Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• CreaDirectory v1.2 Remote SQL Injection Vulnerability (деталі)
• osp <= 1.2.1 (cfgPathToProjectAdmin) Remote File Include Vulnerablities (деталі)
• AjPortal2Php (PagePrefix) Remote File Inclusion Vulnerabilities (деталі)
• StoreFront for Gallery (GALLERY_BASEDIR) Remote File Inclusion Vulnerabilities (деталі)
• sunshop 4 (index.php) Remote File Include Vulnerability (деталі)
• CNStats 2.9 (who_r.php) Remote File Include Vulnerability (деталі)
• Pixaria Gallery 1.x (class.Smarty.php) Remote File Include Vulnerability (деталі)
• QDBlog v0.4 - MULTIPLE VULNERABILITIES (деталі)
• Expow 0.8 File manager Autoindex.php (cfg_file) Remote File Inclusion Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in Community Server (деталі)

Федеральні обвинувачі США підозрюють українського емігранта Юрія Рябініна, також відомого як Юрій Ракушинець, у хакерському взломі сервера Citibank.

Як повідомляється, розслідування хакерського проникнення в сервер Citibank, що обробляє зняття готівки у банкоматах, привело до двох жителів Брукліна, якими виявилися Рябінін і деякий Іван Бильце. Можливо, вони здійснили в лютому сотні фальшивих знять коштів у банкоматах Нью-Йорка на суму не менше $750000.

Рябініну пред’явлені обвинувачення в доступі до банкомата з застосуванням технічних засобів, а також участь у міжнародних кіберзлочинах. Як вважає слідство, Рябінін одержав ПІН-коди через Інтернет від тих, хто взломав сервер Citibank.

При обшуку в будинку Рябініна був виявлений комп’ютер, залогінений на кардерському форумі, пристрій запису на магнітну стрічку, 800000 доларів готівкою. В орендованому Рябініним і його дружиною, Оленою, сейфі, виявилися ще 99000 доларів. Ще $800000 було виявлено в іншого обвинувачуваного, Івана Бильце, що можливо також знімав готівку в банкоматах.

За інформацією журналістів, Citibank заперечує факт взлому своїх систем. У той же час представники банку в лютому попередили ФБР про несанкціонований доступ до сервера, що обробляє зняття готівки у мережі магазинів 7-Eleven.

Злочин може стати першим пограбуванням банкоматів, пов’язаним зі взломом систем одного з найбільших американських банків. Дотепер PIN-коди в основному добувалися зловмисниками за допомогою фішинга, підглядання, а також спеціальних технічних “модифікацій” панелі керування банкомата.

По матеріалам http://itua.info.

19.05.2008

У жовтні, 21.10.2007, я знайшов Cross-Site Scripting уразливості в системі PHP-Nuke. Дірки я виявив на її офіційному сайті http://phpnuke.org.

Дані уразливості я виявив як раз коли знайшов дві Insufficient Anti-automation уразливості в даній системі, про що я писав в записах MoBiC-10: PHP-Nuke CAPTCHA bypass та MoBiC-10 Bonus: another PHP-Nuke CAPTCHA bypass.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.06.2008

XSS:

POST запит на сторінці http://site/modules.php?name=Your_Account &op=new_user

"><script src=http://site/script.js>В полях: gfx_check та random_num.

Експлоіт:

PHP-Nuke CAPTCHA bypass + XSS.html

Уразливі версії PHP-Nuke 7.7 та 8.1.

