Websecurity - Веб безпека

В своєму записі Cross-Site Scripting: Attackers’ New Favorite Flaw Robert Auger повідомив, ще в червні минулого року, що XSS стали найбільш популярними уразливостями серед нападників. В минулому році неодноразово в онлайновій пресі з’являлися статті, де Cross-Site Scripting визначався як найбільш поширена уразливість.

В даному випадку Роберт посилається на тодішню заяву Mitre про те, що XSS стали найбільш популярною уразливістю: “For years buffer overflow has been the favorite target of online attackers, but no more: Cross-site scripting is now the biggest culprit”.

Уразливості переповнення буферу стали менш поширеними серед знайдених уразливостей в 2007 році, поступившись місцем Cross-Site Scripting. Наступними по поширенності після них йдуть SQL injection уразливості.

Як деякий час тому повідомила Symantec, додаткові пошукові оператори Google допомагають спамерам обходити спам-фільтри. Пошуковий запит, у результаті якого видається бажаний сайт, має більше шансів дійти до кінцевого інбокса, чим пряме посилання.

Новий трюк, освоєний спамерами, працює таким чином. Для початку створюється точний пошуковий запит, у результаті якого Google видає одне єдине посилання - на рекламований сайт. Потім за допомогою додаткового оператора в рядку URL симулюється натискання кнопки “Мені повезе!”, що відсилає відвідувача прямо на перший сайт у списку. Готовий URL розсилається в спамі замість прямого посилання на сайт.

Для створення унікального запиту спамери використовують комбінацію операторів intext та inurl, що дозволяють звузити поле пошуку до вмісту сайта і його домена.

По матеріалам http://news.internetua.com.

P.S.

Використання пошукових систем, зокрема Гугла, для того, щоб обійти спам фільтри для розсилання спаму, а також лінків на фішінг та зловмисні сайти - це відоме явище. Про подібні речі говорили ще задовго до Symantec, зокрема трюк з I’m Feeling Lucky для симуляції редиректора давно відомий. Але це лише один з варіантів, інший - це використання редиректорів. В 2006 році я вже розповідав про використання редиректорів у злочинних цілях. Тому існує ряд можливостей для обходу фільтрів.

В даній добірці уразливості в веб додатках:

• XLAtunes 0.1 (album) Remote SQL Injection Vulnerability (деталі)
• Powerschool 404 Admin Exposure (деталі)
• MediaWiki Cross-site Scripting (деталі)
• Omnistar Live Software Cross-Site Scripting Vulrnability (деталі)
• SAXON version 5.4 Multiple Path Disclosure Vulnerabilities (деталі)
• SAXON version 5.4 SQL Injection Vulnerability (деталі)
• AGTC-Membership system v1.1a (adduser) Remote Add Admin Exploit (деталі)
• Newsletter MX <= 1.0.2 (ID) Remote SQL Injection Exploit (деталі)
• Завантаження довільних файлів в dadaIMC (деталі)
• PHP remote file inclusion vulnerability in b2 Blog (деталі)
• New squirrelmail packages fix cross-site scripting (деталі)
• SQL injection vulnerability in aFAQ 1.0 (деталі)
• SQL-ін’єкція в Bluetrait (деталі)
• Декілька уразливостей в AnnonceScriptHP (деталі)
• Cross-site scripting (XSS) vulnerability in Joomla! (деталі)

Ще в минулому році була виявлена уразливість міжсайтового скриптінга через RSS у багатьох додатках.

Уразливі продукти: Darksky RSS 1.28, Sleipnir 2.49, Portable Sleipnir 2.45, Firefox Sage extension 1.3.

Можливе впровадження скриптів у вміст RSS-новин.

• Cross-zone scripting vulnerability in Darksky RSS bar for Internet Explorer, Sleipnir and unDonut (деталі)
• Cross-zone scripting vulnerability in Sleipnir and Portable Sleipnir (деталі)
• XSS vulnerability in Firefox Sage extension (деталі)

23.08.2007

У лютому, 22.02.2007, я знайшов Cross-Site Scripting уразливості на проекті http://bg.meta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів компанії Мета я писав про уразливості на dating.meta.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.01.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• ActiveKB Knowledgebase 2.? (catId) Remote SQL Injection Vulnerability (деталі)
• IntegraMOD Nederland 1.4.2 Remote File Inclusion Vulnerability (деталі)
• Chupix CMS 0.2.3 (repertoire) Remote File Inclusion Vulnerability (деталі)
• lustig.cms BETA 2.5 (forum.php view) Remote File Inclusion Vulnerability (деталі)
• PhFiTo 1.3.0 (SRC_PATH) Remote File Inclusion Vulnerability (деталі)
• Zomplog <= 3.8.1 upload_files.php Arbitrary File Upload Exploit (деталі)
• Public Media Manager <= 1.3 Remote File Inclusion Vulnerability (деталі)
• Mambo Component Mambads <= 1.5 Remote SQL Injection Vulnerability (деталі)
• Tor < 0.1.2.16 ControlPort Remote Rewrite Exploit (деталі)
• Fistiq Duyuru Scripti Remote Blind SQL Injection Exploit (деталі)

Пропоную вам подивитися цікавий і веселий відеоролик про рекламу першої версії ОС Windows. В цьому рекламному ролику Стів Балмер розповідає про переваги Вінди .

