Websecurity - Веб безпека

“Почали давити конкуренти? Хтось заважає вашому бізнесу? Потрібно вивести з ладу сайт супротивника?” - такими словами починається спам-розсилка з пропозицією послуг по організації DDoS-атак, що зафіксувала “Лабораторія Касперського”. У компанії вважають, що це пов’язано з появою надлишку потужностей у власників бот-мереж.

У розсилці рекламується “DDoS-сервіс” - використання міжнародної мережі заражених комп’ютерів для ініціації безлічі запитів на ресурс, що атакується, що приводить або до уповільнення його роботи, або до повного зависання сервера. Година атаки на сайт обійдеться в $20, також існує можливість замовити 15-хвилинний безкоштовний тест.

За словами керівника відділу аутсорсінга ІТ-безпеки Андрія Никішина, розсилки з такими пропозиціями зустрічаються вкрай рідко - як правило, пропозиції кримінальних послуг публікуються на хакерських сайтах. Спам-аналитіки “Лабораторії Касперського” бачать у цій розсилці яскраву ілюстрацію триваючого процесу криміналізації спама в Рунеті.

По матеріалам http://news.internetua.com.

В даній добірці уразливості в веб додатках:

• JWIG Context-Dependent Template Calling Dos (деталі)
• XSS Remote In vCard 2.6 (c)2002 (деталі)
• Arbitrary file disclosure vulnerability in rrdbrowse <= 1.6 (деталі)
• LI-Guestbook SQL Injection Vulnerability (деталі)
• Sava’s GuestBook Multiple Vulnerabilities (деталі)
• XSS in script Phorum (деталі)
• Show Password Admin In Script Uploadscript (деталі)
• Multiple SQL injection vulnerabilities in EasyFill (деталі)
• PHP-інклюдинг в Oliver (деталі)
• Vulnerability in eyeHome function in EyeOS (деталі)
• Multiple vulnerabilities in Skulls! before 0.2.6 (деталі)
• DoS vulnerability in Crob FTP Server 3.6.1 b.263 (деталі)
• SQL-ін’єкція в PSCRIPT Forum (деталі)
• Міжсайтовий скриптінг в Travelsized CMS (деталі)
• SQL injection vulnerability in Lotfian Request For Travel 1.0 (деталі)

Новий процесор для консолі PlayStation має таку потужність, що здатний взламувати паролі набагато швидше будь-якого іншого аналога.

Дослідник безпеки Нік Бріз з Security Assessment використовував PS3, щоб дешифрувати складні вісьмизначні паролі. Звичайно взлом таких паролів займає дні, а новий Cell зробив це усього за кілька годин.

Подібні паролі використовуються для захисту файлів формату PDF і Zip-архівів, а також продуктів Microsoft Office.

На конференції по безпеці Kiwicon, що проходила в середині листопада 2007 р., Бріз сказав, що процесори від Intel можуть робити 10-15 млн. циклів щосекунди. А Cell здатний проробляти 1,4 млрд. у секунду. Ця цифра досягається ефективною організацією багатоядерної системи. Фахівець відзначив, що хакери не преминуть скористатися новим досягненням ІТ-індустрії.

В інтерв’ю Sydney Morning Herald Бріз сказав, що, хоча PS3 може використовуватися для взлому паролів, більш потужні системи шифрування - наприклад, ті, що використовуються для забезпечення безпеки Мережі, - залишаються в безпеці.

По матеріалам http://www.cnews.ru.

12.10.2007

У травні, 14.05.2007, я знайшов Cross-Site Scripting уразливості в банерній системі RotaBanner (виробництва Art. Lebedev Group).

Деталі уразливостей з’являться пізніше, спочатку повідомлю розробникам системи.

10.12.2007

Уразливості в файлі index.html в параметрах user та drop. Вразлива версія RotaBanner Local 3 (та попередні).

XSS:

http://site/account/index.html?user=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/account/index.html?drop=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості в системі досі не виправлені. Причому девелопери RotaBanner, як вони відповіли мені, не вважають за потрібне виправляти ці уразливості (що наявні на багатьох сайтах, котрі використовують дану систему).

В даній добірці експлоіти в веб додатках:

• vBulletin Mod RPG Inferno 2.4 (inferno.php) SQL Injection Vulnerability (деталі)
• SquirrelMail G/PGP Encryption Plug-in 2.0 Command Execution Vuln (деталі)
• PsNews 1.1 (show.php newspath) Local File Inclusion Vulnerability (деталі)
• MkPortal <= 1.1.1 reviews / gallery modules SQL Injection Exploit (деталі)
• paFileDB 3.6 (search.php) Remote SQL Injection Vulnerability (деталі)
• Prozilla Directory Script (directory.php cat_id) SQL Injection Vulnerbility (деталі)
• Realtor 747 (index.php categoryid) Remote SQL Injection Vulnerbility (деталі)
• eSyndiCat Directory Software Multiple SQL Injection Vulnerabilities (деталі)
• CMScout <= 1.23 (index.php) Remote SQL Injection Vulnerability (деталі)
• webSPELL <= v4.01.02 (topic) Remote SQL Injection (деталі)

Виявлена уразливість в Apache, що дозволяє віддаленому користувачу зробити XSS напад.

