Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Flexbb Sql Injection (деталі)
• Unrestricted file upload vulnerability in IceBB 1.0-rc5 (деталі)
• SQL injection vulnerability in IceBB 1.0-rc5 (деталі)
• Directory traversal vulnerability in Addressbook 1.2 module for PHP-Nuke (деталі)
• PHP remote file inclusion vulnerability in Cicoandcico CcMail 1.0 (деталі)
• CMS Made Simple: SQL injection (деталі)
• Disable website access for sites running Webspeed (деталі)
• Multiple SQL injection vulnerabilities in Free LAN In(tra|ter)net Portal (FLIP) (деталі)
• Cross-site scripting vulnerability in Free LAN In(tra|ter)net Portal (FLIP) (деталі)
• Міжсайтовий скриптінг в консолі адміністратора в Adobe JRun (деталі)
• Vulnerability in LifeType (деталі)
• Численні уразливості в MailEnable Web Mail Client (деталі)
• Обхід каталогу в IP3 NetAccess (деталі)
• PHP-інклюдинг в VS-Gastebuch (деталі)
• Multiple PHP remote file inclusion vulnerabilities in phpXmms 1.0 (деталі)

26 березня стартував конкурс CanSecWest PWN to OWN. Учасникам пропонувалося на вибір атакувати і прочитати вміст заданого файлу на трьох ноутбуках - VAIO VGN-TZ37CN з Ubuntu 7.10; Fujitsu U810 з Vista Ultimate SP1; MacBook Air з OSX 10.5.2.

Усі системи були цілком пропатчені й запущені в стандартній конфігурації, учасники взаємодіяли з ними через пряме підключення по кроссоверу, незалежно від інших. Відповідно до умов конкурсу, переможець унесе із собою повалений ноутбук і приз у 20 тисяч доларів при удачі в перший день змагання, 10 тисяч при успішній атаці в другий, і 5 тисяч - у третій.

У перший день системи були відкриті тільки для “чесних” віддалених атак, що виключають дії користувача машини, що атакується. Цей день не приніс успіху нікому.

В другий день були дозволені також атаки на будь-які прикладні програми, що йдуть у стандартному постачанні, і дії з ними, включаючи читання пошти, відкриття отриманих лінок тощо. Цей день приніс перемогу над MacBook Air - Чарлі Міллер, відомий одним з перших взломів iPhone, використав уразливість у Safari для захоплення керування системою.

Vista і Ubuntu перейшли в третій тур. Тут в гру вступили деякі популярні сторонні додатки. В останній день конкурсу був взломаний ноутбук з Vista Ultimate - після того як на нього була встановлена остання версія Adobe Flash, у якій виявилася свіжа і ще не обнародувана уразливість.

По матеріалам http://bugtraq.ru.

15.08.2007

У лютому, 12.02.2007, я знайшов Cross-Site Scripting уразливість на проекті video.ukrlink.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

16.04.2008

XSS:

• alert(document.cookie)

Хоча дана уразливість так і не була виправлена, але проект припинив свою роботу.

В даній добірці експлоіти в веб додатках:

• Invision Gallery <= 2.0.7 Remote SQL Injection Exploit (деталі)
• PHP-Nuke <= 8.0 Final (sid) Remote SQL Injection Exploit (деталі)
• PHP-Nuke < 8.0 (sid) Remote SQL Injection Exploit (деталі)
• YaBB SE <= 1.5.5 Remote Command Execution Exploit (деталі)
• SetCMS 3.6.5 (setcms.org) Remote Command Execution Exploit (деталі)
• Coppermine Photo Gallery <= 1.4.14 Remote SQL Injection Exploit (деталі)
• Easysitenetwork Recipe (categoryid) Remote SQL Injection Vulnerability (деталі)
• Siteman 1.1.9 (cat) Remote File Disclosure Vulnerability (деталі)
• Web Wiz NewsPad 1.02 (sub) Remote Directory Traversal Vulnerability (деталі)
• Exploits ACP3 (v4.0b3) - Multiple Vulnerabilities (деталі)

Ще 15.10.2006 я знайшов Cross-Site Scripting уразливість в Trashbin (WordPress plugin). Вразлива версія Trashbin 0.1 та потенціно наступні версії плагіна.

XSS:

Уразливість в скрипті trashbin.php в параметрі mtb_undelete.

http://site/wp-admin/edit.php?page=mtb_trashbin/trashbin.php&mtb_undelete=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дана уразливість пов’язана з діркою в самому WP. Тому даний плагін вразливий тільки на WordPress 2.0.7 і попередніх версіях. XSS можна виправити як в самому плагіни, так і оновивши движок до нових версій.

Раніше я вже писав про подібні уразливості в WP 2.0.x. Починаючи з версії WordPress 2.0.9 дані уразливості вже виправлені (як в самому движку, так і плагінах).

