Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Lama Software (14.12.2007) Multiple Remote File Inclusion Vulnerabilities (деталі)
• IDM-OS 1.0 (download.php fileName) File Disclosure Vulnerability (деталі)
• OZJournals 2.1.1 (id) File Disclosure Vulnerability (деталі)
• boastMachine <=3.1 (mail.php id) SQL Injection Vulnerability (деталі)
• Mooseguy Blog System 1.0 (blog.php month) SQL Injection Vulnerability (деталі)
• Coppermine Photo Gallery 1.4.10 Remote SQL Injection Exploit (деталі)
• AlstraSoft Forum Pay Per Post Exchange 2.0 SQL Injection Vulnerability (деталі)
• aflog 1.01 comments.php XSS / SQL Injection Vulnerability (деталі)
• MoinMoin 1.5.x MOIND_ID cookie Bug Remote Exploit (деталі)
• 2005-2006 The Merchant Project Remote File Include Exploit (деталі)

У червні, 21.06.2007, я знайшов Cross-Site Scripting уразливості на http://www.google.com та http://translate.google.com - в сервісі Google Translate компанії Гугл. Про що найближчим часом сповіщу адміністрацію системи.

XSS (Remote XSS/HTML Include):

http://www.google.com

• редиректор
• редиректор (друга версія)

http://translate.google.com

• редиректор
• редиректор (друга версія)

Remote XSS Include та Remote HTML Include - це різновид XSS уразливостей, про який я розповідав раніше.

Дані уразливості подібні до уразливостей в пошуці Гугла по зображенням, про які я писав в записі MOSEB-15: Vulnerabilities at images.google.com.

На початку лютого, 08.02.2008, я виступив з доповіддю про Інтернет безпеку для представників міжнародної компанії Headtechnology.

Доповідь доступна на українській та російській мові:

Інтернет безпека: сучасний стан та перспективи

Интернет безопасность: текущее состояние и перспективы

Хоча презентація є короткою, але сама доповідь тривала дві години. До речі, в якості бонуса в доповіді наводиться уразливість на сайті Приват Банка , як приклад реальної уразливості, що може бути використана для атаки на користувачів банка.

Число комп’ютерів у складі виявленої фахівцями Damballa Solutions зомбі-мережі під назвою Kraken досягло 400 тисяч. При цьому існування бот-мережі підтвердили в SANS Internet Storm Center. У повідомленні Центра відзначено, що дослідникам удалося зафіксувати мережеві пакети, передані командними серверами ботнета, що базуються в США, Франції і Росії.

Розміри виявленої зомбі-мережі помітно більше всесвітньо відомої Stormbot, що складалась в листопаді минулого року з 230000 комп’ютерів. Відповідно до висновків експертів, у зомбі-мережу Kraken уже включені машини до 50 компаній зі списку Fortune 500.

Ботнет, як упевнені в Damballa, формується вірусом, що поширюється за допомогою прихованих графічних файлів. Відкриття цих файлів і заражає комп’ютер користувача: у момент відкриття вже виконується установка вірусу.

Авторам вірусу дуже добре відомі механізми роботи антивірусних сканерів, відзначає дослідник з Dambala Пол Роял. За даними експертів, 80% антивірусного програмного забезпечення просто не виявляють вірус. Крім цього, він періодично задіює можливість самообновлення. Це значить, що бот-мережа, можливо, буде використовуватися не тільки для розсилання спама, думають експерти з Damballa.

Поки зомбі-мережею користуються в основному спамери, що пропонують медикаменти, послуги казино і кредитні схеми. Повідомляється, що деякі боти мережі Kraken у добу можуть розіслати до 500 тисяч листів, що містять спам. Як пророкують фахівці, у квітні 2008 року зомбі-мережа Kraken збільшиться ще на 50%, і кількість заражених комп’ютерів досягне 600 тисяч.

По матеріалам http://eplus.com.ua.