Уразливі версії: Apache 2.2.4, 2.0.46, 2.0.51, 2.0.55, 2.0.59 и 2.2.3, можливо інші ранні версії.

Уразливість існує через недостатню обробку вхідних даних при відображенні помилки “413 Request Entity Too Large”. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

• Межсайтовый скриптинг в Apache (деталі)

В даній добірці уразливості в веб додатках:

• ProFTPD authentication bypass (деталі)
• WebDirector XSS vuln. (деталі)
• PHP-Nuke (ALL versions) Multiple XSS and HTML injection (деталі)
• Mambo 4.6.2 CMS - Session fixation Issue in backend Administration interface (деталі)
• WikiWebWeaver 1.1 beta Upload Shell Vulnerability (деталі)
• LiteWEB 2.7 404 Denial of Services (деталі)
• Internet Communication Manager Denial Of Service Attack (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in AnnonceScriptHP 2.0 (деталі)
• Vulnerability in AnnonceScriptHP 2.0 (деталі)
• ProFTPD <= 1.3.0a (mod_ctrls support) Local Buffer Overflow PoC (деталі)
• Міжсайтовий скриптінг і SQL-ін’єкція в A+ Store E-Commerce (деталі)
• SQL-ін’єкція в Evolve Shopping Cart (деталі)
• PHP remote file inclusion vulnerability in BLOG:CMS (деталі)
• PHP remote file inclusion vulnerability in the NewsSuite 1.03 (деталі)
• Міжсайтовий скриптінг в BLOG:CMS (деталі)

My project Month of Bugs in Captchas has finished and I’m summing up.

In the project took part 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): plugins, services, built-in in CMS and individual captchas. The list of project’s participants (in order of appearance): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX.

Altogether there were published 75 vulnerabilities in mentioned captchas. Including Insufficient Anti-automation, Cross-Site Scripting (persistent and reflected), SQL Injection and Cross-Site Request Forgery vulnerabilities (and also redirector).

Results of the project: fixed 5 vulnerabilities from 75. It is 6,67% fixed vulnerabilities, which is much lower results of Month of Search Engines Bugs. Captchas developers need to attend more to reliability of their applications. Also there were published many captcha bypass methods (developed by me), which must be taken into account by web developers, for creating more reliable captchas.

Note, that there are not only Insufficient Anti-automation vulnerabilities in captchas, but also others types of vulnerabilities. Such as Redirector (MoBiC-05 Bonus), Cross-Site Scripting (MoBiC-12 Bonus, MoBiC-23 Bonus, MoBiC-26 Bonus, MoBiC-28 Bonus, MoBiC-29 Bonus), SQL Injection (MoBiC-20 Bonus) and Cross-Site Request Forgery (MoBiC-26). So developers of captchas need to improve their security.

Thanks for watching MoBiC project. Best regards. And attend to your security.

Завершився мій проект Місяць багів в Капчах і я підводжу підсумки.

В проекті прийняли участь 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): плагіни, сервіси, вбудовані в CMS та індивідуальні капчі. Перелік учасників проекту (в порядку появи): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX.

Всього оприлюднено 75 уразливостей в зазначених капчах. Включаючи Insufficient Anti-automation, Cross-Site Scripting (активні та пасивні), SQL Injection та Cross-Site Request Forgery уразливості (а також редиректор).

Результати проекту: виправлено 5 уразливостей з 75. Це 6,67% виправлених уразливостей, що значно нижче результатів Місяця багів в Пошукових Системах. Розробникам капч потрібно більше слідкувати за надійністю своїх додатків. Також було оприлюднено багато методів обходу капч (розроблених мною), котрі повинні врахувати веб розробники, для створення більш надійних капч.

Зазначу, що в капчах бувають не тільки Insufficient Anti-automation уразливості, але й інші типи уразливостей. Такі як Redirector (MoBiC-05 Bonus), Cross-Site Scripting (MoBiC-12 Bonus, MoBiC-23 Bonus, MoBiC-26 Bonus, MoBiC-28 Bonus, MoBiC-29 Bonus), SQL Injection (MoBiC-20 Bonus) та Cross-Site Request Forgery (MoBiC-26). Тому розробникам капч потрібно покращувати їх безпеку.

Спасибі, що слідкували за проектом MoBiC. Усього найкращого. І приділяйте увагу своїй безпеці.

Вчора, 30.11.2007, відбувся міжнародний день захисту інформації. З чим вас і вітаю .

Міжнародний день захисту інформації відзначається 30 листопада, з 1988 року.

Цей рік не випадково став родоначальником свята, саме в цей рік була зафіксована перша масова епідемія хробака, що одержав назву по імені свого творця - Моріса. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки.

У 1988 році американська асоціація комп’ютерного устаткування оголосила 30 листопада міжнародним Днем захисту інформації (Computer Security Day). Таким чином Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників і користувачів устаткування і програмних засобів на проблему безпеки.

З тих пір у цей день з ініціативи Асоціації комп’ютерного устаткування проводяться міжнародні конференції по захисту інформації, супроводжувані масою цікавих заходів.

По матеріалам http://www.calend.ru.