Websecurity - Веб безпека

В WordPress 2.0.x (а також в наступних версіях, потенційно до 2.3.3 включно) є Weak Password уразливість. На котру я звернув увагу ще в 2006 році, як почав використовувати WP.

Дефолтний пароль при інсталяції: 6 символів і невеликий алфавіт (бо застосовується md5).

В системі використовується наступний алгоритм генерації паролю:
$random_password = substr(md5(uniqid(microtime())), 0, 6);

Враховуючи, що алфавіт всього 16 символів, а довжина - 6 символів, то всього можливих комбінацій: 16^6 = 16777216.

Враховуючи дані умови, а також те, що в системі є Abuse of Functionality уразливість, яка дозволяє підбирати логіни користувачів, та Brute Force уразливіть, яка дозволяє підбирати паролі, можна провести брутфорс атаку на сайт.

Підбір пароля (при 10 запитах в секунду):

Запитів: 16777216.
Час: 1677721,6 секунд = 19,42 днів.

В версії WordPress 2.5 ситуація краще.

Використовується функія wp_generate_password. Дефолтний пароль при інсталяції: 7 символів і нормальний алфавіт (62 символи). Всього можливих комбінацій: 62^7 = 3521614606208.

Про результати розвитку галузі інформаційної безпеки, в тому числі й безпеки в Інтернет, від відомих секюріті компаній та експертів я вже писав. Зараз підведу власні підсумки 2007 року.

Результати розвитку галузі веб безпеки в 2007 році.

1. Проведення великої кількості секюріті проектів: Місяць багів в Apple, Місяць багів в PHP, Місяць багів в MySpace, Місяць ActiveX багів, Місяць багів в Пошукових Системах, Місяць багів в Капчах.
2. XSS уразливості стали ще більш поширеними: за даними секюріті компаній в минулому році XSS були найпоширенішими уразливостями веб додатків.
3. Збільшення активності хакерів. Зокрема в Уанеті хакерська активність зросла на 240%.
4. Зростання кількості заражених вірусами веб сторінок.
5. Акцент пошуку уразливостей і написання експлоітів ще більше змістився в область веб додатків.
6. Збільшення атак на соціальні мережі.
7. Продовжили з’являтися веб віруси, які використовували уразливості на популярних веб проектах і вразили велику кількість їх користувачів.

08.01.2008

У червні, 02.06.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://about.com (в пошуці по сайту). Про що найближчим часом сповіщу адміністрацію проекту.

Саме цікаве, що їх локальний пошуковець Powered by Google . Як я писав в проекті MOSEB, я багато разів стикався з подібними уразливостями в пошуковцях, що базуються на технології Гугла.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.04.2008

Уразливість в пошуці по сайту http://search.about.com.

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR4)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• Oracle 10g R1 pitrig_truncate PLSQL Injection (get users hash) (деталі)
• Oracle 10g R1 pitrig_drop PLSQL Injection (get users hash) (деталі)
• phpCMS 1.2.2 (parser.php file) Remote File Disclosure Vulnerability (деталі)
• Smart Publisher 1.0.1 (disp.php) Remote Code Execution Vulnerability (деталі)
• Bigware Shop 2.0 pollid Remote SQL Injection Vulnerability (деталі)
• bubbling library 1.32 dispatcher.php Remote File Disclosure Vulnerabilities (деталі)
• ibProArcade <= 3.3.0 Remote SQL Injection Exploit (деталі)
• Mambo Component EstateAgent 0.1 Remote SQL Injection Vulnerability (деталі)
• Connectix Boards <= 0.8.2 template_path Remote File Inclusion Exploit (деталі)
• Exploits SunShop (v4) Multiple Vulnerabilities (деталі)

Представник Microsoft, відповідаючи на питання про недавній патч, що блокує Yahoo Music Jukebox, відзначив, що компанія вже не в перший раз блокує уразливі ActiveX на прохання виробників, хоча це і перший випадок, коли таке блокування удостоїлося окремого обновлення. В якості прикладу було назване блокування в грудні 2005 компонента від First4Internet (що використовувався в руткіті від Sony).

Уразливості в ActiveX компонентах доволі поширені. В минулому році навіть проводився проект Місяць ActiveX багів.

По матеріалам http://bugtraq.ru.