Microsoft - Реклама Windows 1.0

Майже хвилина реклами Microsoft Windows - і ні слова про безпеку. За весь ролик Балмер, описуючи переваги Віндовса, жодного слова не сказав про безпеку. Майкрософт тоді навіть не думала про неї. Ось звідки йдуть всі сьогоднішні проблеми з дірявою Віндою, IE та іншими несекюрними продуктами даної компанії. Що в свою чергу призвело до вірусних епідемій, бот-мереж, спаму, DDoS та інших негативних проявів, з якими ми стикаємося сьогодні. Про безпеку потрібно думати починаючи з першої версії свого додатку.

В даній добірці уразливості в веб додатках:

• Joomla! swMenuFree 4.6 Component Remote File Include (деталі)
• Several vulnerabilities in CMS Made Simple 1.1.3.1 (деталі)
• wmtrssreader joomla component 1.0 Remote File Include Vulnerability (деталі)
• Lighttpd: Multiple vulnerabilities (деталі)
• Cisco Unified Communications Web-based Management Vulnerability (деталі)
• SQL Injection Vulnerabilty in cdr_addon_mysql (деталі)
• RSA Keon Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Multiple cross-site scripting vulnerabilities in Jim Hu and Chad Little PHP iCalendar (деталі)
• Vulnerability in Calendar MX BASIC (деталі)
• Vulnerability in tab editor for Personal .NET Portal (деталі)
• Декілька уразливостей в MidiCart Shopping Cart (деталі)
• PHP-інклюдинг в MxBB Portal mx_errordocs (деталі)
• Multiple SQL injection vulnerabilities in Efkan Forum (деталі)
• Vulnerability in Efkan Forum (деталі)
• Численні уразливості в ProNews (деталі)

Компанія Гугл має наміри запропонувати корпоративним клієнтам SaaS-рішення в галузі безпеки.

Ресурсом і основою для них стануть розробки, отримані компанією в результаті поглинання в 2007 році фірм GreenBorder Technologies і Postini. Травнева покупка дала Google технології захисту ПК за допомогою переміщення веб-браузерів Microsoft Internet Explorer і Mozilla Firefox і поштового клієнта Outlook у спеціальне, ізольоване середовище. А завдяки липневому придбанню в розпорядження до пошукового гіганта потрапили інструменти захисту систем обміну повідомленнями. Останні недавно були інтегровані в рішення Google Apps Premier Edition. Очевидно, не варто недооцінювати і факт одержання Google інженерів компаній, що будуть не тільки поєднувати сервіси забезпечення безпеки з прикладними рішеннями, але і працювати над новими захисними засобами.

Варто відмітити, що цілі даної ініціативи Google відмінні від цілей постачальників SaaS-рішень забезпечення безпеки. Якщо останні (наприклад, Symantec), як правило, пропонуючи нову категорію продуктів, прагнуть захопити частину ринку захисних онлайн-засобів, що швидко розвивається, то для першої головне - за допомогою таких рішень вселити в людей упевненість у цілості їх даних. Адже однією з головних перешкод до застосування сервісного ПЗ є побоювання за надійність збереженої на іншому кінці земної кулі інформації і відсутність належного рівня контролю над часом надзвичайно важливими даними.

По матеріалам http://www.ko.itc.ua.

27.02.2007

Декілька днів тому, 21.02.2007, я знайшов Cross-Site Scripting уразливість на http://idc-cema.com - сайті відомої компанії IDC. Про що найближчим часом сповіщу адміністрацію сайту.

В середині місяця, один з активних користувачів мого веб проекту, повідомив мені, що в Києві відбудеться конференція IDC IT Security Roadshow 2007 Інформаційна безпека бізнесу: люди та технології. Конференція як раз на тему секюріті, от мені воно повинно бути цікавим, міг би й сходити. Ця новина мене зацікавила. Хоча й останнім часом я на виставки та конференції рідко хожу. Останній раз взагалі був на ІТ виставці аж в 2004 (одразу на трьох виставках: Цифроманія 2004, KYIV HI-FI Show 2004 та Kyiv DigiPhoto Show 2004), хоча й раніше я подібні виставки регулярно відвідував.

Так от, зайшов я на сайт. І виявилося, що вже всі запрошення роздані (до 20.02), тому не встиг я (так і буде). Та раз вже я зайшов на сайт, то і звернув увагу на його безпеку - конференція все ж таки на секюріті тематику. І як я й очікував, сайт виявився вразливим (до XSS). Тому я б радив IDC перед тим як проводити конференції на тему безпеки, спочатку зайнятися безпекою власного сайта.

Детальна інформація про уразливість з’явиться пізніше.

16.01.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.