Websecurity - Веб безпека

З 17 по 19 жовтня в Києві проходить конференція Blogcamp CEE 2008. Сьогодні як раз проходить другий день конференції. Торік я прийняв участь в Блогкемпі - виступив на BlogCamp 2007 з доповіддю Безпека Блогосфери (Security of Blogosphere).

Я вирішив перевірити, як тематика Інтернет безпеки представлавлена на Blogcamp CEE 2008. Бо на попередній конференції лише я виступив з доповіддю на цю тему.

На цьогорічному Блогкемпі серед заявлених доповідей є дві пов’язаних з безпекою:

• Киберпреступность в Web 2.0. Современные угрозы в Web и способы защиты.
• Новые методы анализа угроз безопасности

Перша доповідь більше схожа на презентацію продуктів Лабораторії Касперського, хоча й має цікаві тезіси. Друга доповідь виглядає більш цікавою. Я ж бажаю успіху обом доповідачам.

Це добре, що тематика веб безпеки хоч трохи, але знайшла своє відображення на даній конференції.

В даній добірці уразливості в веб додатках:

• xss in phpmyadmin <= 2.8.1 (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in phpMyAdmin (деталі)
• ifnet.it WEBIF XSS Vulnerability (деталі)
• Jeebles Directory Local File Inclusion (деталі)
• Hackish XSS in shoutbox/blocco.php (деталі)
• Simple PHP Blog (sphpblog) <= 0.5.1 Multiple Vulnerabilities (деталі)
• dmcms.0.7.0 SQL Injection (деталі)
• CallManager and OpeSer toll fraud and authentication forward attack (деталі)
• Bosdev Multiple vulnerabilities (деталі)
• Novell OpenSUSE SWAMP multiple XSS (деталі)

В вересні, 19.09.2008, я виявив нові Denial of Service уразливості в Mozilla Firefox, Opera та Google Chrome. Дані уразливості схожі на DoS в Firefox, Opera та Chrome, що я опублікував в проекті День багів в браузерах (вони є іншим варіантом тієї ж самої атаки).

Дану атаку я назвав DoS через друк (printing DoS attack). Ефект від атаки у випадку Opera та Chrome такий же як і в попередніх експлоітах, а у випадку Firefox замість зависання браузер блокується.

DoS:

Firefox DoS Exploit5.html

Opera DoS Exploit5.html

Google Chrome DoS Exploit-7.html

Для всіх трьох браузерів при запуску експлоіта браузер блокується і ним стає неможливо користуватися, і його можна лише закрити (через Task Manager).

Уразлива версія Firefox 3.0.1 (як і 3.0.2 та 3.0.3) та попередні версії.

Уразлива версія Opera 9.52 (і потенційно 9.60) та попередні версії.

Уразлива версія Google Chrome 0.2.149.30 та попередні версії.

В своїх дослідженнях похаканих сайтів, що я регулярно публікую з липня цього року, я розповідав про численні випадки взломів різних сайтів в Уанеті. Зокрема, серед числа нещодавно похаканих сайтів. Враховуючи важливість забезпечення безпеки державних сайтів (в кожній серйозній державі), я вирішив дослідити ситуацію зі взломами державних сайтів України.

Безпека сайтів наших органів влади залишає бажати кращого, про що я неодноразово писав. Зокрема, в новинах я розповідав про знайдені мною уразливості на сайті Верховної Ради України, Кабінета Міністрів України, Президента України, kmv.gov.ua, kmr.gov.ua, www.sbu.gov.ua, www.szru.gov.ua, www.dcz.gov.ua, www.niisp.gov.ua, mail.kmv.gov.ua та www.bank.gov.ua. Деякі з виявлених мною уразливостей були виправлені (на деяких з наведених сайтів), але не всі. Часто окрім того, що дані структури самі не слідкують за безпекою, так ще й мої попередження про уразливості ігнорують.

В цілому ситуація з безпекою державних сайтів в Україні не визиває позитивних емоцій і знаходиться на низькому рівні. Нашим спецслужбам, зокрема СБУ, варто потурбуватися про покращення рівня захищенності державних сайтів - як своїх власних, так і в цілому всіх державних сайтів. Що зараз ними робиться незадовільно і цю ситуацію варто покращувати.

Серед виявлених мною взломів державних сайтів є наступні:

• http://if.gov.ua (хакерами з byond hackers team) - був похаканий 01.03.2006, по даним redtram.com.
• http://www.mvk.if.ua (хакером DumansaL) - був похаканий 25.08.2008, про що я писав нещодавно.

