Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://box.rv.ua (хакером hackTHEsystem) - 29.11.2008, зараз сайт не працює
• http://www.panbud.com.ua (хакером hr0m)
• http://www.ivaos.od.ua (хакером DarK_SovaLy3) - 28.11.2008, зараз сайт вже виправлений адмінами
• http://mtk.kiev.ua (хакерами DERHUMAN і DESPOT) - причому спочатку сайт був похаканий 25.08.2008 цими двома хакерами, а 23.11.2008 похаканий hack-ponchika. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.iia.com.ua (хакером ProwL)

Виявлена некоректна реалізація php_getuid в PHP.

Уразливі версії: PHP 5.2.

При певних умовах може бути неправильно визначений gid чи uid користувача.

• SecurityReason: PHP 5.2.6 SAPI php_getuid() overload (деталі)

В даній добірці уразливості в веб додатках:

• Microsoft ISA Server SOCKS4 Proxy Connection Leakage (деталі)
• DirectAdmin persistant XSS [takeover an Administrator`s account] (деталі)
• 2BGal 3.1.1 <= (admin/index.php) Remote File Include Vulnerability (деталі)
• Cross-Site Scripting (XSS) vulnerability in LDAP Account Manager (LAM) (деталі)
• Untrusted search path vulnerability in LDAP Account Manager (LAM) (деталі)
• Updated postgresql packages prevent access abuse using dblink (деталі)
• Cross-site scripting (XSS) vulnerability in htsearch in htdig (деталі)
• SQL MKPortal M1.1 Rc1 (деталі)
• SupportSuite 3.11.01~ Multiple file ~ PHP SELF XSS (деталі)
• Advisory: Websense XSS Vulnerability (деталі)

Працівники Управління по боротьбі з організованою злочинністю затримали декількох полтавчан, яких підозрюють в інтернет-шахрайствах.

Як повідомили в Центрі суспільних зв’язків Головного управління МВС України в Полтавській області, затримані шукали в Мережі людей, яким необхідно було придбати який-небудь товар - зерно, цемент, мило, борошно, порошок - і пропонували купити в них. Клієнти одержували по факсу договори з указівкою розрахункових рахунків і робили передоплату в 50%. Продукції вони не одержували, а злочинці знімали в банку готівкові кошти.

Міліція знайшла поки тільки 20 потерпілих з різних куточків країни (Луганськ, Харків, Львів, Крим). Вони в правоохоронні органи не зверталися. Завдяки такій схемі, шахраї вибудували собі шикарний особняк, купили дорогі автомобілі та зібрали колекцію антикваріату. Орієнтовна сума, що вони заробили, оцінюється в 3 млн. гривень.

За даними міліції, проти затриманих порушена кримінальна справа по частині 3 статті 190 Кримінального кодексу України - шахрайство, зроблене у великих розмірах чи шляхом незаконних операцій з використанням електронно-обчислювальної техніки. Термін покарання за цей злочин - від трьох до восьми років позбавлення волі.

По матеріалам http://ain.com.ua.

P.S.

В даному випадку МВС затримали не простих фішерів, як це зробили в цьому році СБУ, а справжніх шахраїв. Цей випадок набагато серйозніший і в ньому поєднане як онлайнове, так і офлайнове шахрайство.

28.05.2008

У жовтні, 26.10.2007, я знайшов Full path disclosure, Local File Inclusion, Directory Traversal та Cross-Site Scripting уразливості на проекті http://www.nord-inform.de. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.12.2008

Full path disclosure:

http://www.nord-inform.de/autohtml.php?filename=1.html

Local File Inclusion та Directory Traversal:

http://www.nord-inform.de/autohtml.php?filename=../file.php
http://www.nord-inform.de/autohtml.php?filename=../robots.txt

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• BoonEx Ray 3.5 (sIncPath) Remote File Inclusion Vulnerability (деталі)
• Mole Group Last Minute Script <= 4.0 Remote SQL Injection Vulnerability (деталі)
• trixbox (langChoice) Local File Inclusion Exploit (connect-back) (деталі)
• Joomla Component com_content 1.0.0 (ItemID) SQL Injection Vuln (деталі)
• AuraCMS <= 2.2.2 (pages_data.php) Arbitrary Edit/Add/Delete Exploit (деталі)
• DreamNews Manager (id) Remote SQL Injection Vulnerability (деталі)
• Dreampics Builder (page) Remote SQL Injection Vulnerability (деталі)
• phpDatingClub (website.php page) Local File Inclusion Vulnerability (деталі)
• gapicms 9.0.2 (dirDepth) Remote File Inclusion Vulnerability (деталі)
• Ucms 1.4, 1.7, 1.8+?all exploit (деталі)

У січні, 24.01.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.slideshare.net. Яку вже виправили, доки дішла черга до її оприлюднення в мене на сайті, тому сьогодні я знайшов нові Abuse of Functionality, Insufficient Anti-automation та Denial of Service уразливості на даному проекті. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie) (вже виправлена)

Дані три уразливості в функції “URL upload”. Вони подібні до уразливостей на regex.info, про які я писав.

Abuse of Functionality:

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/file&title=test&dwnld_chk=on

Віддалене викачення файлів, що може бути використано для атаки на інші сайти.

