Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• EsForum 3.0 (forum.php idsalon) Remote SQL Injection Vulnerability (деталі)
• PostNuke pnFlashGames Module v1.5 REmote SQL Injection (деталі)
• Supasite v1.23b <= Multiple Remote File Include Vulnerablitiy (деталі)
• Pagode 0.5.8(navigator_ok.php asolute)Remote File Disclosure (деталі)
• USP FOSS Distribution 1.01(download.php dnld)Remote File Disclosure (деталі)
• JulmaCMS 1.4(file.php file)Remote File Disclosure (деталі)
• burnCMS <= 0.2(root)Remote File Include Vulnerablities (деталі)
• SQL injection vulnerability in Enthrallweb eMates 1.0 (деталі)
• Інклюдинг локальних файлів в Quick.Cart (деталі)
• SQL injection vulnerability in Softwebs Nepal Ananda Real Estate (деталі)
• Multiple SQL injection vulnerabilities in cwmExplorer (деталі)
• Vulnerability in AlstraSoft Web Host Directory (деталі)
• SQL-ін’єкція в Anna^ IRC Bot (деталі)
• Декілька уразливостей в Photo Organizer (деталі)
• Authentication bypass in AlstraSoft Web Host Directory (деталі)

Виявлена можливість доступу до захищених файлів у Microsoft IIS (unauthorized access).

Уразливі версії: Microsoft IIS 5 на Windows 2000 Server.

Через шаблон null.htw можливий доступ до файлів сервера, що вимагають аутентифікацію.

• Microsoft IIS5 NTLM and Basic authentication bypass (деталі)

21.08.2007

У лютому, 16.02.2007, я знайшов Cross-Site Scripting, SQL Injection та Full path disclosure уразливості на сайті infoteh.com.ua (секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

12.01.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

SQL Injection:

http://infoteh.com.ua/search.php?search=’%23

Full path disclosure:

http://infoteh.com.ua/search.php?search=’

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• KwsPHP 1.0 sondages Module Remote SQL Injection Vulnerability (деталі)
• phpsyncml <= 0.1.2 Remote File Include Vulnerabilities (деталі)
• phpBB Mod Ktauber.com StylesDemo Blind SQL Injection Exploit (деталі)
• Sun jre1.6.0_X isInstalled.dnsResolve Function Overflow PoC (деталі)
• Streamline PHP Media Server 1.0-beta4 RFI Vulnerability (деталі)
• OneCMS 2.4 (userreviews.php abc) Remote SQL Injection Exploit (деталі)
• Lighttpd <= 1.4.17 FastCGI Header Overflow Remote Exploit (деталі)
• Flip <= 3.0 Remote Password Hash Disclosure Exploit (деталі)
• Flip <= 3.0 Remote Admin Creation Exploit (деталі)
• ajclassifiedsex.html (деталі)

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2007 року.

За другу половину минулого року хакери в Уанеті вели себе ще більш активно. Якщо за весь 2006 рік в Уанеті було проведено 5 атак на веб сайти, за першу половину 2007 року - 6 атак, то за другу половину 2007 року - вже 11 атак на веб сайти. Що говорить про значне збільшення активності хакерів в минулому році.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2007 року - за період з 01.07.2007 по 31.12.2007.

За цей час були взломані наступні сайти:

• сайт ресторану “НІК” nik.ck.ua (хакером dexspace) - 02.08.2007 (по інформації void.ru)
• сайт СПУ www.spu.org.ua (DDoS невідомими хакерами) - 04.08.2007 (по інформації for-ua.com)
• сайт a2k.org.ua (хакером похеки) - 23.08.2007 (по інформації void.ru)
• Блоги на Корреспонденті blog.korrespondent.net, що зараз переїхали на blogs.korrespondent.net (краснодарським хакером Маг) - 11.06.2007, але інформація з’явилася лише в серпні (по інформації ain.com.ua)
• сайт Партії регіонів www.partyofregions.org.ua (DDoS невідомими хакерами) - 17.09.2007 (по інформації lenta.ru)
• сайт Фракції Партії регіонів regions.org.ua (DDoS невідомими хакерами) - 31.09.2007 (по інформації ain.com.ua)
• взлом офіційного сайта локальної мережі (колишнім співробітником провайдерської фірми), про що я писав - в жовтні 2007 (по інформації ain.com.ua)
• сайт RedTram www.redtram.com (DDoS невідомими хакерами) - 23.10.2007 (по інформації expert.com.ua)
• сайт Президента України president.gov.ua (DDoS Євразійським союзом молоді), про що я писав - 29.10.2007 (по інформації ain.com.ua)
• сайт Головного Раввіната України www.rabbinate.org.ua (DDoS невідомими хакерами) - 05.11.2007 (по інформації ain.com.ua)
• форум “Севастопольского портала” forum.sevastopol.info (DDoS невідомими хакерами) - 12.11.2007 (по інформації ain.com.ua)

Стосовно мого взлому ain.com.ua (інша лінка) 28.10.2007 (щоб прочитати текст потрібно знайти новину за 28.10), то в даному переліку я його не наводжу. Тому що в моєму випадку це був добрий хак , тому до подібних переліків він не відноситься.

