Websecurity - Веб безпека

У листопаді, 20.11.2007, я знайшов Cross-Site Scripting (в тому числі persistent) уразливості на проекті http://freelancer.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Дослідження компанії Sophos показали, що 2% усіляких вірусів Інтернету - на совісті блог-хостінга Blogger.com, що належить Google. Компанія, що займається комп’ютерною безпекою, думає, що зловмисники використовують безкоштовну блог-площадку для того, щоб розміщати на ній шкідливий код, або поміщати лінки на інфіковані сайти в коментарях у користувачів.

Як говорить старший консультант по безпеці Sophos Грема Клулі, Blogger.com привабливий для кіберзлочинців через тісний зв’язок з пошуковим гігантом Google - завдяки пошуковцю, недобрі наміри хуліганів активніше “йдуть у народ”. У Sophos також відзначили, що не накладають провину за сформовану ситуацію на Google - на їхню думку, компанія докладає серйозних зусиль для того, щоб вчасно видаляти лінки на потенційно небезпечні веб-сторінки з пошукової видачі.

У компанії Sophos говорять, що припинити небезпечну тенденцію в Google все-таки не вийде - щодня з’являється близько 16000 заражених сторінок - і це тільки по самих скромних підрахунках.

Представники Google відреагували на це таким чином: “Google відноситься до безпеки своїх користувачів дуже серйозно; ми наполегливо працюємо, щоб захистити їх у необхідній мері. Використання Blogger.com, чи будь-якого іншого продукту Google для розміщення шкідливого вмісту - це порушення наших правил. Ми активно працюємо над виявленням і видаленням вірусів, розміщених на наших площадках”.

По матеріалам http://itua.info.

P.S.

Як би Sophos не захищав Гугла, мовляв вони не винні в цій ситуації та роблять все що можуть, вся провина за це лежить на Google. І як би Гугл не заявляв, що вони серйозно відносяться до безпеки і активно над цим працюють - Гугл до сих пір не зробив реальних кроків для вірішення проблеми з шкідливим контентом на Блогері.

Головна проблема полягає в можливості використання html тегів (зокрема скриптів) на блог-хостінгу, про що я писав раніше. Ще в 2007 році секюріті дослідники виявили цю особливість (дірку) сервіса Гугла, але до сих пір вона не була виправлена.

10.03.2008

У серпні, 07.08.2007, я знайшов Cross-Site Scripting уразливість в пошуковій системі http://www.picsearch.com. Про що найближчим часом сповіщу адміністрацію системи.

Детальна інформація про уразливість з’явиться пізніше.

31.07.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• BlogWorx 1.0 (view.asp id) Remote SQL Injection Vulnerability (деталі)
• Acidcat CMS 3.4.1 Multiple Remote Vulnerabilities (деталі)
• Kubelance 1.6.4 (ipn.php i) Local File Inclusion Vulnerability (деталі)
• HostDirectory Pro Insecure Cookie Handling Vulnerability (деталі)
• W1L3D4 Philboard 1.0 (philboard_reply.asp) SQL Injection Vulnerability (деталі)
• RedDot CMS 7.5 (LngId) Remote SQL Injection Exploit (деталі)
• TR News 2.1 (nb) Remote SQL Injection Vulnerability (деталі)
• Joomla Component FlippingBook 1.0.4 SQL Injection Vulnerability (деталі)
• Joomla Component Filiale 1.0.4 (idFiliale) SQL Injection Vulnerability (деталі)
• JBlog version: 1.0 cookies Manipulation + Cross Site Scripting (деталі)

Сьогодні, 30.07.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.cuil.com. Про що найближчим часом сповіщу адміністрацію проекту.

Cuil - це пошукова система, що розроблена колишніми працівниками Гугла і, як пишуть ЗМІ, позиціонується як “убивця Гугла” (Google killer). Розробники пошуковця явно не слідкували за моїм проектом MOSEB, виходячи з його рівня безпеки .

XSS:

• alert(document.cookie)
• цікавий

Нещодавно були анонсовані номінанти на цьогорічну The Pwnie Awards. Про переможців минулорічної Pwnie Awards я писав раніше.