В даній добірці уразливості в веб додатках:

• b2evolution Remote File Inclusion (деталі)
• download engine V1.4.1 >> RFI (local) (деталі)
• nucleus 3.22 >> RFI (деталі)
• blogsystem 1.4 >> local & remote = -rfi & lfi & -xss (деталі)
• Built2Go_PHP_Link_Portal_v1.79 >> RFI (деталі)
• Searchactivity >> RFI (деталі)
• comus 2.0 Final >> RFI (деталі)
• Уразливість при обробці LPSV і LPRT команд в oftpd (деталі)
• Міжсайтовий скриптінг в MoinMoin (деталі)
• MySQL 4.x/5.0 User-Defined Function Command Execution Exploit (win) (деталі)
• Міжсайтовий скриптінг в phpMyVisites (деталі)
• PHP-інклюдинг в OPENi-CMS Seitenschutz (деталі)
• AMD64 x86 emulation Sun’s J2SE Development Kit multiple vulnerabilities (деталі)
• VS-Gastebuch <= 1.5.3 (gb_pfad) Remote File Include Exploit (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in AbleDesign MyCalendar (деталі)

24.12.2007

У травні, 27.05.2007, я знайшов Cross-Site Scripting уразливості на проекті http://www.searchuk.com (пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.04.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але залишились ще дві інші.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані дві уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Gradman <= 0.1.3 (agregar_info.php) Local File Inclusion Exploit (деталі)
• PHP-RESIDENCE 0.7.2 (Search) Remote SQL Injection Vulnerability (деталі)
• MyBulletinBoard (MyBB) <= 1.2.10 Multiple Remote Vulnerabilities (деталі)
• MyBulletinBoard (MyBB) <= 1.2.10 Remote Code Execution Exploit (1st) (деталі)
• Mini File Host 1.2 (upload.php language) LFI Vulnerability (деталі)
• PHPEcho CMS 2.0 (id) Remote SQL Injection Vulnerability (деталі)
• Small Axe 0.3.1 (linkbar.php cfile) Remote File Inclusion Vulnerability (деталі)
• Gradman <= 0.1.3 (info.php tabla) Local File Inclusion Vulnerability (деталі)
• AuraCMS 1.62 (stat.php) Remote Code Execution Exploit (деталі)
• psipuss 1.0 (editusers.php) Remote Change Admin Password Exploit (деталі)

В минулому році була виявлена Brute Force уразливість в WordPress. Вона була виявлена в перших версіях 2.0.x, але вона наявна і в наступних версіях Вордпреса (як і Abuse of Functionality уразливість). Тому вразливі усі версії WordPress: гілки 2.0.x, 2.1.x, 2.2.x та 2.3.x (і вірогідно 1.x), а також, як я перевірив, нова версія 2.5.

Відкривач цієї уразливості, Kad, в своєму повідомленні також звернув увагу на Abuse of Functionality уразливість в WP, про яку я писав. Але він не зосередив увагу на ній, як на окремій дірці, лише додатково про неї згадав, що вона може стати в нагоді при брутфорс атаці (і зробив експлоіт тільки для підбору паролю). Тому я й написав ще окремо про Abuse of Functionality уразливість.

При проведенні Brute Force атаки можна використовувати різні методи: повний перебір, атаку по словнику, комбіновану атаку. За допомогою даної уразливості можна підібрати пароль для заданого користувача сайта (в тому числі адміна), логін якого відомий. Отримати логін користувача сайта можна за допомогою вищезгаданої Abuse of Functionality уразливості.

В якості захисту від брутфорс атаки можна використати капчу, або обмеження на кількість невірних введень логіну та паролю. Або використовувати надійний пароль.

• Wordpress <= 2.x dictionnary & Bruteforce attack (деталі)

Новий тест для вашого браузера. Даний експлоіт виконує DoS атаку на Internet Explorer 6 (та можливо сьому версію IE).

Уразливість пов’язана з переповненням буферу в стандартному ActiveX об’єкті в Microsoft Internet Explorer.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, на моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт працює.

Протестувати Internet Explorer 6

Останній тест для IE був DoS в Internet Explorer 6 і Firefox, з яким ви також можете ознайомитися.

Кількість фішерських розсилок, що заманюють користувачів на підставні сайти для введення банківських реквізитів, росте зі швидкістю 56% на місяць, стверджувала в минулому році “Антифішерськая робоча група” (Anti-Phishing Working Group).

По підрахункам групи, жертвами фішерів стає кожен десятий одержувач підроблених листів. А Gartner Group називає приблизне загальне число жертв - 1,78 млн. американців - і приводить приблизну суму грошей, викрадену за допомогою крадених реквізитів - $2,4 млрд.

По матеріалам http://www.securitylab.ru.