Архів за Січень, 2009

5 найбільших загроз в 2009

22:46 26.01.2009

На початку січня Pete Herzog опублікував в Web Security Mailing List свою статтю Top 5-ish Threats to Watch for in 2009. В якій він розповів, з деякими нотками гумору, про 5 найбільших загроз, які слід очікувати в 2009 році.

Ось його п’ятірка найбільших загроз безпеки в 2009 році.

1. Продовжиться використання нагадувачів (для працівників) про найкращі практики безпеки. Нагадувачі - це такі програми (зокрема скрінсейвери), стікери, або коврики для мишки з надписами на тему секюріті. В ефективності яких Піт дуже сумнівається. І я також дуже сумніваюся.

2. Продовжиться використання людьми секюріті порад взятими з веб сайтів. Які потім можуть стати поширеними найкращими практиками, що увійдуть до керівництв, політик і документації. Ясна річ не варто брати інформацію з сумнівних джерел і використовувати подібні поради, але варто знайти авторитетне джерело якому ти довіряєш.

3. Все більше людей будуть вивчати секюріти метрики від anti-malware чи intrusion detection компаній. Що перетворить метрики в інструмент отримання коштів клієнтів.

4. Шукачі уразливостей почнуть все більше переживати за легальність їхньої діяльності. Що призведе до зменшення деталізації при оприлюднені уразливостей. Стосовно легальності, то тут переживати будуть лише секюріті дослідники декількох країн, і на кількості релізів дірок це особливо не позначиться. А ось якість релізів, через недолуге законодавство, може погіршитися. І навіть може погіршитися загальний стан безпеки.

5. Все більше людей з мінімумом знань про безпеку будуть ставати сертифікованими секюріті професіоналами. Тобто сертифікація в галузі безпеки буде приносити більше шкоди ніж користі. До речі, подібна ситуація стосується сертифікації й в інших галузях ІТ.

Численні уразливості в Microsoft Internet Explorer

20:25 26.01.2009

Ще в 2007 році були виявлені численні уразливості в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, Internet Explorer 6 і Internet Explorer 7 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Пошкодження пам’яті при розборі CSS, можливість виконання небезпечних команд в ActiveX Microsoft Visual Basic, пошкодження пам’яті в ActiveX Microsoft Visual Basic.

  • TlbInf32 ActiveX Command Execution (деталі)
  • Microsoft IE5 CSS Parsing Memory Corruption Vulnerability (деталі)
  • Microsoft Security Bulletin MS07-045 - Critical Cumulative Security Update for Internet Explorer (937143) (деталі)

Добірка уразливостей

16:12 26.01.2009

В даній добірці уразливості в веб додатках:

  • HFS (HTTP File Server) Username Spoofing and Log Forging/Injection Vulnerability (деталі)
  • HFS (HTTP File Server) Log Arbitrary File/Directory Manipulation and Denial-of-Service Vulnerabilities (деталі)
  • HFS (HTTP File Server) Template Cross-Site Scripting and Information Disclosure Vulnerabilities (деталі)
  • Remote File Disclosure in phpCMS 1.2.2 (деталі)
  • CSRF/XSS in Sungard Banner (деталі)
  • VB Marketing “tseekdir.cgi” Local File Inclusion (деталі)
  • WoltLab Burning Board 3.x.x Private Message Delete XSRF Vulnerability (деталі)
  • ASPired2Protect bypass (деталі)
  • eTicket ‘index.php’ Cross Site Scripting Path Vulnerability (деталі)
  • ClanSphere 2007.4.4 Remote File Disclosure Vulnerability (деталі)

Уразливості на www.computerworld.com.ua

23:59 24.01.2009

Після вчорашнього анонсу уразливостей на www.comizdat.com, сьогодні я виявив уразливості на http://www.computerworld.com.ua - сайті ComputerWorld Україна. Це щотижневик видавництва Коміздат. Про які найближчим часом сповіщу адміністрацію сайта.

Головна уразливість сайта, яку є виявив ще до того, як почав шукати на ньому дірки - це Insufficient Authorization уразливість. Яка полагає в тому, що на даному сайті один і той же адмінський логін і пароль з сайтом www.comizdat.com (які я виявив використовуючи раніше виявлені дірки на www.comizdat.com). Що дозволило отримати повний контроль над обома сайтами ;-) . До того ж в них спільна адмінка на два сайти, тобто отримавши доступ до адмінки на одному з них, можна керувати обома сайтами.

Ніколи не варто використовувати один і той же пароль на декількох сайтах! І не варто мати доступ з однієї адмінки до кількох сайтів. Бо тільки один сайт буде скомпрометований, одразу будуть взломані всі сайти, до яких є доступ через адмінку.

Сам же сайт www.computerworld.com.ua достатньо уразливий. Зокрема на ньому є Cross-Site Scripting і Denial of Service уразливості, подібні уразливостям на www.comizdat.com, про які я писав в 2008 році. А також є Full path disclosure.

XSS:

DoS:

http://www.computerworld.com.ua/index_cw.php?in=komi_search2&SearchString=

З бази даних виводиться інформація про всі сторінки сайта.

Full path disclosure:

http://www.computerworld.com.ua/index_cw.php?in=komi_search2&lang='

Небезпеки DoS атак через споживання ресурсів

22:49 24.01.2009

Раніше я вже писав про небезпеки DoS атак на браузери. В даній статті я зосереджу увагу на DoS атаках через споживання ресурсів.

