Websecurity - Веб безпека

В листопаді минулого року з’явився експлоіт, що демонструє можливість DoS атаки через Shockwave в Internet Explorer (в Mozilla та Firefox він не працює, так як використовує ActiveX). Уразливість у функції ShockwaveVersion призводить до переповнення стека.

Для проведення атаки необхідно заманити користувача Internet Explorer (перевірив на IE6) з Shockwave-плагіном на сторінку з кодом експлоіта. При відкритті якої відбудеться DoS атака.

• Adobe Shockwave ShockwaveVersion() Stack Overflow PoC (деталі)

В даній добірці уразливості в веб додатках:

• KF Web Server 3.1.0 admin console XSS (деталі)
• SQL Injection In Script VBZooM V1.12 (деталі)
• WheatBlog 1.1 RFI/SQL Injection (деталі)
• AV Arcade 2.1b (COOKIE[ava_userid]) Get Admin Rights (деталі)
• AV Arcade 2.1b (view_page.php) Remote SQL Injection (деталі)
• PHPDirector <= 0.21 (SQL injection/Upload SHELL) Remote Vulnerabilities (деталі)
• eTicket v.1.5.1.1 Multiple Cross-Site Scripting (деталі)
• Gentili, akocomment SQL INJECTION (all version) (деталі)
• Yoggie Pico Pro Remote Code Execution (деталі)
• Міжсайтовий скриптінг в Drupal Project Module (деталі)

Як повідомив AIN ще в грудні, УСБУ в Житомирській області розкрило злочин, пов’язаний з несанкціонованим втручанням у роботу комп’ютерних мереж. Як повідомили в прес-групі УСБУ в Житомирській області, один з жителів Коростеня зі свого домашнього комп’ютера за допомогою вірусних і “шкідливих” програм сканував локальну Інтернет-мережу, завдяки чому заволодів особистими реквізитами (логінами і паролями) інших Інтернет-користувачів.

Зловмисник під виглядом цих абонентів проходив процедуру авторизації і заходив на сервер одного з провайдерів, де незаконним шляхом одержував доступ до системи керування рахунками. Після цього хакер знімав кошти, сплачені цими абонентами за користування комп’ютерною мережею і мережею Інтернет, і переводив їх на особистий рахунок чи на рахунки своїх знайомих. Відповідно до висновків фахівців, такі дії привели до викривлення процесу обробки інформації і порушенню встановленого порядку її маршрутизації.

В повідомленні прес-групи говориться, що провайдерьска Інтернет-структура підраховує нанесений їй фінансовий збиток, а слідчим відділом Управління по даному факту порушена кримінальна справа по ознаках здійснення злочину, передбаченого частиною 1 статті 361 Кримінального кодексу України.

По матеріалам http://ain.com.ua.

20.06.2008

У жовтні, 30.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в системі Contrexx CMS. Як раз коли виявив уразливості на www.astalavista.com, де і використовується цей движок.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

17.07.2008

XSS:

http://site/index.php?section=search&term=%22%20style=%22xss:expression(alert(document.cookie)) (IE)

Insufficient Anti-automation:

На сторінці реєстрації (http://site/index.php?section=community &cmd=register) немає захисту від автоматизованих запитів (капчі).

Уразлива Contrexx CMS 2.0 та попередні версії.

В даній добірці експлоіти в веб додатках:

• Koobi Pro 6.25 gallery Remote SQL Injection Vulnerability (деталі)
• Koobi Pro 6.25 shop Remote SQL Injection Vulnerability (деталі)
• Prediction Football 1.x (matchid) Remote SQL Injection Vulnerability (деталі)
• SuperNET Shop 1.0 Remote SQL Injection Vulnerabilities (деталі)
• LokiCMS <= 0.3.3 Remote Command Execution Exploit (деталі)
• phpBB Add-on Fishing Cat Portal Remote File Inclusion Exploit (деталі)
• KnowledgeQuest 2.6 SQL Injection Vulnerabilities (деталі)
• Phaos R4000 Version (file) Remote File Disclosure Vulnerability (деталі)
• Free Photo Gallery Site Script (path) File Disclosure Vulnerability (деталі)
• ShoutPro <= 1.5.2 (shout.php) Remote Code Injection Exploit (деталі)

Раніше я вже писав про січневе опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати Web Application Security Professionals Survey за травень 2007 (в якому я приймав участь).

Питання:

1) What type of organization do you work for?
a) Security vendor / consultant (53%)
b) E-Commerce (9%)
c) Healthcare (0%)
d) Financial (9%)
e) Government (14%)
f) Educational institution (5%)
g) Other (please specify) (9%)

2) From your experience, how many web developers “get” web application security?
a) All or almost all (0%)
b) Most (0%)
c) About half (19%)
d) Some (59%)
e) None or very few (22%)

3) What is your technical understanding of DNS-Pinning and Anti-DNS-Pinning?
a) Strong (26%)
b) Some familiarity (60%)
c) I’ve heard of these (12%)
d) Eh? (2%)

4) Do you click on links sent in email?
a) Never (27%)
b) Sometime (68%)
c) Always, I fear no link (5%)

5) Your recommendation about using web application firewalls?
a) Two thumbs up (13%)
b) One thumb up (59%)
c) Thumbs down (15%)
d) Profane gesture (10%)
e) No Answer (3%)

