Архів за Квітень, 2008

Weak Password уразливість в WordPress

23:51 23.04.2008

В WordPress 2.0.x (а також в наступних версіях, потенційно до 2.3.3 включно) є Weak Password уразливість. На котру я звернув увагу ще в 2006 році, як почав використовувати WP.

Дефолтний пароль при інсталяції: 6 символів і невеликий алфавіт (бо застосовується md5).

В системі використовується наступний алгоритм генерації паролю:
$random_password = substr(md5(uniqid(microtime())), 0, 6);

Враховуючи, що алфавіт всього 16 символів, а довжина - 6 символів, то всього можливих комбінацій: 16^6 = 16777216.

Враховуючи дані умови, а також те, що в системі є Abuse of Functionality уразливість, яка дозволяє підбирати логіни користувачів, та Brute Force уразливіть, яка дозволяє підбирати паролі, можна провести брутфорс атаку на сайт.

Підбір пароля (при 10 запитах в секунду):

Запитів: 16777216.
Час: 1677721,6 секунд = 19,42 днів.

В версії WordPress 2.5 ситуація краще.

Використовується функія wp_generate_password. Дефолтний пароль при інсталяції: 7 символів і нормальний алфавіт (62 символи). Всього можливих комбінацій: 62^7 = 3521614606208.

Результати розвитку веб безпеки в 2007 році

22:40 23.04.2008

Про результати розвитку галузі інформаційної безпеки, в тому числі й безпеки в Інтернет, від відомих секюріті компаній та експертів я вже писав. Зараз підведу власні підсумки 2007 року.

Результати розвитку галузі веб безпеки в 2007 році.

  1. Проведення великої кількості секюріті проектів: Місяць багів в Apple, Місяць багів в PHP, Місяць багів в MySpace, Місяць ActiveX багів, Місяць багів в Пошукових Системах, Місяць багів в Капчах.
  2. XSS уразливості стали ще більш поширеними: за даними секюріті компаній в минулому році XSS були найпоширенішими уразливостями веб додатків.
  3. Збільшення активності хакерів. Зокрема в Уанеті хакерська активність зросла на 240%.
  4. Зростання кількості заражених вірусами веб сторінок.
  5. Акцент пошуку уразливостей і написання експлоітів ще більше змістився в область веб додатків.
  6. Збільшення атак на соціальні мережі.
  7. Продовжили з’являтися веб віруси, які використовували уразливості на популярних веб проектах і вразили велику кількість їх користувачів.

Уразливість на about.com

19:14 23.04.2008

08.01.2008

У червні, 02.06.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://about.com (в пошуці по сайту). Про що найближчим часом сповіщу адміністрацію проекту.

Саме цікаве, що їх локальний пошуковець Powered by Google ;-) . Як я писав в проекті MOSEB, я багато разів стикався з подібними уразливостями в пошуковцях, що базуються на технології Гугла.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.04.2008

Уразливість в пошуці по сайту http://search.about.com.

XSS:

Дана уразливість досі не виправлена.

Добірка експлоітів

17:34 23.04.2008

В даній добірці експлоіти в веб додатках:

  • Oracle 10g R1 pitrig_truncate PLSQL Injection (get users hash) (деталі)
  • Oracle 10g R1 pitrig_drop PLSQL Injection (get users hash) (деталі)
  • phpCMS 1.2.2 (parser.php file) Remote File Disclosure Vulnerability (деталі)
  • Smart Publisher 1.0.1 (disp.php) Remote Code Execution Vulnerability (деталі)
  • Bigware Shop 2.0 pollid Remote SQL Injection Vulnerability (деталі)
  • bubbling library 1.32 dispatcher.php Remote File Disclosure Vulnerabilities (деталі)
  • ibProArcade <= 3.3.0 Remote SQL Injection Exploit (деталі)
  • Mambo Component EstateAgent 0.1 Remote SQL Injection Vulnerability (деталі)
  • Connectix Boards <= 0.8.2 template_path Remote File Inclusion Exploit (деталі)
  • Exploits SunShop (v4) Multiple Vulnerabilities (деталі)

Microsoft пообіцяла блокувати уразливі ActiveX по запиту виробників

22:45 22.04.2008

Представник Microsoft, відповідаючи на питання про недавній патч, що блокує Yahoo Music Jukebox, відзначив, що компанія вже не в перший раз блокує уразливі ActiveX на прохання виробників, хоча це і перший випадок, коли таке блокування удостоїлося окремого обновлення. В якості прикладу було назване блокування в грудні 2005 компонента від First4Internet (що використовувався в руткіті від Sony).

Уразливості в ActiveX компонентах доволі поширені. В минулому році навіть проводився проект Місяць ActiveX багів.

По матеріалам http://bugtraq.ru.

