Websecurity - Веб безпека

15.01.2008

Виявленні численні уразливості безпеки в Apache.

Уразливі версії: Apache 1.3, Apache 2.0, Apache 2.2.

Міжсайтовий скриптінг, підміна запитів, ушкодження пам’яті і DoS у mod_proxy_balancer, міжсайтовий скриптінг у mod_proxy_ftp.

• Apache (mod_proxy_ftp) Undefined Charset UTF-7 XSS Vulnerability (деталі)
• Apache2 CSRF, XSS, Memory Corruption and Denial of Service Vulnerability (деталі)

17.01.2008

Додаткова інформація.

• Apache (mod_status) Refresh Header - Open Redirector (XSS) (деталі)

07.02.2008

Додаткова інформація.

• Apache mod_negotiation Xss and Http Response Splitting (деталі)

В даній добірці уразливості в веб додатках:

• DBGuestbook 1.1 (dbs_base_path) Remote File Include Vulnerabilities (деталі)
• DBImageGallery 1.2.2 (donsimg_base_path) RFI Vulnerabilities: (деталі)
• New mono packages fix integer overflow (деталі)
• File upload vulnerability in Connectix Boards (деталі)
• SQL injection vulnerability in Connectix Boards (деталі)
• PHP remote file inclusion vulnerability in hbm (деталі)
• SQL injection vulnerability in Design4Online UserPages2 2.0 (деталі)
• Acunetix WVS <= 4.0 20060717 HTTP Sniffer Component Remote DoS (деталі)
• HTTP Response Splitting атака в Oracle Portal (деталі)
• SQL injection vulnerability in VP-ASP Shopping Cart (деталі)
• Cross-site scripting (XSS) vulnerability in VP-ASP Shopping Cart (деталі)
• SQL injection vulnerability in uniForum (деталі)
• PHP-інклюдинг в TextSend (деталі)
• PHP-інклюдинг в phpProfiles (деталі)
• Vulnerability in slocate 3.1 (деталі)

Раніше я вже писав про XSS уразливість в CMS SiteEdit, виявлену на http://www.siteedit.ru - сайті виробника даної системи. І ось сьогодні, Олександр, повідомив в коментарях про те, що він виявив ще ряд дір на сайті. Котрі я перевірив і підтвердив їх та виявив ще чималу кількість нових Cross-Site Scripting уразливостей на даному сайті та в CMS SiteEdit (загалом 17 XSS).

XSS:

В скрипті thanks в параметрах formobj_email, formobj_message, formobj_edit, formobj_name, formobj_company, formobj_jobtitle, formobj_site, formobj_address, formobj_telephone, formobj_img, formobj_GoTo, autoreply_text.

http://site/thanks?formobj_email=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

В скрипті registration в параметрах login, email, first_name, last_name.

http://site/registration?login=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливості на http://www.siteedit.ru.

XSS:

В скрипті thanks в параметрах formobj_email, formobj_message, formobj_edit, formobj_name, formobj_company, formobj_jobtitle, formobj_site, formobj_address, formobj_telephone, formobj_img, formobj_GoTo, autoreply_text.

• alert(document.cookie)
• цікавий
• html включення

В скрипті registration в параметрах login, email, first_name, last_name.

• alert(document.cookie)
• цікавий
• html включення

У грудні минулого року IronPort Systems, бізнес-підрозділ Cisco, ведучий виробник рішень для захисту корпоративної електронної пошти від спама, вірусів, шпигунського й іншого шкідливого ПЗ, опублікувала свій щорічний звіт Internet Security Trends Report - 2008. У цьому матеріалі освітлені всі найбільш важливі аспекти Інтернет-безпеки, актуальні на сьогодні, розглянуті способи боротьби з ними і з ще більш витонченими загрозами, що, безсумнівно, виникнуть у майбутньому.

Поширення спама, вірусів, шпигунського й іншого шкідливого ПЗ обходиться досить дорого. Середньостатистичний користувач витрачає на видалення спама в середньому 5-10 хвилин щодня, таке “чищення” обходиться підприємству в середньому в $500 на робоче місце в рік. Набагато більше витрат спричинить за собою витік інформації. Майже 60 млн. користувачів визнаються, що їх конфіденційні особисті дані були скомпрометовані протягом 13 останніх місяців, а сума, витрачена на ліквідацію таких втрат, за світовою статистикою, перевищила 20 млрд. доларів. Факт, що 60% корпоративної інформації зберігається на незахищених комп’ютерах і ноутбуках. А 48% компаній не сповіщають своїх клієнтів у випадку втрати їхніх персональних даних.