Рейтинг хакерів:

1. краснодарський хакер Маг (за взлом blog.korrespondent.net, з подальшим доступом до БД icq.bigmir.net)
2. невідомі хакери (що атакували сайт Партії регіонів)
3. невідомі хакери (що атакували сайт Фракції Партії регіонів)
4. Євразійці (що атакували сайт Президента України)
5. хакер dexspace
6. невідомі хакери (що атакували сайт СПУ)
7. невідомі хакери (що атакували форум “Севастопольского портала”)
8. звільнений працівник (що взломав офіційний сайт локальної мережі)
9. хакер похеки
10. невідомі хакери (що атакували сайт Головного Раввіната України)
11. невідомі хакери (що атакували сайт RedTram)

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2007 рік.

Виявлено переполнение буфера в бібліотеці t1lib та в PHP, що використовує дану бібліотеку.

Уразливі версії: PHP 4.4, PHP 5.2, t1lib 5.1.

Переповнення буфера в функції intT1_Env_GetCompletePath().

• T1Lib Buffer Overflow Vulnerability (деталі)
• t1lib vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• JChit counter 1.0.0 (imgsrv.php ac) Remote File Disclosure Vulnerability (деталі)
• GPB bulletin board Remote file include (деталі)
• AWBS v2.4.0 Remote file include[cart2.php] (деталі)
• phpBandManager 0.8 (index.php pg) Remote File Inclusion Vulnerability (деталі)
• ext 1.0 alpha1 (feed-proxy.php) Remote File Disclosure (деталі)
• firefly 1.1.01 <= Remote File Include Vulnerablitiy (деталі)
• phporacleview => (page_dir) Remote File Inclusion Exploit (деталі)
• PHP remote file inclusion vulnerability in SH-News 0.93 (деталі)
• SQL injection vulnerability in Enthrallweb ePages (деталі)
• SQL injection vulnerability in Enthrallweb eCars 1.0 (деталі)
• Інклюдинг локальних файлів в plx Pay (деталі)
• Обхід каталогу в ContentServ (деталі)
• SQL injection vulnerability in Dragon Business Directory - Pro (деталі)
• SQL injection vulnerability in Enthrallweb eJobs (деталі)
• Міжсайтовий скриптінг в cPanel (деталі)

Нещодавно виявився цікавий факт - один з сайтів Партії регіонів є небезпечним . З недавніх пір Гугл визначив, що Офіційний сайт Донецького областного вітділення Партії регіонів є небезпечним. Про що в останні дні писали різні онлайн ЗМІ.

Щоб побачити це на власні очі потрібно було лише зробити пошук даного сайта, наприклад по його домену: www.pr.dn.ua. Де Гугл видавав “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. Зараз ця обставина вже виправлена і Гугл нормально видає даний сайт в серпі (хоча ще вчора він визначався як небезпечний). Регіонали звернулися до суппорту пошуковця і вони швидко виправили дану ситуацію.

Виникає запитання: чи насправді сайт www.pr.dn.ua був небезпечний, чи це була лише помилка, бо просто так подібні статуси для сайтів на виставляють. Враховуючи те, що перед встановленням статусу небезпечного, сайт повинен був ретельно перевірятися модераторами, то можна допустити, що сайт все ж таки був небезпечний (що пізніше було виправлено).

Для того щоб отримати подібний статус, потрібно щоб на сайті був виявлений небезпечний контент. Котрий і був виявлений на сайті регіоналів, після чого він отримав статус небезпечного. В даному випадку слід визначити, яким чином зловмисний контент потрапив на сайт. Серед шляхів потрапляння подібного контенту на сайт можна виділити наступні:

1. Контент розмістили навмисно. Він міг бути “небезпечним”, “не дуже небезпечним” або навіть “майже не небезпечним”, але Гугл оцінив його як небезпечний для відвідувачів.

2. Контент розмістили не навмисно. Випадково нехороший файл чи скрипт потрапив на сайт (надавати його в відкритий доступ ніхто не хотів), потім його прибрали, але Гугл вже його примітив і оцінив сайт відповідним чином.

3. Сайт похакали і розмістили небезпечний контент. Що найбільш вірогідно.

Щоб з вашим сайтом (і взагалі з будь-яким сайтом) не трапилось подібного, щоб на сайті не розмістили шкідливий контент і його не “відмітили” в пошуковці, потрібно слідкувати за його безпекою. І проводити аудит безпеки сайта. Тільки дбаючи про безпеку свого сайта ви можете бути впевнені в його долі.

20.08.2007

У лютому, 13.02.2007, я знайшов Cross-Site Scripting уразливості на проекті tv.ukr.net. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проблем з безпекою на сервісах ukr.net я писав про уразливості на kino.ukr.net та informers.ukr.net.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.01.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення (PR5)

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla Component Flash Fun! 1.0 Remote File Inclusion Vuln (деталі)
• KwsPHP 1.0 Member_Space Module SQL Injection Exploit (деталі)
• KwsPHP 1.0 (login.php) Remote SQL Injection Exploit (деталі)
• Chupix CMS 0.2.3 (download.php) Remote File Disclosure Vulnerability (деталі)
• Omnistar Article Manager Software (article.php) SQL Injection Exploit (деталі)
• SimpCMS <= all (keyword) Remote SQL Injection Vulnerability (деталі)
• Joomla Component joom12Pic 1.0 Remote File Inclusion Vulnerability (деталі)
• Shop-Script FREE <= 2.0 Remote Command Execution Exploit (деталі)
• modifyform (modifyform.html) Remote File Inclusion Vulnerability (деталі)
• AJ Auction All Version (subcat.php) Remote BLIND SQL Injection Exploit (деталі)