Websecurity - Веб безпека

02.07.2008

У листопаді, 02.11.2007, я знайшов Cross-Site Scripting (причому persistent) уразливість на проекті http://bezpeka-shop.com (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

20.01.2009

XSS:

POST запит на сторінці http://bezpeka-shop.com/shopping_cart.php
1<script>alert(document.cookie)</script>В полі Количество (для вже доданого в корзину товару, який в свою чергу може бути доданий через CSRF уразливість).

Після ін’єкції коду, він спрацьовує на кожній сторінці сайта (persistent XSS).

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• PHP-Ring Webring System 0.9.1 Insecure Cookie Handling Vulnerability (деталі)
• txtSQL 2.2 Final (startup.php) Remote File Inclusion Vulnerability (деталі)
• Quicksilver Forums 1.4.1 forums[] Remote SQL Injection Exploit (деталі)
• BBlog 0.7.6 (mod) Remote SQL Injection Vulnerability (деталі)
• Joomla 1.5.x (Token) Remote Admin Change Password Vulnerability (деталі)
• gelato CMS 0.95 (img) Remote File Disclosure Vulnerability (деталі)
• IntelliTamper 2.07/2.08 Beta 4 A HREF Remote Buffer Overflow Exploit (деталі)
• dotCMS 1.6 (id) Multiple Local File Inclusion Vulnerabilities (деталі)
• DeeEmm CMS (DMCMS) 0.7.4 Multiple Remote Vulnerabilities (деталі)
• ZEEJOBSITE 2.0 (adid) Remote SQL Injection Vulnerability (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. В травні, 17.05.2008, я виявив SQL Injection та Denial of Service уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

SQL Injection:

Уразливість можна використати зокрема для видалання стилів (в тому числі системних):

http://site/edCss.php?css_str=22/*&action=delete

Або для проведення DoS атак:

http://site/edCss.php?css_str=22%20and%20benchmark(10000000,benchmark(10000000,md5(now())))&action=delete

DoS:

http://site/edit_user.php?N_lang=-&edit_user=save

Введення некоректного значення параметра N_lang (для залогіненого користувача) приводить до блокування акаунта, тому що нове значення N_lang записується в БД і в подальшому доступ блокується (виводиться повідомлення “Hacking attempt!!”). Тому можна провести CSRF атаку на користувача системи для блокування його акаунта. Таким чином відбудеться відмова в обслуговуванні конкретного користувача.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це дев’ята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

Нещодавно я писав про підсумки розвитку веб безпеки в 2008 році, а зараз розповім вам про найбільші секюріті події минулого року.

На eweek.com Brian Prince оприлюднив список десяти найбільших подій 2008 року в ІТ безпеці - Top 10 Security Stories of 2008.

1. Microsoft вирішила закрити свій антивірус Windows Live OneCare.
2. Уразливість в DNS була виправлена багатьма вендорами.
3. Витік даних у Hannaford.
4. Взлом емайл акаунта Sarah Palin.
5. Відключення McColo.
6. Адмін мережі Сан Франциско залишив місто без доступу до мережі.
7. Хак метро Бостона.
8. Взлом стандарта WPA.
9. Security in the Cloud досягла успіхів.
10. Кібер-війна між Росією та Грузією.

В даній добірці уразливості в веб додатках:

• MegaBBS ASP Forum Cross-Site Scripting (деталі)
• Php Search Remote Inclusion (деталі)
• Bloofox CMS SQL Injection (Authentication bypass), Source code disclosure (деталі)
• PEAR::MDB2: Information disclosure (деталі)
• FortiGuard: URL Filtering Application Bypass Vulnerability (деталі)
• PacerCMS Multiple Vulnerabilities (XSS/SQL) (деталі)
• DeluxeBB 1.1 XSS Vulnerability (деталі)
• Tiger PHP News System SQL Injection (деталі)
• TikiWiki: Multiple vulnerabilities (деталі)
• Woltlab Burning Board 2.3.6 PL2 Remote Delete Thread XSRF Vulnerability (деталі)

Розповім вам історію про дірку, що може врятувати світ. Ця історія відноситься до жанру хайтек фантастики, як я назвав цей жанр. Хайтек фантастика (hi-tech fiction) - це різновид фантастики, де йдеться про передові технології та ІТ, а також є частка фантастики. Дана історія базується на реальних подіях.

Спочатку про один факт, на якому базується дана історія.

Це XSS уразливість яку я вчора виявив на sourceforge.net на високопіарістій сторінці (PR9). Подібна дірка - це мрія для SEO-шника і я перетворив цю мрію на реальність.

Та сама уразливість: Save the world.

А ось й історія про дірку, що може врятувати світ.