Сучасне шкідливе ПЗ (як, наприклад, троян “Storm”) багато чого запозичає із соціальних мереж, співробітничає із сайтами, пов’язаними з Web 2.0, і найчастіше адаптоване під peer-to-peer. Зараження проходить непомітно, а вірус може залишатися місяцями чи навіть роками непоміченим традиційними антивірусами. Для нових версії троянів й інших вірусів характерні більш висока цілеспрямованість, вони не розраховані на таке “довге життя”. Старий принцип “те, що я бачу, не може принести істотної шкоди” більше не працює.

Говорячи про загальні тенденції поширення спама, вірусів та іншого шкідливого ПЗ цього року, варто сказати, що атаки стали набагато більш цілеспрямованими, більш масованими і витонченими, а також практично невидимими для традиційних засобів захисту.

Окремі тренди:

• Збільшення обсягів. Обсяги спама збільшилися на 100% і досягли відмітки в 120 млрд. повідомлень щодня, по 20 листів зі спамом на кожного жителя планети щодня. По підрахунках IronPort, на адресу кожного співробітника приходиться від 100 до 1000 спам-повідомлень у добу.
• Спам менше продає, але більше заражає. Повідомлення зі спамом стали менш сфокусовані на продажі якихось товарів і більше - на розширенні своїх ботів-мереж і поширенні шкідливого ПЗ. Якщо раніш спам-атаки були переважно спрямовані на продаж якогось виду продукту, то сьогодні спам переважно містить лінку на сайти, що займаються поширенням шкідливих програм.
• Значно збільшилася кількість вірусів і покращилось їхнє замаскування.
• Зменшення терміну використання окремих технік. Раніше кожна нова технологія використовувалася спамерами кілька місяців, а то і років (наприклад - спам у картинках). Більш нові технології, такі як MP3-спам, прожили всего 3 дні. У 2006 році спам у картинках був єдиним нововведенням, а в 2007 було винайдено більш 20 різних технологій.

Повна версія звіту на сайті виробника.

• Ежегодный отчет IronPort: Безопасность в Интернете – спам, вирусы и прочее вредоносное ПО. Итоги 2007. Прогнозы на 2008 (деталі)

01.09.2007

У лютому, 25.02.2007, я знайшов Cross-Site Scripting уразливість на http://dsec.ru - сайті секюріті компанії Digital Security. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

06.02.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Причому, що є традиційнии для секюріті компаній, мені подякувати вони зовсім забули. Зазначу, що хоча XSS уразливість вони виправили в своїй корзині покупця, але в ній ще є інша уразливість - Cross-Site Request Forgery.

CSRF:

<img src="http://dsec.ru/cart/?addtocart_product_id=35">

Дана уразливість дозволяє додати зазначений товар (також можна вказати його кількість) до корзини покупця. Також можна видаляти товари з корзини (вказавши нульову кількість). Тобто віддалений користувач може маніпулювати корзиною покупця.

В даній добірці експлоіти в веб додатках:

• Jakarta Slide <= 2.1 RC1 Remote File Disclosure Exploit (деталі)
• TikiWiki <= 1.9.8.1 Local File Inclusion Vulnerabilities (деталі)
• GoSamba 1.0.1 (include_path) Multiple RFI Vulnerabilities (деталі)
• Oracle 10g LT.FINDRICSET Local SQL Injection Exploit (IDS evasion) (деталі)
• Oracle 10g/11g SYS.LT.FINDRICSET Local SQL Injection Exploit (2) (деталі)
• emagiC CMS.Net 4.0 (emc.asp) Remote SQL Injection Vulnerability (деталі)
• CaupoShop Pro 2.x (action) Remote File Inclusion Vulnerability (деталі)
• JobSite Professional 2.0 file.php Remote SQL Injection Vulnerability (деталі)
• teatro 1.6 (basePath) Remote File Include Vulnerability (деталі)
• Php-Stats <= 0.1.9.1b PC-REMOTE-ADDR sql injection / cleat text admin pass (деталі)

Виявлені численні DoS-умови в PHP.

Уразливі версії: PHP 5.2.

Численні умови відмови в обслуговуванні в різних функціях.