Враховуючи наведені приклади, а також ту інформацію про взломи державних сайтів, що мені розповідали користувачі сайту, можна впевнено стверджувати, що державні сайти України періодично взламують. Хоча й лише рідкі випадки випливають у вільний доступ. Дана ситуація зі вломами gov-сайтів, пов’язана з недостатнім рівнем їх безпеки. Кожна країна в світі повинна слідкувати за безпекою власних державних сайтів, чого я бажаю й Україні.

14.04.2008

У вересні, 14.09.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на http://www.cisco.com - сайті компанії Cisco. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.10.2008

XSS:

• alert(document.cookie) (IE)

Компанія змінила локальний пошуковець, тому дана уразливість відсутня (але вона все ще є в попередньому пошуковому скрипті).

Insufficient Anti-automation:

https://www.cisco.com/authc/forms/CDClogin.fcc

http://tools.cisco.com/RPF/passwordreset.do

Форми не мають захисту від автоматизованих запитів (капчі). Insufficient Anti-automation дірки доволі поширені на сайтах Cisco.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Cartweaver 3 (prodId) Remote Blind SQL Injection Exploit (деталі)
• vsftpd 2.0.5 (CWD) Remote Memory Consumption Exploit (post auth) (деталі)
• Shoutcast Admin Panel 2.0 (page) Local File Inclusion Vulnerability (деталі)
• PHPMyCart (shop.php cat) Remote SQL Injection Vulnerability (деталі)
• AWBS <= 2.7.1 (news.php viewnews) Remote SQL Injection Vulnerability (деталі)
• Devalcms 1.4a (currentfile) Local File Inclusion Vulnerability (деталі)
• Simple Machines Forum <= 1.1.4 Remote SQL Injection Exploit (деталі)
• Forum Pay Per Post Exchange <= 2.0 (catid) SQL Injection Vulnerability (деталі)
• Anata CMS 1.0b5 (change.php) Arbitrary Add Admin Vulnerability (деталі)
• Oxygen 2.0 (repquote) Remote SQL Injection Vulnerability (деталі)

Раніше я писав уразливість на www.webpark.ru - це була Cross-Site Scripting уразливість, яка була виправлена адміном сайта. Але при цьому в дірявому скрипті залишилися інші уразливості - Redirector та Remote XSS Include.

Про тип Cross-Site Scripting уразливостей Remote XSS Include я вже писав.

Учора, 15.10.2008, проводячи секюріті дослідження, я виявив новий вид Remote XSS Include (причому даний вид RXI дозволяє отримати доступ до кукісів). В результаті я розробив класифікацію видів Remote XSS Include, що є типом Cross-Site Scripting уразливостей, і яка тепер складається з трьох видів (замість одного загального). Про що я напишу окрему статтю. І уразливість, що відноситься до нового вида RXI, я виявив учора на www.webpark.ru.

XSS (RXI self-contained):

• alert(document.cookie)
• редиректор

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.iasa.org.ua/forum/ (форум сайта www.iasa.org.ua) (хакером BuGiS) - причому спочатку форум був похаканий 19.09.2008 BuGiS, а сьогодні я виявив, що він вже похаканий CNB. Схоже, що форум сайта постійно хакається, як і деякі інші сайти в Уанеті
• http://team911.kiev.ua (хакером DeLeTe)
• http://www.iio.npu.edu.ua (хакером c0derLine) - 04.09.2008, зараз сайт не працює (виключений адміністраторами)
• http://www.zigmund.kiev.ua (хакером ProwL) - 10.08.2008, зараз сайт не працює, лише одна сторінка дефейсу залишилася
• www.vistrya.if.ua (хакером DumansaL) - 25.08.2008, зараз сайт вже виправлений адмінами

Виявлена можливість витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5.

Короткочасні умови дозволяють обійти обмеження по IP-адресам.

• Apache Tomcat information disclosure (деталі)

В даній добірці уразливості в веб додатках:

• PhpMyAdmin all version [multiples vulnerability] (деталі)
• PhpMyAdmin 2.7.0-pl2 Path Disclosure | Multiple CRLF/Http Response Splitting (деталі)
• New zoph packages fix SQL injection (деталі)
• Sophos Anti-Virus 6.5.4 Vulnerability (Cross-Application Scripting) (деталі)
• Korean GHBoard Multiple Vulnerabilities by Xcross87 (деталі)
• PHP Basic Multiple Vulnerabilities by Xcross87 & Alucar (деталі)
• Seeblick 1.0 Beta File Upload Vulz (деталі)
• eFileMan 7.x Multiple Vulnerabilities by Xcross87 (деталі)
• eLouai’s Download Script Remote File Download Vulnerability (деталі)
• Japanese PHP Gallery Hosting File Upload Vulz (деталі)