Websecurity - Веб безпека

01.03.2008

У липні, 28.07.2007, я знайшов Cross-Site Scripting уразливість на проекті http://customize.org. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

15.07.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR5)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• My Gaming Ladder <= 7.5 (ladderid) SQL Injection Vulnerability (деталі)
• 724CMS <= 4.01 Enterprise (index.php ID) SQL Injection Vulnerability (деталі)
• ChartDirector 4.1 (viewsource.php file) File Disclosure Vulnerability (деталі)
• FLABER <= 1.1 RC1 Remote Command Execution Exploit (деталі)
• Pligg CMS 9.9.0 (editlink.php id) Remote SQL Injection Vulnerability (деталі)
• ExBB <= 0.22 (LFI/RFI) Multiple Remote Vulnerabilities (деталі)
• phpTournois <= G4 Remote File Upload/Code Execution Exploit (деталі)
• Koobi 4.4/5.4 gallery Remote SQL Injection Vulnerability (деталі)
• Koobi Pro 6.25 showimages Remote SQL Injection Vulnerability (деталі)
• AimStats 3.2 (process.php update) Remote Code Execution Exploit (деталі)

Сьогодні я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі phpWebSite. Дірки я виявив на її офіційному сайті http://phpwebsite.appstate.edu. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-Automation:

На сторінці реєстрації (http://site/index.php?module=users &action=user&command=signup_user) немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://site/index.php?module=users &action=user&command=signup_user

"><BODY onload=alert(document.cookie)>В полях: Password і Confirm (разом), Email Address.

XSS через GET:

• alert(document.cookie)
• цікавий

Уразлива версія phpWebSite 1.5.2 та попередні версії.

В своїй презентації Security & PHP, Nuno Loureiro розповідає про безпеку PHP. Він розповідає про поширені уразливості у PHP веб додатках та надає поради щодо їх виправлення. Текст презентації на португальскій мові.

Нещодавно з’явився експлоіт, що демонструє можливість DoS атаки через SVG файли. Для проведення атаки необхідно зробити спеціальний шкідливий SVG файл, при відкритті якого відбудеться DoS атака.

Дану уразливість автор експлоіта перевірив в наступних додатках (їх останніх версіях): Firefox (в “browse for file, preview”), Evince, Eog, Gimp. Всі додатки перевірялися на Linux.

• Multiple Vendors Malicious SVG File Denial of Service PoC (деталі)

В даній добірці уразливості в веб додатках:

• bosDataGrid XSS vuln. (деталі)
• NetClassifieds [multiple vulnerabilities] (деталі)
• phpRaider sql vuln. (деталі)
• Papoo CMS 3.6 - Access Restriction Bypass (деталі)
• Papoo CMS 3.6 - SQL Injection (деталі)
• deviantArt does not check authorization for image download (деталі)
• Multiple Vulnerabilities in Xythos Server Products (деталі)
• rwAuction Pro XSS vuln. (деталі)
• QuickTalk guestbook sql inj. (деталі)
• SQL-ін’єкція в Photo Galerie Script (деталі)

Виявлене переповнення буфера в PCRE. Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні та скомпрометувати цільову систему.

Уразливі версії: PCRE 7.7, можливо більш ранні версії.

Уразливість існує через помилку в pcre_compile.c при обробці визначених шаблонів, що містять на початку опцію і множинні розгалуження. Віддалений користувач може за допомогою спеціально сформованих шаблонів викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

• Переполнение буфера в PCRE (деталі)

27.02.2008

У липні, 31.07.2007, я знайшов Cross-Site Scripting та Full path disclosure уразливості на проекті http://grub.org (з яким співпрацює Wikia). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

11.07.2008

XSS:

• alert(document.cookie)

XSS:

POST запит на сторінці http://grub.org/html/users.php?op=lookup
<script>alert(document.cookie)</script>В полі Username.

Full path disclosure:

http://www.grub.org/services/urlstats.php (POST запит)

http://www.grub.org/services/clientstats.php (POST запит)

Дані уразливості вже виправлені (і сайт був повністю перероблений).

В даній добірці експлоіти в веб додатках:

• Blog PixelMotion (sauvBase.php) Arbitrary Database Backup Vulnerability (деталі)
• Prozilla Forum Service (forum.php forum) SQL Injection Vulnerability (деталі)
• Prozilla Top 100 v1.2 Arbitrary Delete Stats Vulnerability (деталі)
• Mole 2.1.0 (viewsource.php) Remote File Disclosure Vulnerability (деталі)
• Dragoon 0.1 (root) Remote File Inclusion Vulnerability (деталі)
• LinPHA <= 1.3.2 (maps plugin) Remote Command Execution Exploit (деталі)
• Drake CMS <= 0.4.11 Remote Blind SQL Injection Exploit (деталі)
• Prozilla Freelancers (project) Remote SQL Injection Vulnerability (деталі)
• iScripts SocialWare (id) Remote SQL Injection Vulnerbility (деталі)
• mxBB Module MX Shotcast 1.0 RC2 (getinfo1.php) Remote File Include Exploit (деталі)

Як повідомляться, хакери, що взломали восени минулого року тисячі банкоматів Citibank в американській мережі магазинів 7-Eleven, швидше за все вкрали ПІН-коди без звертання до сервера самого банку.

Особливість цього взлому відрізняється від інших тим, що звичайно для крадіжки ПІН-кодів зловмисникам приходиться залишати якісь матеріальні сліди, приміром, установлювати на банкомати спеціальні технічні пристрої чи розсилати підроблені листи.

Близько 5700 банкоматів встановлено в магазинах 7-Eleven, і всі використовують марку Citibank. Вони належать компании Cardtronics, а не банку. Оператором частини цих банкоматів є компанія Fiserv. Саме ці дві компанії називаються відповідальними за те, що відбулося. У свою чергу, у Fiserv стверджують, що упевнені в безпеці своїх систем.

Компанія Citibank не розкрила подробиць методу взлому і відмовилася назвати число клієнтів, чиї дані були вкрадені. Вони підкреслили, що попередили своїх клієнтів і видали їм нові дебетові картки. Зараз поліції вдалося зв’язати хакерів із трьома бруклінськими кардерами Іваном Бильце, Юрієм Ракушинцем і Ангеліною Кітаєвою. Орієнтовно, вони виручили від використання украдених даних понад два мільйони доларів.

По матеріалам http://itua.info.