• rPSA-2007-0242-1 php5 php5-cgi php5-mysql php5-pear php5-pgsql php5-soap php5-xsl (деталі)

В даній добірці уразливості в веб додатках:

• wu-ftpd fb_realpath() off-by-one bug (деталі)
• Cross-site scripting (XSS) vulnerability in Magic News Plus 1.0.2 (деталі)
• PHP remote file inclusion vulnerability in Magic News Plus 1.0.2 (деталі)
• WebSpell > 4.0 Authentication Bypass and arbitrary code execution (деталі)
• Online Web Building v2.0 (id) Remote SQL Injection (деталі)
• Ultimate Fun Book 1.02 (function.php) Remote File Include Vulnerability: (деталі)
• DZCP (Devilz Clanportal) <= 1.4.5 Mysql Data viewable (деталі)
• PHP remote file inclusion vulnerability in Geoffrey Golliher Axiom Photo/News Gallery (axiompng) (деталі)
• SQL injection vulnerability in @lex Guestbook (деталі)
• PHP-інклюдинг в cwmVote (деталі)
• Міжсайтовий скриптінг в Novell: Netware 6.5 SP5-SP6 (деталі)
• Уразливість при обробці команди PORT в Dream FTP Server (деталі)
• Multiple directory traversal vulnerabilities in @lex Guestbook (деталі)
• cacti cmd injection (деталі)
• PHP-інклюдинг в cwmCounter (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WassUp, dmsguestbook та Wordspew. Для котрих нещодавно з’явилися експлоіти. WassUp - це плагін для слідкування за відвідуванням сайта, dmsguestbook - це плагін для створення гостьової книги, а Wordspew - це плагін для створення AJAX чата.

• Wordpress Plugin WassUp 1.4.3 (spy.php to_date) SQL Injection Exploit (деталі)
• Wordpress Plugin dmsguestbook 1.7.0 Multiple Remote Vulnerabilities (деталі)
• Wordpress Plugin Wordspew Remote SQL Injection Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Як стало відомо на початку лютого, компанія Microsoft планує купити компанію Yahoo, причому за рекордну суму в $44,6 млрд. Стосовно можливої купівлі зазначу в контексті безпеки сайтів та додатків обох компаній.

Майкрософту варто звернути увагу на безпеку сайтів Yahoo, тому що разом з купівльою самої компанії (за дуже велику суму), вони ще отримають масу уразливостей на додачу. Котрі доведеться виправляти. При тому що у Microsoft і своїх дір на сайтах вистачає, а також в Internet Explorer та ISS. Я вже не кажу про дірки в Windows та інших додатках Майкрософт.

Тому варто виправити спочатку свої поточні дірки, а вже потім братися за купівлю інших компаній (що додасть нових дірок). Зокрема варто виправити Cross-Site Scripting уразливість в IE, що я виявив в серпні минулого року, про яку одразу ж повідомив Microsoft, і яка й досі не виправлена.

Так що MS варто спочатку зайнятися своїми дірками, перед тим, як купувати Yahoo. Причому бажано перед купівлею оцінити дірявість веб сайтів компанії, яку планується придбати, і виставити їм умови, щоб вони ще до купівлі виправили дірки на своїх сайтах. Тобто компанії, яких планують купити інші компанії, мають серйозно починати ставитися до безпеки (чим вони повинні були займатися й раніше), щоб краще виглядати в очах покупця. Це повинно стати звичайною практикою для всіх компаній, особливо онлайн-компаній.

В Уанеті в 2006 та 2007 роках також відбулося ряд придбань та надходжень інвестицій. І при цьому купувалися компанії та веб проекти з уразливостями на своїх сайтах - з числа тих, що вже засвітился в моїх новинах (або ще засвітяться). Тобто на складову безпеки сайтів при купівлі онлайн-проектів зовсім не зверталася увага. Що є невірним підходом і його потрібно змінювати. Бо навіщо купувати дірявий сайт, переважно, за чималі кошти, щоб потім мати справу з його дірками, тобто доведеться ще додатково вкладати в його безпеку (що не зробили попередні власники). І по тим придбанням, що відбулися в Уанеті, добре видно, що безпека даних веб проектів не змінилася (дірявість залишилася на тому ж рівні). Тому в майбутньому компаніям, що планують придбати веб проект, варто оцінювати стан його безпеки, а самому кандидату на придбання, варто піднімати стан безпеки на високий рівень.