При проведенні аудиту безпеки веб сайта ви можете зіткнутися з наявністю на сайті баз даних. У випадку коли використовується СУБД IBM DB2, то для проведення дослідження на предмет SQL Injection вам може стати у нагоді пам’ятка з SQL Injection в DB2. Існує одна подібна і детальна пам’ятка.

DB2 SQL Injection Cheat Sheet

В даній пам’ятці наводяться стандартні запити при проведенні перевірок на наявність SQL ін’єкцій в DB2.

В даній добірці уразливості в веб додатках:

• FileRun Vuln. (деталі)
• Sendcard (sendcard.php) Sendcard Local File Inclusion Vulnerability (деталі)
• E-Annu (home.php) Remote SQL Injection Vulnerability (деталі)
• GHH Portal 1.1 (passwd.txt) Remote Password Disclosure Vulnerability (деталі)
• Flaw in about.r OS and Progress version disclosure (деталі)
• Kayako eSupport v3.00.90 Cross Site Scripting (XSS) (деталі)
• Drake CMS (v0.4.0) - CRLF Injection Vulnerability (деталі)
• Vulnerability in ACGVannu (деталі)
• Multiple SQL injection vulnerabilities in ACGVannu (деталі)
• Небезпечне створення тимчасових файлів в IBM DB2 (деталі)
• Виконання довільного коду в News File Grabber (деталі)
• e-xoopport 2.2.0 SQL Injection/DoS Exploit (деталі)
• PHP-інклюдинг в Ultimate Fun Book (деталі)
• PHP-інклюдинг в Interspire SendStudio (деталі)
• VicFTPS < 5.0 (CWD) Remote Buffer Overflow Exploit PoC (деталі)

У користувачів онлайнового пакета додатків Google Apps Premier Edition з’явилася можливість захистити персональні дані за допомогою додаткового механізму забезпечення безпеки під назвою A-OK.

Інструментарій A-OK, розроблений компанією Arcot, припускає застосування двухфакторної системи аутентифікації. Звичайно для доступу до свого акаунту користувачу Google Apps Premier Edition досить увести логін і пароль. Засоби A-OK доповнюють пароль другим шаром безпеки, що забезпечує захист у тих випадках, якщо мережевим зловмисникам удалося тим чи іншим способом викрасти реєстраційні дані передплатника Google Apps Premier Edition.

Система A-OK у процесі перевірки особистості користувача перевіряє не тільки пароль, але і спеціальний цифровий підпис, що зберігається в зашифрованому виді на комп’ютері передплатника. Якщо користувач намагається одержати доступ до свого акаунту з чужого комп’ютера, то йому доведеться відповісти на кілька питань, відповіді на які теоретично нікому не повинні бути відомі.

Працює система A-OK по моделі “сервіс по запиту”. Іншими словами, замовникам не прийдеться встановлювати на своїх комп’ютерах яке-небудь програмне забезпечення чи купувати додаткове устаткування. Усі роботи з підтримки A-OK виконують фахівці Arcot. Вартість підписки на інструментарій двухфакторної аутентифікації складає один долар на місяць у розрахунку на одного користувача.

По матеріалам http://www.secblog.info.

04.01.2008

У червні, 02.06.2007, я знайшов Cross-Site Scripting уразливість (а також Denial of Service) на проекті http://otherside.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.04.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

DoS:

http://otherside.com.ua/news/search.php?textfield=href

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• flinx <= 1.3 (category.php id) Remote SQL Injection Vulnerability (деталі)
• Tiger PHP News System 1.0b build 39 Remote SQL Injection Vulnerability (деталі)
• CandyPress eCommerce suite 4.1.1.26 Multiple Remote Vulnerabilities (деталі)
• Simple Forum 3.2 (FD/XSS) Multiple Remote Vulnerabilities (деталі)
• Bubbling Library 1.32 Multiple Local File Inclusion Vulnerabilities (деталі)
• phpIP 4.3.2 Numerous Remote SQL Injection Vulnerabilities (деталі)
• phpMyClub 0.0.1 (page_courante) Local File Inclusion Vulnerability (деталі)
• Oracle 10g R1 xdb.xdb_pitrig_pkg Buffer Overflow Exploit (PoC) (деталі)
• Oracle 10g R1 xdb.xdb_pitrig_pkg PLSQL Injection (change sys password) (деталі)
• Podium CMS - Cookie Manipulation Exploit (деталі)