При проведенні аудиту безпеки веб сайта ви можете зіткнутися з наявністю на сайті баз даних. У випадку коли використовується СУБД PostgreSQL, то для проведення дослідження на предмет SQL Injection вам може стати у нагоді пам’ятка з SQL Injection в PostgreSQL. Існує одна подібна і детальна пам’ятка.

Postgres SQL Injection Cheat Sheet

В даній пам’ятці наводяться стандартні запити при проведенні перевірок на наявність SQL ін’єкцій в PostgreSQL.

В даній добірці уразливості в веб додатках:

• B2 Weblog and News Publishing Tool v0.6.1 >> RFI (деталі)
• adrevenue script (CyKuH.com) >> RFI (деталі)
• sunshop v4 >> RFI (деталі)
• Shop-Script v 2.0 >> RFI (деталі)
• phpMYTGP v1.4b >> RFI (деталі)
• ViewCVS and ViewVC ‘checkout view’ content type fixation issue (деталі)
• C-Arbre <= 0.6PR7 (root_path) Remote File Inclusion Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in Movable Type (MT) (деталі)
• SQL-ін’єкція в ThWboard (деталі)
• Variable overwrite vulnerability in OpenEMR (деталі)
• Обхід каталогу в Plain Old Webserver (деталі)
• Міжсайтовий скриптінг в eWay (деталі)
• SQL injection vulnerability in PollMentor 2.0 (деталі)
• Завантаження довільних файлів в eXtreme File Hosting (деталі)
• webSPELL 4.01.02 (showonly) Remote Blind SQL Injection Exploit (деталі)

Виявлене переповнення буфера в Python.

Уразливі версії: Python 2.5.

Цілочисленне переповнення, що приводить до переповнення буфера в PyString_FromStringAndSize().

• Incorrect input validation in PyString_FromStringAndSize() leads to multiple buffer overflows (деталі)

03.01.2008

У травні, 30.05.2007, я знайшов Cross-Site Scripting уразливість в пошукові системі Яндекс. Про що найближчим часом сповіщу адміністрацію системи.

Стосовно уразливостей в Яндексі останнього разу я писав про нову уразливість на yandex.ru.

Детальна інформація про уразливість з’явиться пізніше.

14.04.2008

Уразливість на http://hghltd.yandex.net - в кеші пошукової системи Яндекс.

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Як я розповідав в своїй доповіді про стан Інтернет безпеки, в Уанеті є багато заражених вірусами веб сторінок (за даними компаній Sophos та PC Tools). І ця ситуація погіршується з кожним роком - кількість сайтів, що розповсюджують віруси постійно зростає, тому що власники сайтів в Уанеті (та в цілому в Інтернеті) недостатньо приділяють уваги безпеці.

Статистика Уанета:

Кількість сторінок з вірусами в 2006 - 3,2%.
Кількість сторінок з вірусами в 2007 - 7,7%.

Це кількість сторінок українських веб сайтів з числа усіх виявлених дослідниками сторінок з вірусами. Зростання в 2,4 рази за рік. Якщо дана динаміка продовжиться в 2008 році, що дуже вірогідно, то в цьому році отримаємо:

Кількість сторінок з вірусами в 2008 - 18,48% (прогноз).

Дані показники отримані Sophos після перевірки 8 мільярдів сторінок. І враховучи, що за даними компанії Google, в 2007 році як мінімум одна з десяти веб сторінок була заражена шкідливим кодом, то загальна кількість заражих веб сторінок (у Sophos) орієнтовно дорівнює 800 мільйонам. З наведених даних можна отримати абсолютні значення кількості заражених веб сторінок в Уанеті.

Кількість сторінок з вірусами в 2006 - 25600000 сторінок.
Кількість сторінок з вірусами в 2007 - 61600000 сторінок.
Кількість сторінок з вірусами в 2008 - 147840000 сторінок (прогноз).

Зазначу, що динаміка зростання числа зарежених веб сторінок дуже висока. За даними Sophos, щодня інфікується 6000 веб сторінок. І це те, що виявляється даною компанією, реальна ж кількість сторінок, що заражається вірусами щодня, може бути значно більшою.

Враховучи, що кількість веб сайтів в Уанеті (в доменній зоні ua) за даними Гугла дорінює 84500000, і припустивши, що в середньому на сайт припадає 10 сторінок, можна визначити рівень зараженості Уанета.

Зараженість Уанета (з 845 мільйонів сторінок):

Зараженість в 2006 - 3,03%.
Зараженість в 2007 - 7,29%.
Зараженість в 2008 - 17,50% (прогноз).

Ось така статистика з зараженістю веб сторінок Уанета і такій мій прогноз на даний рік. Тому власникам сайтів, якщо вони не хочуть, щоб їхні сайти розповсюджували шкідливе ПЗ, слід починати серйозно відноситися до їх безпеки.