6) From your experience, what is the typical risk level of Response Splitting exploitability?
a) High (23%)
b) Medium (34%)
c) Low (43%)

7) How has the security of the average website changed in the last 12 months?
(Take into consideration new attack techniques and defense measures)
a) Way more secure (0%)
b) Slightly more secure (33%)
c) Same (38%)
d) Worse (29%)
e) No idea (0%)

8) Do you plan to attend BlackHat Vegas of Defcon this year?
a) Yes (23%)
b) No (51%)
c) Maybe (26%)

9) Are hacking contests, like Hack a Mac at CanSecWest, a good idea security-wise for the industry?
a) Yes (58%)
b) No (11%)
c) Somewhere in between (please describe: 1-2 sentences)

10) What is your stage of web application security grief?
a) Denial (5%)
b) Anger (8%)
c) Bargaining (27%)
d) Depression (14%)
e) Acceptance (46%)

11) What is the most secure website industry vertical you encounter during vulnerability assessments?
a) Financial (47%)
b) E-Commerce (6%)
c) Healthcare (6%)
d) Government (0%)
e) Adult Entertainment (11%)
f) Gaming/Gambling (3%)
g) Don’t know (14%)
h) Other (please specify) (14%)

12) From your experience, what development technology is present in the most secure websites?
a) PHP (3%)
b) Java (28%)
c) ASP Classic (0%)
d) .Net (31%)
e) Cold Fusion (0%)
f) Perl (0%)
g) Don’t know (19%)
h) Other (please specify) (19%)

Результати опитування як завжди доволі цікаві. Окрім статистичних даних, як і в січневому опитуванніі, цього разу Джеремія також навів цитати опитаних спеціалістів. Але навів значно більше цитат (з яких багато цікавих) і майже для кожного питання.

В минулому році була виявлена DoS уразливість в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Відмова браузера при відкритті сторінки в домені, що містить нестандартні символи.

• Advisory: Internet Explorer Zone Domain Specification Dos and Page suppressing. (деталі)

В даній добірці уразливості в веб додатках:

• QuickTicket multiple sql inj. (деталі)
• XEForum Cookie Modification Privilege Escalation Vulnerability (деталі)
• eTicket version 1.5.5 XSS Attack Vulnerability (деталі)
• eTicket version 1.5.5 Path Disclosure Vulnerability (деталі)
• DirectAdmin XSS vuln. (деталі)
• Переповнення буфера в NewsBin Pro (деталі)
• Information leakage in Scriptsez.net E-Dating System (деталі)
• Vulnerability in Kamgaing Email System (kmail) (деталі)
• Directory traversal vulnerability in TinyPHPforum (деталі)
• Обхід авторизації в IBM DB2 (деталі)

Ще в 2006 році (одну 16.04.2006, а ще дві 03.08.2006) я знайшов Cross-Site Scripting уразливості в CNCat (каталог лінок). Дірки я виявив на сайті свого друга (і оперативно сповістив його). Також про дані XSS я розповідав, коли писав про уразливості на www.catalog-security.com.ua.

Враховуючи, що уразливості (першу з них) я знайшов ще коли в мене не було даного сайта, в часи коли я почав активно займатися веб безпекою, тому дана інформація в мене дещо відклалася. Про уразливості я найближчим часом повідомлю розробникам системи.

XSS:

Уразливості в add.php (можна як через GET, так і через POST), search.php та index.php.

http://site/add.php?description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/search.php?q=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?c=0&o=0%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразлива версія CNCat 2.0 та попередні версії.

Як я сьогодні перевірив, CNCat 2.1 також уразливий - в index.php та для POST запиту в add.php.

XSS:

http://site/?c=0&o=0%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

POST запит на сторінці http://site/add.php
</textarea><script>alert(document.cookie)</script>В полі Описание.

CNCat 4.1 також уразливий , як я сьогодні перевірив (але в ньому інша уразливість). Про що я напишу окремо.

Для тих, хто стурбований інформаційною безпекою при роботі із сервісом Gmail, компанія Google передбачила можливість перегляду користувачем статистики звертань до свого поштового акаунту.

Пошта середньостатистичного користувача часто зберігає багато особистої інформації - починаючи від фінансового переписування і закінчуючи любовними посланнями. Часто буває так, що пошту користувач перевіряє з комп’ютера друзів чи просто в інтернет-кафе, коли необхідно терміново відповісти на важливий лист. І часом трапляється, що час піджимає, і далеко не всі згадують про те, що треба натиснути кнопку виходу з поштового аккаунта (та й взагалі не всі знають про це ).

“Відтепер унизу сторінки Inbox ви зможете знайти час останньої активності вашої скрині та чи відкрита вона у даний момент де-небудь ще”, - пише Ервін Д’соуза, розроблювач пошти Gmail. Дійсно, тепер можна запросто знайти, з яких IP-адрес відкривалася пошта, і якщо це не домашній чи робочій IP, самий час змінити пароль - хтось з оточення зацікавився переписуванням. Також з’явилася функція виходу після закінчення кожної сесії, що підійде мандрівникам і зовсім параноїдальним особистостям.

По матеріалам http://www.securitylab.ru.