Пам’ятка DB2 SQL Injection

20:08 22.04.2008

При проведенні аудиту безпеки веб сайта ви можете зіткнутися з наявністю на сайті баз даних. У випадку коли використовується СУБД IBM DB2, то для проведення дослідження на предмет SQL Injection вам може стати у нагоді пам’ятка з SQL Injection в DB2. Існує одна подібна і детальна пам’ятка.

DB2 SQL Injection Cheat Sheet

В даній пам’ятці наводяться стандартні запити при проведенні перевірок на наявність SQL ін’єкцій в DB2.

Добірка уразливостей

15:37 22.04.2008

В даній добірці уразливості в веб додатках:

  • FileRun Vuln. (деталі)
  • Sendcard (sendcard.php) Sendcard Local File Inclusion Vulnerability (деталі)
  • E-Annu (home.php) Remote SQL Injection Vulnerability (деталі)
  • GHH Portal 1.1 (passwd.txt) Remote Password Disclosure Vulnerability (деталі)
  • Flaw in about.r OS and Progress version disclosure (деталі)
  • Kayako eSupport v3.00.90 Cross Site Scripting (XSS) (деталі)
  • Drake CMS (v0.4.0) - CRLF Injection Vulnerability (деталі)
  • Vulnerability in ACGVannu (деталі)
  • Multiple SQL injection vulnerabilities in ACGVannu (деталі)
  • Небезпечне створення тимчасових файлів в IBM DB2 (деталі)
  • Виконання довільного коду в News File Grabber (деталі)
  • e-xoopport 2.2.0 SQL Injection/DoS Exploit (деталі)
  • PHP-інклюдинг в Ultimate Fun Book (деталі)
  • PHP-інклюдинг в Interspire SendStudio (деталі)
  • VicFTPS < 5.0 (CWD) Remote Buffer Overflow Exploit PoC (деталі)

У Google Apps з’явилася система двухфакторної аутентифікації

22:49 21.04.2008

У користувачів онлайнового пакета додатків Google Apps Premier Edition з’явилася можливість захистити персональні дані за допомогою додаткового механізму забезпечення безпеки під назвою A-OK.

Інструментарій A-OK, розроблений компанією Arcot, припускає застосування двухфакторної системи аутентифікації. Звичайно для доступу до свого акаунту користувачу Google Apps Premier Edition досить увести логін і пароль. Засоби A-OK доповнюють пароль другим шаром безпеки, що забезпечує захист у тих випадках, якщо мережевим зловмисникам удалося тим чи іншим способом викрасти реєстраційні дані передплатника Google Apps Premier Edition.

Система A-OK у процесі перевірки особистості користувача перевіряє не тільки пароль, але і спеціальний цифровий підпис, що зберігається в зашифрованому виді на комп’ютері передплатника. Якщо користувач намагається одержати доступ до свого акаунту з чужого комп’ютера, то йому доведеться відповісти на кілька питань, відповіді на які теоретично нікому не повинні бути відомі.

Працює система A-OK по моделі “сервіс по запиту”. Іншими словами, замовникам не прийдеться встановлювати на своїх комп’ютерах яке-небудь програмне забезпечення чи купувати додаткове устаткування. Усі роботи з підтримки A-OK виконують фахівці Arcot. Вартість підписки на інструментарій двухфакторної аутентифікації складає один долар на місяць у розрахунку на одного користувача.

По матеріалам http://www.secblog.info.

Уразливості на otherside.com.ua

20:09 21.04.2008

04.01.2008

У червні, 02.06.2007, я знайшов Cross-Site Scripting уразливість (а також Denial of Service) на проекті http://otherside.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.04.2008

XSS:

DoS:

http://otherside.com.ua/news/search.php?textfield=href

Дані уразливості досі не виправлені.

Добірка експлоітів

16:26 21.04.2008

В даній добірці експлоіти в веб додатках:

  • flinx <= 1.3 (category.php id) Remote SQL Injection Vulnerability (деталі)
  • Tiger PHP News System 1.0b build 39 Remote SQL Injection Vulnerability (деталі)
  • CandyPress eCommerce suite 4.1.1.26 Multiple Remote Vulnerabilities (деталі)
  • Simple Forum 3.2 (FD/XSS) Multiple Remote Vulnerabilities (деталі)
  • Bubbling Library 1.32 Multiple Local File Inclusion Vulnerabilities (деталі)
  • phpIP 4.3.2 Numerous Remote SQL Injection Vulnerabilities (деталі)
  • phpMyClub 0.0.1 (page_courante) Local File Inclusion Vulnerability (деталі)
  • Oracle 10g R1 xdb.xdb_pitrig_pkg Buffer Overflow Exploit (PoC) (деталі)
  • Oracle 10g R1 xdb.xdb_pitrig_pkg PLSQL Injection (change sys password) (деталі)
  • Podium CMS - Cookie Manipulation Exploit (деталі)