Websecurity - Веб безпека

В своєму пості The Danger of Pre-canned RFI Exploits, RSnake підняв цікаву тему. Готові RFI експлоіти можуть бути небезпечними (тим чи іншим чином). І якщо бути не дуже уважним, і особливо якщо той, хто запускає експлоіт не сильно розбирається в RFI уразливостях та експлоітах для них, то можна зіштовхнутися з деякими проблемами.

Аналізуючи коди різних експлоітів, як для RFI, так й інших уразливостей, мені доводилося зіштовхуватися з деякими “бонусами”, що залишили їх розробники . В своєму пості RSnake зупинився саме на Remote File Include експлоітах. Він наводить три приклади, розглядаючи потенційні проблеми, котрі можуть виникнути при необережному використанні експлотів.

Серед згаданих RFI експлоітів, перший цілком нормальний (без сюрпризів). Другий вже більш цікавий. В ньому вказаний зовнішний шел, що дозволяє автору експлоіта, якщо забудуть змінити шел, отримати для себе додаткові перваги - отримати доступ до нових машин без необхідності самому шукати сайти і виконувати атаки (за нього це зроблять скрипт-кідіси). А третій приклад експлоіта ще краще - при його запуску на власному веб сервері (при тестуванні), в зв’язку зі зовнішнім шелом, ви створите в себе бекдор. Тому при використанні готових експлоітів варто бути уважними.

В даній добірці уразливості в веб додатках:

• dBlog CMS Open Source database retrieval (деталі)
• Critical Sql Injection in NukeSentinel 2.5.12 (деталі)
• Stuffed Tracker Multiple Cross-Site Scripting VULN (деталі)
• TorrentTrader Classic Mutiple Remote vulnerabilities (деталі)
• new vuln in snewscms.net.ru in lang file (деталі)
• Else If cms Multiple Remote vulnerabilities (деталі)
• idmos-phoenix cms Remote File inclusion (деталі)
• CMS Creamotion - Remote File inclusion (деталі)
• dbList XSS vuln. (деталі)
• Vulnerability in Portal Search (деталі)

В минулому році була виявлена можливість обходу захисту безпечного режиму через htaccess в PHP (protection bypass).

Уразливі версії: PHP 4.4, PHP 5.2.

Можлива маніпуляція роботою різних функцій, таких як session_save_path() та ini_set() через змінні htaccess.

• PHP 5.2.4 mail.force_extra_parameters unsecure (деталі)
• PHP 5.2.3 PHP 4.4.7, htaccess safemode and open_basedir Bypass Vulnerability (деталі)

13.02.2008

У липні, 12.07.2007, я знайшов Cross-Site Scripting уразливості на проекті http://exchengine.ru (сервіс обміну веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно обмінників веб грошей я писав про уразливість на onlinechange.com.

Детальна інформація про уразливості з’явиться пізніше.

18.06.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

Виявлена можливість DoS атаки через Sleep() в PHP.

Уразливі версії: PHP 5.2.6 та попередні.

Час функції Sleep() не обмежений max_execution_time, що може привести до вичерпання ресурсів.

• function sleep() in all versions of PHP (деталі)

В даній добірці експлоіти в веб додатках:

• Home FTP Server 1.4.5 Remote Denial of Service Exploit (деталі)
• ASPapp (links.asp CatId) Remote SQL Injection Vulnerability (деталі)
• Easy-Clanpage 2.2 (id) Remote SQL Injection Vulnerability (деталі)
• Joomla Component Restaurante 1.0 (id) SQL Injection Vulnerability (деталі)
• Mambo Component accombo 1.x (id) SQL Injection Vulnerability (деталі)
• Joomla Component Alberghi <= 2.1.3 (id) SQL Injection Vulnerability (деталі)
• PEEL CMS Admin Hash Extraction and Remote Upload Exploit (деталі)
• CenterIM <= 4.22.3 Remote Command Execution Vulnerability (деталі)
• D.E. Classifieds (cat_id) Remote SQL Injection Vulnerability (деталі)
• Exploits ELSE IF CMS Multiple vulnerabilities (деталі)

В статті Advosys Web Tips: Detecting CGI script abuse розповідається про один цікавий і давній метод визначення спроб сканування уразливостей у веб додатках. Зокрема сканування CGI скриптів. Але окрім Perl та інших CGI додатків, даний метод також може застосовуватися для додатків на PHP та інших серверних мовах програмування.

Метод базується на виявленні спроб так званого CGI сканування, коли відбувається сканування відомих уразливостей в популярних веб додатках. Для цього створюється власний обробник 404 помилок на сайті. І спроби сканування веб додатків сайта виявляються, якщо виявлені запити відносяться до категорії відомих уразливостей в веб додатках.

Служба безпеки України з’ясувала особистість зловмисника, що взломав у лютому нинішнього року офіційний сайт мерії і міськради Одеси.

Як повідомляє прес-служба СБУ, до взлому сайта причетний громадянин однієї із сусідніх країн, що тимчасово проживає на території України. У ході слідства також з’ясувалося, що від рук підозрюваного постраждали також сайти ряду міністерств і відомств України, а також банківських установ Одеської області. У відношенні хакера порушена кримінальна справа.

По матеріалам http://e-news.com.ua.

В даній добірці уразливості в веб додатках:

• PHP Remote File Inclusion in Comet-Server (деталі)
• Gelato SQL Injection exploit (деталі)
• new XSS vulnerability in php-stats -tracking.php (деталі)
• Численні уразливості в Stride v1.0 (деталі)
• PHPBBPLUS 1.5.3 RFI BUG (деталі)
• GCALDaemon Remote DoS (деталі)
• XSS on Obedit v3.03 (деталі)
• b1gmail Cross Site Scripting (деталі)
• Coppermine <= 1.4.12 Cross Site Scripting and Local File Inclusion (деталі)
• Vulnerability in Virtual Calendar (деталі)

На минулому тижні вийшли чергові патчі від Microsoft. Всього сім оновлень, з яких три критичних і три важливих. Серед критичних: кумулятивне оновлення для IE (я вже писав про дані уразливості в Internet Explorer), і виправлення уразливостей у Bluetooth-стеці і DirectX, що приводять до віддаленого виконання коду.

Серед важливих: підвищення привілеїв у WINS, можливі DoS через уразливості у ActiveDirectory і реалізації протоколу Pragmatic General Multicast. І останнє оновлення - блокування ActiveX зі складу Microsoft Speech API і компонента виробництва BackWeb.

По матеріалам http://bugtraq.ru.