Згідно з класифікацією DoS уразливостей в браузерах існує три види Denial of Service уразливостей в браузерах: Вибиваючі DoS, Блокуючі DoS і DoS через споживання ресурсів.

DoS через споживання ресурсів (resources consumption DoS) бувають двох типів:

  • Споживання ресурсів CPU (CPU overload).
  • Споживання ресурсів RAM (memory consumption).

На відміну від перших двох видів атак, коли браузер відразу вилітає чи підвисає (або блокується), що користувач відразу помітить і перезапустить додаток, вирішивши тим самим проблему, то атаки третього виду більш небезпечні. Тому що вони впливають на всю систему в цілому, сповільнюючи роботу комп’ютера й у результаті провокують користувача закрити браузер.

Особливості CPU overload DoS атак:

1. Іноді бувають разом з підвисанням браузера, але частіше без підвисання.

2. Приторможення при даній атаці бувають різні в різних браузерах, але завжди завантаження процесора до 100%. Закрити вікно чи вкладку практично завжди можна.

3. При наявності декількох вкладок користувач не зможе визначити, яка з них приводить до приторможень (зможе лише в рідких випадках), за винятком браузера Chrome, де є вбудований Task Manager. Тому користувач може закрити всі чи багато вкладок, щоб вирішити проблему завантаження CPU.

4. Недосвідчені користувачі, у тому числі користувачі Chrome (які не знають про Task Manager) можуть зовсім закрити браузер, щоб вирішити проблему завантаження CPU.

5. Більш досвідчені користувачі, що помітять приторможення ПК, можуть запустити Task Manager ОС і побачити, що браузер завантажує CPU, і якщо не захочуть чи не зможуть розібратися який сайт винуватий, можуть закрити весь браузер.

6. Що у випадку табів, що у випадку окремих вікон - ситуація однакова. При наявності більш одного вікна чи таба в більшості випадків важко визначити причину підвисання. Що призведе до закриття усіх вікон чи табів, або всього браузера.

7. У результаті буде дискомфорт (і можлива втрата даних користувача), як і при перших двох видах DoS атак.

8. Даний вид DoS атак дуже підходить для проведення Reverse DDoS атак.

Уразливість на absolutist.com

19:35 24.01.2009

11.07.2008

У листопаді, 07.11.2007, я знайшов Cross-Site Scripting уразливість на сайті http://absolutist.com. Аналогічна уразливість є також на сайті http://absolutist.ru. Про що найближчим часом сповіщу адміністрацію сайтів.

Детальна інформація про уразливість з’явиться пізніше.

24.01.2009

XSS:

http://absolutist.com

http://absolutist.ru

Уразливість на absolutist.com вже виправлена, а на absolutist.ru досі не виправлена.

Добірка експлоітів

16:11 24.01.2009

В даній добірці експлоіти в веб додатках:

  • TWiki 4.2.0 (configure) Remote File Disclosure Vulnerability (деталі)
  • Banner Management Script (tr.php id) Remote SQL Injection Vulnerability (деталі)
  • Active PHP Bookmarks 1.1.02 Remote SQL Injection Vulnerability (деталі)
  • webEdition CMS (we_objectID) Blind SQL Injection Exploit (деталі)
  • phpBazar 2.0.2 (adid) Remote SQL Injection Vulnerability (деталі)
  • Pars4U Videosharing V1 XSS / Remote Blind SQL Injection Exploit (деталі)
  • EasySite 2.3 Multiple Remote Vulnerabilities (деталі)
  • tinyCMS 1.1.2 (templater.php) Local File Inclusion Vulnerability (деталі)
  • BandSite CMS 1.1.4 (Download Backup/XSS/CSRF) Remote Vulnerabilities (деталі)
  • PhotoCart <= 3.9 Multiple Remote SQL Injection Vulnerabilities (деталі)

Уразливості на www.comizdat.com

23:57 23.01.2009

У березні, 14.03.2008, я знайшов SQL Injection, Cross-Site Scripting та Full path disclosure уразливості на http://www.comizdat.com - сайті видавництва Коміздат. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про уразливості на www.comizdat.com.

Детальна інформація про уразливості з’явиться пізніше.

DoS уразливість в SeaMonkey

22:41 23.01.2009

Нещодавно була виявлена DoS уразливість в браузері SeaMonkey (що базується на движку Mozilla). Для якої був розроблений експлоіт. Причому, судячи з досліджень автора експлоіта, атака працює лише в версії браузера під Лінукс (Ubuntu і Slackware).

  • SeaMonkey <= 1.1.14 (marquee) Denial of Service Exploit (деталі)

Уразливі версії SeaMonkey 1.1.14 та попередні версії.

Зазначу, що я вже писав торік про DoS уразливості в Mozilla Firefox та Google Chrome, де я використовував цю ж саму атаку з вкладеними тегами marquee. І в обох випадках, в Фаєрфоксі та Хромі, відбувалася лише CPU overload DoS, а не вибивання додатку як у випадку SeaMonkey (як заявляє автор експлоіта), причому тільки на Лінуксі. Це явно особливість SeaMonkey.

Численні DoS-умови в PHP

20:24 23.01.2009

Ще в 2007 році були виявлені численні DoS-умови в PHP.

Уразливі версії: PHP 5.2.

Відмова в обслуговувані на великих рядках у функціях fnmatch(), iconv_substr(), glob() і setlocale() та на спеціально створених gif-файлах.