Insufficient Anti-automation:

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/file&title=test&dwnld_chk=on

DoS:

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/big_file&title=test&dwnld_chk=on

Як я вже сьогодні писав, МВС вилучило сервери Infostore. Це відбулося в минулий четвер, і ця подія є прикладом діяльності Міністерства Внутрішніх Справ стосовно протидії незаконної (як на їхню думку) діяльності українських сайтів.

Однією з причин, що приводилася Олексієм Масєм, як можливою причиною вилучення серверів проекту, є порнографія на серверах Інфостору. Тобто МВС бореться з порнографією. Але робить це доволі незграбно. Якщо стосовно необхідності боротьби правоохоронців з негативними явищами в українському суспільстві немає жодних заперечень (це потрібно робити, головне щоб ця робота була ефективною), то питання виникають стосовно реалізації цих прагнень МВС. Бо очевидці цих подій повідомляють про брутальне, аморальне і хамське поводження співробіників МВС.

Виходячи з мого власного досвіду подібної ситуації - з обшуком і вилученням комп’ютерів співробітниками СБУ (в грудні 2002 року) - можу сказати, що з подібним поводженням оперативників не стикався. В моєму випадку СБУшніки вели себе достатньо пристойно. Не було ні викручувань рук, ні лайки і хамства, що мало місце у випадку Інфостора. А також не було помилкових “заходів” - коли МВСники зайшли не туди, думаючи, що потрапили в офіс Infostore, але поверхом помилилися і лише зря до людей пристали (СБУшніки ж одразу зайшли “за адресою”). Тобто різниться рівень фаховості виконання подібних задач. Зате і ті й ті добре справилися з винесенням комп’ютерної техніки .

З вищезазнаного виходить, що СБУ краще справляється з подібними операціями, ніж МВС. І якщо в основному кіберзлочинами займається СБУ, то в даному випадку мало місце поширення порнографії, а цим напрямком опікується МВС. Але враховучи низьку якість проведення ними подібних операцій (явно невеликий досвій їх проведення), то я б радив високопосадовцям держави передати це питання до відома СБУ. Для покращення проведення таких операцій і для збереження нервів людей, особливо тих, хто є зовсім непричетним (щоб не було таких помилкових “заходів”).

P.S.

Олексій повідомив, що конкретних притезній до infostore.org висунуто не було. Як знаю зі свого досвіду, обов’язково повинна бути конкретна притензія (в зв’язку з чим надане право на обшук), навіть якщо вона абсурдна. Тому їм потрібно дізнатися у МВС офіційні притензії до проекту.

Стосовно можливих причин, то в якості чорного гумору наведу таку. В зв’язку з тим, що Олексій наполегливо роками ігнорував мої повідомлення про дірки на інших його проектах (banner.kiev.ua та uaportal.com), то МВС вирішили йому про це нагадати . Як злісному невиправлятелю дірок на своїх веб проектах. Тому всім тим, хто постійно ігнорує мої попередження про дірки на їхніх сайтах, варто про це замислитися . На той випадок, якщо МВС почне шукати наступного кандидата, до якого зайти в гості.

Як повідомив Олексій Мась в своєму блозі, на минулому тижні, 04.12.2008, працівники МВС вилучили сервери Infostore. Тоді в четвер я звернув увагу, що на протязі доби не працював infostore.org, що було дивно, так як раніше він завжди працював (і перенавантаження серверів були лише короткотривалі). Я очікував, що виникла якась невелика проблема і ситуація швидко вирішиться. Але вже в п’ятницю, коли замість Інфостора по даному домену почав виводитися блог Олексія, вияснилося, що ситуація набагато серйозніша.

Проект infostore.org перестав працювати, в зв’язку з обшуком і вилученням серверів, що провело МВС (при цьому, як зазначає Олексій, деякі працівники міліції вели себе доволі некоректно). Дана ситуація нагадує мені подібний обшук з вилученням комп’ютерної техніки, що 6 років тому провели в мене дома працівники СБУ . Тобто подібні речі - обшуки з вилученням комп’ютерів - це поширене явище в нашій країні.

Виражаю свої співчуття Олексію Масю, проекту Infostore і всім його користувачам в зв’язку з даною подією. Сподіваюся сервери їм швидко повернуть. І я висловлюю солідарність з ними, що Інфостор не винний в тому, в чому його намагаються звинуватити. Що дії правоохоронців були необгрунтованими, сервери треба повернути і відновити роботу проекту, і в подальшому МВС не повинно проводити необгрунтованих вилучень серверів Інтернет проектів.

До речі, Олексій виклав цікавий відеоролик на тему того, як МВС бореться з Інфостором:

В даній добірці уразливості в веб додатках:

• Directory Traversal in SafeNet Sentinel Protection Server and Keys Server (деталі)
• 2007-06 Sentinel Protection Server Directory Traversal (деталі)
• Eval injection vulnerability in SiteBar 3.3.8 (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in SiteBar 3.3.8 (деталі)
• Static code injection vulnerability in SiteBar 3.3.8 (деталі)
• Directory traversal vulnerability in SiteBar 3.3.8 (деталі)
• Potential SQL injection vulnerability in Apache::AuthCAS (деталі)
• Kvaliitti WebDoc 3.0 CMS SQL Injection vulnerability (деталі)
• HolaCMS - Cross Site Scripting Issue (деталі)
• Maplab <= 2.2.1 (gszAppPath) Remote File Inclusion Vulnerability (деталі)