x Blind SQL Injection Exploit (деталі)

Нещодавно, 05.12.2007, я знайшов дві Information disclosure уразливості в WordPress. Як раз коли досліджував SQL Injection в WordPress (котра виявилася фейком). Це SQL DB Structure Extraction та Full path disclosure уразливості.

SQL DB Structure Extraction:

http://site/?feed=rss2&p=1

Full path disclosure:

http://site/?feed=rss2&p=1

Де p - це id неіснуючого запису (потрібно вказати номер неіснуючого посту, щоб виникли дані уразливості). Серед сайтів де я виявив ці дірки, SQL DB Structure Extraction траплялася на всіх, а Full path disclosure лише на деяких (це може залежати від налаштувань WP).

Вразливі версії WordPress 2.2.x та 2.3.x. Версії движка 2.0.x та 2.1.x не вразливі (я перевірив декілька версій даних гілок WP).

Інформація отримана за допомогою SQL DB Structure Extraction стане у нагоді при SQL Injection атаці, а інформація отримана за допомогою Full path disclosure - при File Include та Directory Traversal атаках. Тому власникам даних версій движка варто виправити зазначені уразливості власноруч.

На blogsecurity.net існує проект WordPress BlogWatch. Даний проект - це місце, де публікується інформація по останнім уразливостям в Вордпресі. В ньому публікуються дані про відомі дірки в WP, щоб було зручно переглядати останні дірки в движку.

В BlogWatch розміщені уразливості як в самому движку (розділ WordPress Vulnerabilities), так і в його плагінах (розділ WordPress Plugin Vulnerabilities).

Серед останніх дірок в WordPress (що відносяться до версії 2.3):

• XSS injection in edit-post-rows.php, needs register_globals on (деталі), про котру я писав
• Unregistered can add Links to Blogroll (деталі)

Консорціум WASC (Web Application Security Consortium) оголосив про доступність списку можливих способів виконання javascript коду без використання тега scrіpt, стосовно до браузерів MS Internet Explorer 7, Firefox 2 і Safari 3. Дані можна використовувати при написанні фільтрів, що запобігають Cross-Site Scripting атакам у веб-додатках, що приймають користувацькі дані з елементами HTML форматування.

Детальніше про проект: The Script Mapping Project.

По матеріалам http://www.opennet.ru.

В даній добірці уразливості в веб додатках:

• WebBuilder <= 2.0 Remote File Include Vulnerability (деталі)
• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• Ki.isel Site 2007 (tr) == SQL Injection Vulnerability (деталі)
• LightRO CMS 1 beta(inhalt.php) Remote File Include Vulnerability (деталі)
• VBulletin AdminCP Index.PHP Multiple Cross-Site Scripting Vulnerability (деталі)
• SQL injection vulnerability in pms.php in Woltlab Burning Board (wBB) Lite (деталі)
• Виконання довільних сценариїв в Yahoo Messenger (деталі)
• Cross-site Scripting with Local Privilege Vulnerability in Yahoo Messenger (деталі)
• Directory traversal vulnerability in TorrentFlux 2.2 (деталі)
• Декілька уразливостей в Conti FTPServer (деталі)
• Міжсайтовий скриптінг и SQL-ін’єкція в Rialto (деталі)
• Cross-site scripting (XSS) vulnerability in Moodle (деталі)
• Vulnerability in WeBWorK Program Generation (PG) Language (деталі)
• PHP remote file inclusion vulnerability in osprey 1.0 (деталі)

Нещодавно, 05.12.2007, ще до SQL Injection уразливості в WordPress, про котру я писав два дні тому, була опублікована SQL ін’єкція в WordPress. До якої вразливий WordPress 2.3.1 (та потенційно попередні версії).

• Sql Injection in wordpress 2.3.1 (деталі)

Як я перевірив на багатьох сайтах одразу коли дізнався про цю дірку, вона не працює. Схоже чи це фейк (обманка), чи це так автор ціє знахідки вирішив пожартувати , чи в нього був специфічний Вордпрес - або він вносив зміни в код, або використовув деякий плагін, що і призвело до того, що в нього дірка працює. Бо на багатьох сайтах на WP 2.3.1 (та інших версіях) вона зовсім не працює. І як повідомив в BugTraq один з користувачів останньої версії WP, вона не вразлива (як і попередні версії).

Цікаво те, що досліджуючи дану уразливість я виявив дві нові уразливості в WordPress, про котрі я повідомлю найближчим часом.

Цього року на міжнародному змаганні хакерів Capture the Flag (CTF) перемогла команда Chocolate Makers з Міланського Університету. Команда Squareroots з університету Мангейма була другою, а HackerDom з Російського Уральського державного університету завоювала третє місце. Торішній переможець, We_0wn_Y0u з Відня зайняв тільки четверте місце.

В андеграунді залишилися команди Hexadecimators з Каліфорнійського університету в Санта-Барбарі (UCSB), DoS DevilZ з Амритської школи інженерів (Індія) та Graham Crackers з американського Пенсильванського державного університету. В цілому участь у конкурсі приймали 36 команд з усього світу, вісім з них - з Німеччини.

Організатори дали командам трохи менше семи годин для вирішення задач з використанням семи різних сервісів. Кожний з цих спеціально підготовлених сервісів містить уразливість, знайшовши яку, можна одержати очки. Також потрібно було створити патчи для них. Додаткові задачі - копіювання і шифрування даних.

Цей найбільший у світі конкурс проходить протягом декількох днів і організується щороку на конференції хакерів Defcon у Лас-Вегасі.

По матеріалам http://www.secblog.info.

30.01.2007

У січні, 30.01.2007, я знайшов SQL Injection та Full path disclosure уразливості на сайті http://altersys-ua.com (дана компанія зокрема займається аудитом безпеки). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

14.12.2007

SQL Injection:

http://altersys-ua.com/?index=-20%20or%20id=2

Full path disclosure:

http://altersys-ua.com/?index=-20

Дані уразливості вже виправлені.