Websecurity - Веб безпека

Джеремія на початку місяця оголосив, що планує зібрати перелік веб хаків минулого року, щоб вибрати з них найкращі. Склавши перелік хаків, він нещодавно виклав остаточний перелік кандидатів і відкрив голосування за 10 найкращих веб хаків - The Polls are Open: Top 10 Web Hacks of 2007.

І ось сьогодні він підвів підсумки голосування і опублікував десятку найкращих веб хаків 2007 року - Top Ten Web Hacks of 2007 (Official).

Десятка найкращих веб хаків:

1. XSS Vulnerabilities in Common Shockwave Flash Files
2. Universal XSS in Adobe’s Acrobat Reader Plugin
3. Firefox’s JAR: Protocol issues
4. Cross-Site Printing (Printer Spamming)
5. Hiding JS in Valid Images
6. Firefoxurl URI Handler Flaw
7. Anti-DNS Pinning ( DNS Rebinding )
8. Google GMail E-mail Hijack Technique
9. PDF XSS Can Compromise Your Machine
10. Port Scan without JavaScript

Також вартий уваги (етакий приз симпатій):

• Microsoft ASP.NET Request Validation Bypass Vulnerability

Доволі цікавий список. В загальному переліку відсутні деякі цікаві розробки (і тому в голосуванні вони не приймали участі), зокрема мої власні розробки в минулому році. Котрі були варті уваги і згадки в даному переліку, але в будь-якому разі цікавий список веб хаків.

Виявлений зворотний шлях у каталогах URI chrome: в Mozilla Firefox (Directory traversal).

Уразливі версії: Mozilla Firefox 2.0 (включно Firefox 2.0.0.11).

Можливе звертання до локальних скриптів. Що може призвести до витоку інформації.

• Firefox chrome: URL Handling Directory Traversal (деталі)

В даній добірці уразливості в веб додатках:

• Tor security advisory: cross-protocol http form attack (деталі)
• Unrestricted file upload vulnerability in webSPELL (деталі)
• SQL injection vulnerability in webSPELL (деталі)
• smbftpd 0.96 format string vulnerability (деталі)
• Call Center Software - Remote Xss Post Exploit (деталі)
• Blind sql injection attack in INSERT syntax on PHP-nuke <=8.0 Final (деталі)
• Nabopoll Blind SQL Injection vulnerabilies (деталі)
• PHP-інклюдинг в MxBB Portal Knowledge Base/mx_kb (деталі)
• PHP-інклюдинг в MxBB Portal mx_modsdb (деталі)
• Directory traversal vulnerability in Formbankserver 1.9 (деталі)
• Multiple cross-site scripting vulnerabilities in AShop Deluxe 4.5 and AShop Administration Panel (деталі)
• Vulnerability in jgbbs (деталі)
• Уразливість при обробці стандартних полів в Mantis (деталі)
• Численні уразливості в WAWI (деталі)
• Vulnerability in WineGlass (деталі)

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2007 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2007 по 30.06.2007, а в звіті Хакерська активність в Уанеті в 2 півріччі 2007 - дані за період з 01.07.2007 по 31.12.2007.

За весь 2007 рік в Уанеті було проведено 17 атак на веб сайти - 6 за перше півріччя і 11 за друге. Для порівняння, за весь 2006 рік було зафіксовано всього 5 атак на веб сайти. Це невелика цифра порівняно з іншими регіонами Інтернету, але активність хакерів помітна і вона продовжує стрімко зростати.

Найбільш примітна динаміка зростання хакерської активності: за перше півріччя 2007 активність більша на 20% за весь 2006 рік, а за друге півріччя 2007 - на 83% більше за перше півріччя (і на 120% більше за весь 2006 рік). А в цілому в 2007 році активність зросла на 240% порівняно з 2006 роком - зростання в 3,4 рази.

В 2007 році загалом були атаковані наступні ресурси: www.vitrenko.org, www.kpu.net.ua, www.smru.com.ua, www.vydrin.com, www.partyofregions.org.ua, www.avtobazar.lg.ua, nik.ck.ua, www.spu.org.ua, blog.korrespondent.net, regions.org.ua, www.redtram.com, president.gov.ua, www.rabbinate.org.ua, forum.sevastopol.info та a2k.org.ua.

Зазначу, що це лише офіційна інформація, про яку власники сайтів офіційно заявили в пресу (зокрема в інтернет ЗМІ), тим самим підтвердивши її, або взлом був зафіксований зовнішніми веб ресурсами. Такий малий об’єм даних про взломи також свідчить про те, що більшість випадків просто приховується (або про них навіть не здогадуються, бо атаки хакерів просто не виявляються).

Серед головних тенденцій 2007 року в діяльності хакерів в Уанеті є те, що хакерська активність сильно зросла (на 240% порівняно з 2006 роком). Та те, що зросла кількість DDoS атак на сайти - 8 випадків DDoS атак за рік (при тому, що сайт президента України атакувався тривалий час і я всі атаки на даний сайт зарахував за одну). Це 47% від всіх атак за 2007 рік.