XSS дірка на sourceforge.net може бути використана для html включень. Зокрема для розміщення лінок, як я показав вище. А її PR9 може зробити багатьох людей щасливими. Навіть більше, в наш час коли існує чимало фінансових проблем в світі в зв’язку з фінансовим і економічним кризисом, ця дірка може принести додаткові доходи багатьом людям. Що дуже важливо в наш час, коли багатьох людей звільняють і зростає безробіття.

Знаєте ви чи ні, що зі сторінками з високим PR ви можете заробити кошти. Чим більший PR тим краще. А PR9 є доволі великим значенням і тому він може принести доходи (безпосередньо чи опосередковано). Лише уявіть собі світ без кризису, світ миру і щастя. Щоб досягнути цього нам потрібно лише дві речі: 1. Google повинен підтримувати лінки від XSS (а не як він ігнорує їх зараз), всі чи тільки на sourceforge.net. 2. Адміни sourceforge.net повинні не фіксити дірку (як мінімум доки кризис не мине). Таким чином одна маленька XSS дірка може врятувати світ.

Як ви бачите, уразливості можуть використовуватися не тільки для атаки на веб сайти, але й для допомоги людям . Все залежить від людини.

17.05.2008

У жовтні, 19.10.2007, я знайшов Full path dislcosure, Cross-Site Scripting, SQL Injection та Insufficient Anti-automation уразливості на проекті http://expert.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на expert.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

17.01.2009

Full path disclosure:

http://expert.com.ua/postcomment.php

Нова Full path disclosure (яких чимало на сайті):

http://expert.com.ua/wp-content/plugins/hello.php

XSS:

Це розподілений persistent XSS - перший приклад подібної XSS уразливості.

POST запит на сторінці http://expert.com.ua/index.php?option=news &id=5203&dir=2 “розподіленого” XSS коду в полі name.

SQL Injection:

POST запит на сторінці http://expert.com.ua/index.php?option=news &id=5203&dir=2 SQL коду в полях name, mail, num, text.

Insufficient Anti-automation:

Уразливість в капчі на expert.com.ua. Про що я писав раніше - MoBiC-13: expert.com.ua CAPTCHA bypass.

Нова Insufficient Anti-automation:

На сторінках новин в формі коментарю немає капчі. Можна використовувати плагін Akismet, але як показує досвід, використання Akismet не є оптимальним.

Усі старі уразливості вже виправлені - шляхом зміни движку на WordPress. Але на сайті вистачає нових уразливостей, про деякі з них я щойно згадав і які досі не виправлені.

В даній добірці експлоіти в веб додатках:

• LiteNews <= 0.1 (id) Remote SQL Injection Vulnerability (деталі)
• Free Hosting Manager 1.2/2.0 Insecure Cookie Handling Vulnerability (деталі)
• Discuz! 6.0.1 (searchid) Remote SQL Injection Exploit (деталі)
• Ovidentia 6.6.5 (item) Remote SQL Injection Vulnerability (деталі)
• Ppim <= 1.0 (upload/change password) Multiple Vulnerabilities (деталі)
• ZeeBuddy 2.1 (bannerclick.php adid) SQL Injection Vulnerability (деталі)
• OpenImpro 1.1 (image.php id) SQL Injection Vulnerability (деталі)
• IntelliTamper 2.07 HTTP Header Remote Code Execution Exploit (деталі)
• psipuss 1.0 Multiple Remote SQL Injection Vulnerabilities (деталі)
• RichStrong CMS - Remote SQL Injection Exploit (деталі)

У грудні, 11.12.2007, я знайшов Cross-Site Scripting уразливість на відомому проекті http://sourceforge.net. І враховуючи, що вони її вже виправили, то сьогодні я знайшов нову дірку. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)

Враховуючи, що дану уразливість вони деякий час тому виправили, я знайшов сьогодні нову XSS дірку. Причому на сторінці з PR9 - це в мене рекорд . Попередній рекорд був PR8 на www.hotbot.com.

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR9 )

На початку року секюріті компанії та експерти почали давати прогнози розвитку безпеки в 2009 році. Найближчим часом і я оприлюдню власні прогнози . А зараз ознайомлю вас з одним з прогнозів.

На cnet.com Jon Oltsik оприлюднив наступні тенденції, що варто очікувати в новому році - Looking ahead at security trends for 2009.

1. Поява визначення кінцевої безпеки (endpoint security).
2. Більший акцент на кібербезпеку.
3. Більш строге законодавство про приватність.
4. Безпека в хмарі.
5. Безпека віртуалізації.
6. Безпечна розробка програмного забезпечення.
7. Інформаційно-центрична безпека.
8. Всюдисуще шифрування.
9. Менеджмент назв.
10. Безпека бізнес процесів.