Websecurity - Веб безпека

Adobe призвала користувачів ігнорувати лінки, що з’явилися в соціальних мережах, на інсталятор Flash Plaуer, що ведуть на сайти, не приналежні компанії.

Так, днями в Twitter стала поширюватися лінка на відео, при спробі перегляду якого користувачам пропонувалося скачати щось, що називає себе Flash Player’ом, і приводить до встановлення на клієнтській системі десятка шпигунських програм. Для перевірки легітимності інсталятора в windows-версії можна вибрати у властивостях файлу закладку “digital signatures” - в оригіналу там повинні бути слова про “Adobe Systems, Incorporated”.

По матеріалам http://bugtraq.ru.

P.S.

Ось так почали використовувати Flash Player, щоб через його підробку встановлювати шкідливе програмне забезпечення. Раніше для цього широко використовували підроблені кодеки, а тепер черга дішла і до Flash.

13.03.2008

У серпні, 15.08.2007, я знайшов Cross-Site Scripting та Denial of Service уразливості на http://www.comizdat.com - на сайті видавництва Коміздат, що випускає журнали комп’ютерної тематики. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

11.08.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR5)

DoS:

http://www.comizdat.com/index_cw.php?in=komi_search2&lang=ru&SearchString=

З бази даних виводиться інформація про всі сторінки сайта.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Joovili 3.1 (browse.videos.php category) SQL Injection Vulnerability (деталі)
• LokiCMS <= 0.3.3 Arbitrary File Delete Vulnerability (деталі)
• OxYProject 0.85 (edithistory.php) Remote Code Execution Vulnerability (деталі)
• Project Based Calendaring System (PBCS) 0.7.1 Multiple Vulnerabilities (деталі)
• Harris WapChat v.1 Multiple Remote File Inclusion Vulnerabilities (деталі)
• interact 2.4.1 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Joomla Component Webhosting (catid) Blind SQL Injection Exploit (деталі)
• vlBook 1.21 (XSS/LFI) Multiple Remote Vulnerabilities (деталі)
• ActualAnalyzer Lite (free) 2.78 Local File Inclusion Vulnerability (деталі)
• Open Auto Classifieds 1.4.3b Remote SQL Injection Vulnerabilities (деталі)

Нещодавно, 03.08.2008, я знайшов Abuse of Functionality уразливість в плагіні WP-ContactForm для WordPress. Про що найближчим часом повідомлю розробникам плагіна. Раніше я вже писав про уразливості в даному плагіні.

Abuse of Functionality:

На сторінці контактів є функція “Copy yourself on the form submission”. Вона вмикається в налаштуваннях (Copy Option) і призводить до того, що через сайт можна розсилати спам (як адміну, так і на довільні емайли).

А з використанням Insufficient Anti-automation уразливості, про яку я писав в записі MoBiC-29: WP-ContactForm CAPTCHA bypass, можна автоматизовано розсилати спам з сайта в великих обсягах.

WP-ContactForm Abuse of Functionality.html

Уразлива версія WP-ContactForm 2.0.7 та попередні версії (а також наступні версії, до 3.1.8 включно).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.it-club.mk.ua (хакером 3RqU) - сайт був похаканий орієнтовно 30.07.2008, зараз він вже виправлений адміном
• http://amplituda.net (хакером LaZuRiX)
• http://ukrngi.com (хакером ufq)
• http://www.mesothelioma-portal.info (хакером 3RqU)
• http://www.ganesha-bar.com (хакером MadBuQ) - причому спочатку сайт був 14.07.2008 похаканий MadBuQ, потім 01.08.2008 MR.WЄЄD Hackers, а сьогодні сайт вже похаканий +T1S4K. Схоже, що сайт постійно хакається, так само як www.a2k.org.ua, про який я вже писав раніше

В минулому році була виявлена можливість підміни вмісту в Microsoft Internet Explorer (content spoofing).

Уразливі продукти: Microsoft Internet Explorer на Windows XP, Windows 2003 Server, Windows Vista.

Використовуючи document.open() можна імітувати перехід на інший сайт, залишившись у контексті попередньої сторінки.

• MSIE7 entrapment again (+ FF tidbit) (деталі)

В даній добірці уразливості в веб додатках:

• Drupal 4.7.7 and 5.2 fix multiple cross site scripting vulnerabilities (деталі)
• wolioCMS SQL Injection (деталі)
• Joomla multiple vulerabilities (деталі)
• community Cross-site Scripting (XSS) (деталі)
• E-commerceScripts ALL Apps (Auction Script, Shopping Cart Script and Multi-Vendor E-Shop Script) admin.aspx SQL (деталі)
• itcms 0.2 Cross-site Scripting (XSS) (деталі)
• Friend Script 2.5 - 2.4 Remote File Include (деталі)
• VisionSoft Audit - Portcullis Security Advisory 06-046 (деталі)
• VisionSoft Audit - Portcullis Security Advisory 06-039 (деталі)
• Міжсайтовий скриптінг в Sage (деталі)

Учора я писав про уразливості в Contact Form ][. А сьогодні я знайшов нові уразливості в плагіні Contact Form ][ для WordPress - це Cross-Site Request Forgery та Cross-Site Scripting. Дірки я перевірив на останній версії плагіна. Про що найближчим часом повідомлю розробникам плагіна.

CSRF:

Сторінка опцій плагіна (http://site/wp-admin/admin.php?
page=wp-contact-form/options-contactform.php) вразлива до CSRF. Що дозволяє проводити XSS атаки, або за допомогою CSRF атаки ввімкнути опцію Carbon-Copy ability (якщо вона вимкнута), для подальшого використання Abuse of Functionality уразливості плагіна.

Contact Form 2 CSRF.html

XSS (reflected та persistent):

Тільки для атаки на адміна (на сторінці опцій):

Contact Form 2 XSS.html

Contact Form 2 XSS2.html

XSS (persistent):

Для атаки на всіх користувачів сайта на сторінці контактів та для атаки на адміна на сторінці опцій (reflected та persistent):

Contact Form 2 XSS3.html

Contact Form 2 XSS4.html

Contact Form 2 XSS5.html

XSS (persistent):

Для атаки на всіх користувачів сайта на сторінці контактів:

Contact Form 2 CSRF6.html
Contact Form 2 XSS6.html

Contact Form 2 CSRF7.html
Contact Form 2 XSS7.html

Contact Form 2 CSRF8.html
Contact Form 2 XSS8.html

Плагін Contact Form ][ зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше.

Уразлива версія Contact Form ][ v2.0.13 та попередні версії.

Виявлений міжсайтовий скриптінг в Apache mod_proxy_ftp.

Уразливі версії: Apache 2.0, Apache 2.2.

Міжсайтовий скриптінг при відображені вмісту FTP-сервера.

• Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting (деталі)

11.03.2008

У серпні, 14.08.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.delfi.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.08.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.