Підсумовуючи скажу, що хоча активність хакерів поки дуже низька, але ситуація змінюються і дуже стрімко. Тому разом із розвитком Уанету і збільшенням його аудиторії, буде збільшуватися і хакерська активність, що добре видно по результатам 2007 року.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

28.02.2007

Нещодавно, 23.02.2007, я знайшов Cross-Site Scripting уразливість на проекті http://expert.com.ua (Інтернет ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Тоді я як раз зайшов почитати новину Intel продемонстрировала в Киеве, как нужно защищать компьютеры, стосовно конференції IDC IT Security Roadshow 2007, котра як раз на днях проходила в Києві. І про сайт компаніїї IDC, що проводила дану конференцію, я згадув учора стосовно уразливості на idc-cema.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.01.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR4)

Сьогодні я також виявив Full path disclosure уразливість, коли перевіряв дану XSS. Також в листопаді я писав про уразливість в капчі - expert.com.ua CAPTCHA bypass.

Full path disclosure:

http://expert.com.ua/index.php?option=news3-1478′

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla panoramic component 1.0 Remote File Inclusion Vulnerability (деталі)
• Verlihub Control Panel <= 1.7.x Local File Inclusion Vulnerability (деталі)
• SkaDate Online 5.0/6.0 Remote File Disclosure Vulnerability (деталі)
• PHP Homepage M 1.0 galerie.php Remote SQL Injection Exploit (деталі)
• TorrentTrader Classic 1.07 Multiple Remote Vulnerabilities (деталі)
• Joomla component MOSMediaLite451 Remote File Inclusion Vulnerability (деталі)
• wzdftpd <= 0.8.0 (USER) Remote Denial of Service Exploit (деталі)
• idmos-phoenix cms (aural.php) Remote File Inclusion Vulnerability (деталі)
• LightBlog 8.4.1.1 Remote Code Execution Exploit (деталі)
• WSN Guest 1.21 Version Comments.PHP “ID” SQL Injection Exploit (деталі)

В пошуковій системі Google є чимало редиректорів (redirectors). Пропоную вашій увазі повний перелік редиректорів Гугла, що я знайшов в минулому році.

Про деякі редиректори Гугла я вже розповідав раніше:

• http://maps.google.com/local_url?q=http://websecurity.com.ua
• http://www.google.com/pagead/…adurl=http://websecurity.com.ua
• http://www.google.com/…url=http://websecurity.com.ua

Ось нові редиректори на різних доменах Гугла:

• http://www.google.com/local_url?q=http://websecurity.com.ua
• http://toolbar.google.com/local_url?q=http://websecurity.com.ua
• http://eval.google.com/local_url?q=http://websecurity.com.ua
• http://sketchup.google.com/local_url?q=http://websecurity.com.ua
• http://browsersync.google.com/…q=http://websecurity.com.ua

Дані 5 редиректорів ще працювали у вересні минулого року, але зараз Гугл їх вже прикрив. Але ще 3 редиректора нормально працюють.

• http://www.google.com/search?…btnI=websecurity.com.ua
• http://groups.google.com/searchhistory/…websecurity.com.ua
• http://www.google.com/codesearch/…X23gf9fC1XihA (для цього редиректора потрібно вказати хеш для лінки в Code Search)

У своєму пості Аспекты безопасности flash-приложений, Олександр Комлев навів презентацію Стефано Ді Паола стосовно безпеки flash додатків.

Stefano Di.Paola - Finding Vulnerabilities in Flash Applications

В своїй презентації “Знаходження уразливостей у флеш додатках”, Стефано розповідає про особливості безпеки технології Flash і додатків на її основі та пошук уразливостей у флешках.

Виявлені, ще в минулому році, численні уразливості в Microsoft Internet Explorer.

Уразливі версії: Internet Explorer 5.01, 6 та 7 на Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Численні ушкодження пам’яті в COM-об’єктах, при розборі HTML, перезапис файлів.

• Secunia Research: Internet Explorer HTML Objects Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Column Deletion Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS07-027 Cumulative Security Update for Internet Explorer (931768) (деталі)

В даній добірці уразливості в веб додатках:

• Memory overwrites in JVM via malformed TrueType font (деталі)
• Untrusted Java applet can connect to localhost (деталі)
• MyCalendar multiple XSS (деталі)
• Htaccess Passwort Generator 1.1 (ht_pfad) RFI Vulnerability (деталі)
• Snitz Forums 2000 Version 3.1 SR4 (pop_profile.asp) Remote SQL Injection Vulnerability (деталі)
• SQL injection vulnerability in webSPELL (деталі)
• Authentication bypass in webSPELL (деталі)
• Міжсайтовий скриптінг в ShopSite (деталі)
• Vulnerability in Geckovich TaskTracker Pro (деталі)
• PHP remote file inclusion vulnerability in OpenPinboard 2.0 (деталі)
• PHP-інклюдинг в MxBB Portal mx_newssuite (деталі)
• PHP-інклюдинг в BLOG:CMS (деталі)
• SQL injection vulnerability in Vizayn Haber (деталі)
• SQL injection vulnerability in ASP SiteWare autoDealer (деталі)
• Cross-site scripting (XSS) vulnerability in Belchior Foundry vCard PRO (деталі)