Номінанти The Pwnie Awards 2008 розташовані в різних категоріях. Серед цьогорічних категорій наступні: Best Server-Side Bug, Best Client-Side Bug, Mass 0wnage, Most Innovative Research, Lamest Vendor Response, Most Overhyped Bug, Best Song, Most Epic FAIL, Lifetime Achievement Award.

Зверну вашу увагу на цікаву номінацію в категорії Pwnie for Mass 0wnage: An unbelievable number of WordPress vulnerabilities. Враховуючи, що я виявив найбільшу кількість дірок в WP за 2006-2008 роки (і ще планую чимало дірок в WP опублікувати), то варто було мене згадати в цій номінації серед тих, хто виявив ці дірки . Тому що я разом з іншими секюріті дослідниками, що виявили дірки в WordPress, є тими, хто привели в життя цю номінацію.

Цікаво бути долученим до номінації в категорії Mass 0wnage . Раджу жюрі проголосувати саме за цю номінацію в даній категорії (і вибрати достойні номінації в інших категоріях).

Також можете ознайомитися з номінантами в категорії Pwnie for Best Song (два з яких доступні у вигляді відео роліків).

Виявлена можливість підвищення привілеїв через MySQL.

Уразливі версії: MySQL 4.1, MySQL 5.0, MySQL 5.1, MySQL 6.0.

Можна вказати файл іншої бази даних у CREATE TABLE.

• CVE-2008-2079 (деталі)

В даній добірці уразливості в веб додатках:

• Elite Forum Full HTML ENject versin 1.0.0.0 (деталі)
• Safari Bookmarks Buffer Overflow Vulnerability (деталі)
• Minb Is Not A Blog default password directory (деталі)
• Webspell 4.x Local File Inclusion (деталі)
• Image Racer SearchResults.asp SQL INJECTION vuln. (деталі)
• PHMe CMS 0.0.2 local File Include Vulnerabilitiy (деталі)
• Remote command execution in Joomla! CMS (деталі)
• Webbler CMS forms are susceptible to spamming and phishing abuses (деталі)
• Webroot disclosure on Webbler CMS (деталі)
• Cross-site scripting (XSS) vulnerability in Fullaspsite ASP Hosting Site (деталі)

У листопаді, 16.11.2007, я знайшов Cross-Site Scripting (причому persistent) уразливість на проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.a-counter.com.

Детальна інформація про уразливість з’явиться пізніше.

Окружний суд Анталії почав розглядати справу українського хакера Максима Ястремського, якому за кібершахрайство загрожує до 72 років в’язниці. Ястремського затримали в 2007 році в турецькому місті Кемер. Місяць тому, за даними американських спецслужб, йому висунули обвинувачення в незаконному присвоєнні більш ніж 10 мільйонів доларів, що він розмістив на різних банківських рахунках у 13 країнах світу.

Незважаючи на те, що суд Анталії вже почав розглядати справу українця, у даний час активно обговорюється питання про те, де повинні судити Ястремського, що є громадянином України. У прес-службі МЗС України Василь Кирилич заявив про те, що Ястремський знаходився в міжнародному розшуку і був затриманий також за кордоном, тому Україна не може порушувати питання про його повернення на батьківщину.

А юристи заявляють про те, що Україна може зажадати екстрадиції українця тільки з метою покарати за злочини, що зроблені тут. Причому в даній ситуації Туреччина може судити його за злочини, зроблені на своїй території, а США - на своїй. Так що після турецького правосуддя Ястремського може очікувати американська Феміда.

Згідно даних спецслужб США, українець через Інтернет взломав коди 50 - 60 тисяч кредитних карт, взломавши термінал збереження конфіденційної інформації однієї з американських ресторанних мереж. Крім того, йому інкримінують розкрадання засекречених даних про 1200 турецьких власників кредитних карт. Відомо, що Ястремський працював не один, а зі спільниками - естонцем Олександром Суворовим і американцем Альбертом Гонсалесом.

По матеріалам http://itua.info.