В даній добірці експлоіти в веб додатках:

• RunCMS Module section (artid) Remote SQL Injection Vulnerability (деталі)
• Joomla Components custompages 1.1 Remote File Inclusion Vulnerability (деталі)
• Cuteflow Bin 1.5.0 (login.php) Local File Inclusion Vulnerability (деталі)
• destar 0.2.2-5 Arbitrary Add New User Exploit (деталі)
• Joomla Component rekry 1.0.0 (op_id) SQL Injection Vulnerability (деталі)
• PowerBook 1.21 (index.php page) Local File Inclusion Vulnerability (деталі)
• phpBB Module XS-Mod 2.3.1 Local File Inclusion Vulnerability (деталі)
• PowerPHPBoard 1.00b Multiple Local File Inclusion Vulnerabilities (деталі)
• HIS-Webshop (his-webshop.pl t) Remote File Disclosure Vulnerability (деталі)
• Exploits CodeBreak (codebreak.php process_method) - Remote File Inclusion Vulnerability (деталі)

Ще в позаминулому році, 28.09.2006, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://dnevnik.bigmir.net. І ці уразливості як були довгий час на сервісі блогів Бігміра до вказаної дати, так й залишилися після неї - вони по сьогодні так і не були виправлені. Лише після початку використання WAF (з осені минулого року) на Бігмірі, можливості використання даних уразливостей зменшились, але самі дірки так і не були виправлені .

Що відповідним чином характеризує даний блог-сервіс, як й інші сервіси блогів, де я регулярно знаходжу уразливості. Останніми я згадував уразливості на livejournal.com та на blog.i.ua.

XSS (через HTTP Response Splitting):

• alert(document.cookie)

Дана XSS уразливість вже не працює (в зв’язку з WAF).

Redirector:

http://dnevnik.bigmir.net/go/?url=http://websecurity.com.ua

В лютому, 26.02.2008, я знявся для телепередачі телеканалу Інтер. І спеціально для мого виступу на Інтері я розробив презентацію про фішинг-атаки через Інтернет.

Презентація доступна на українській та російській мові:

Фішинг-атаки через Інтернет на користувачів банків

Фишинг-атаки через Интернет на пользователей банков

В презентації наводяться приклади фішерських атак через підставний сайт пошукової системи, підроблений сайт банку та через уразливість на сайті банку.

В минулому році виявлене переповнення буфера у функції PHP msql_connect.

Уразливі версії: PHP 5.2.

Переповнення буфера стекової пам’яті на довгому аргументі.

• PHP mSQL (msql_connect) Buffer Overflow PoC (деталі)

В даній добірці уразливості в веб додатках:

• DB Manager XSS vuln. (деталі)
• Directory Image Gallery XSS vuln. (деталі)
• Minki XSS vuln. (деталі)
• Wikepage XSS vuln (деталі)
• drupal Zend Hash Del Key Or Index php injection (деталі)
• SQL-ін’єкція в E-Xoopport (деталі)
• Drupal < 5.1 (post comments) Remote Command Execution Exploit v2 (деталі)
• Drupal < 4.7.6 (post comments) Remote Command Execution Exploit v2 (деталі)
• Cisco Unified IP Conference Station and IP Phone Vulnerabilities (деталі)
• SQL injection vulnerability in Sphider (деталі)

19.02.2008

У липні, 15.07.2007, я знайшов Cross-Site Scripting уразливості, в тому числі і Persistent XSS, на проекті http://www.skyse.ru (мета пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)

XSS (Persistent):

• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla Component joovideo 1.2.2 (id) SQL Injection Vulnerability (деталі)
• Joomla Component Datsogallery 1.3.1 Remote SQL Injection Vulnerability (деталі)
• RunCMS Module Photo 3.02 (cid) Remote SQL Injection Vulnerability (деталі)
• ZyXEL ZyWALL Quagga/Zebra (default pass) Remote Root Vulnerability (деталі)
• phpAddressBook 2.11 Multiple Local File Inclusion Vulnerabilities (деталі)
• ASPapp Knowledge Base Remote SQL Injection Vulnerability (деталі)
• PHP-Nuke Platinum 7.6.b.5 (dynamic_titles.php) SQL Injection Exploit (деталі)
• XLPortal <= 2.2.4 (search) Remote SQL Injection Exploit (деталі)
• PostNuke <= 0.764 Blind SQL Injection Exploit (деталі)
• Exploits CMS Creamotion - Remote File include (деталі)