Websecurity - Веб безпека

Міністерство внутрішніх справ заявляє, що інтернет-провайдерів неможливо притягати до карної відповідальності за поширення продукції порнографічного характеру, у тому числі дитячої порнографії, без внесення відповідних змін у законодавство. Про це на прес-конференції повідомив заступник начальника Департаменту по боротьбі зі злочинами пов’язаними з торгівлею людьми МВС Олександр Мельников.

“До жодного провайдера торік не була застосована стаття 301 (Кримінального кодексу), тому що законодавство не передбачає цього”, - сказав Мельников. За його словами, МВС розробило законопроект, що передбачає врегулювання цього питання.

Нагадаю, що в грудні 2008 року міліція вилучила сервери Infostore і порушила кримінальну справу по факту поширення на файлобміннику Infostore.org порнографічної продукції.

Кабінет міністрів пропонує Верховній Раді ввести кримінальну відповідальність за збереження порнографічної продукції з метою її поширення і збуту. МВС заявляє про збільшення кількості злочинів, пов’язаних з виготовленням, збутом і поширенням продукції порнографічного характеру в 2008 році.

По матеріалам http://ain.com.ua.

P.S.

Прийняття даного законопроекту зробить ще більш реальною можливість закриття уразливих сайтів, які були похакані і на яких були розміщенні незаконні матеріали.

В даній добірці уразливості в веб додатках:

• Serendipity Freetag-plugin XSS vulnerability (деталі)
• Cacti 0.8.7a Multiple Vulnerabilities (деталі)
• LI-countdown SQL Injection Vulnerability (деталі)
• cacti — Multiple security vulnerabilities have been discovered (деталі)
• artmedic weblog multiple xss vulnerabilities (деталі)
• PostgreSQL 2007-01-07 Cumulative Security Release (деталі)
• PlutoStatus Locator v1.0pre (alpha) local file inclusion vulnerability (деталі)
• scribe 0.2 local file inclusion vulnerability (деталі)
• StatCounteX 3.0 & 3.1 Admin Vulnerability (деталі)
• Joomla 1.0.13 - 1.0.14 / (remote) PHP file inclusion possible if old configuration.php (деталі)

Виявлена можливість проведення DoS атаки проти Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.0.

Відповідь сервера з кодом 206 приводить до зависання додатка. Зазначу, що в мене в Firefox 3.0.6 на Windows XP SP2 атака не спрацювала. Може вона спрацьовує лише в Firefox на Windows Vista, як це було у автора експлоіта.

• Denial of Service using Partial GET Request in Mozilla Firefox 3.06 (деталі)

14.08.2008

У листопаді, 26.11.2007, я знайшов Cross-Site Scripting уразливість на проекті http://ebay.com, в даному випадку в пошуці по сайту (http://search.ebay.com). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.02.2009

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Зазначу, що в пошуку на eBay наявне конвертування запиту, що призводить до шифрування пошукового запиту в урлі й відповідно XSS в урлі.

Звичайний XSS код:
http://search.ebay.com/search/search.dll?from=';alert(document.cookie);//&satitle=1

Стає зашифрованим XSS кодом:
http://search.ebay.com/1_W0QQfromZQ27Q3balertQ28documentQ2ecookieQ29Q3bQ2fQ2f

Даний тип Сross-Site Scripting я назвав Зашифрований XSS (Encrypted XSS). Це перший приклад подібної XSS.

В даній добірці експлоіти в веб додатках:

• Availscript Classmate Script (viewprofile.php) SQL Injection Vulnerability (деталі)
• Availscript Photo Album (pics.php) Multiple Vulnerabilities (деталі)
• Kim Websites 1.0 (fckeditor) Remote Arbitrary File Upload Vulnerability (деталі)
• Zanfi CMS lite / Jaw Portal free (page) SQL Injection Vulnerability (деталі)
• phpVID 1.1 (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• aspWebAlbum 3.2 Multiple Remote Vulnerabilities (деталі)
• Zanfi CMS lite / Jaw Portal free (fckeditor) Arbitrary File Upload Vuln (деталі)
• Availscript Jobs Portal Script (jid) SQL Injection Vulnerability (auth) (деталі)
• Libera CMS <= 1.12 (Cookie) Remote SQL Injection Exploit (деталі)
• Zanfi CMS lite 1.2 Multiple Local File Inclusion Vulnerabilities (деталі)

На цьому тижні, 10.02.2009, пройшов День безпечного Інтернету. З чим я вас і вітаю. Мета даного заходу - роз’яснення загроз, що несе Всесвітня павутина.

Як повідомляє сайт www.moral.gov.ua, аби привернути увагу всієї Інтернет-спільноти до проблем безпеки у Всесвітній мережі, в Україні 10 лютого 2009 року відзначався День безпечного Інтернету. Зазначу, що як я писав раніше, в 2007 році День безпечного Інтернету відзначався 6 лютого, а в 2008, як я знайшов в Мережі - 12 лютого, а в 2009 році - вже 10 лютого. Щось не можуть організатори заходу визначитися з одним днем його проведення.

Головним координатором Дня безпечного Інтернету є некомерційна організація Insafe. Про уразливості на її сайті www.saferinternet.org я вже писав.

Стосовно безпеки Інтернету та Уанету зокрема, то зазначу наступне. Що до реальної безпеки ще доволі далеко, і небезпек в Інтернеті достатньо. І їх кількість постійно зростає, тому якщо не приймати реальних кроків, ситуація не зміниться на краще.

Якби там хто не святкував “безпечність Інтернету”, з усіма тими уразливостями на веб сайтах і в веб додатках, про які я пишу щодня, він більш безпечним не стане. В першу чергу це стосується Уанету. Стан безпеки в Уанеті достатньо низький, що добре видно з моїх підсумків хакерської активності в 2008 році, і в новому році ситуація буде розвиватися в тому ж напрямі. Якщо українці не змінять своїх підходів до безпеки власних сайтів.

Виявлене пошкодження пам’яті в Microsoft SQL Server. Дана уразливість у SQL Server була виявлена ще в грудні минулого року.

Уразливі продукти: Microsoft SQL Server 2000, SQL Server 2005, Windows 2003 Server, Windows 2008 Server.

Пошкодження пам’яті в збереженій процедурі sp_replwritetovarbin.

• Microsoft Security Bulletin MS09-004 - Important Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420) (деталі)

В даній добірці уразливості в веб додатках:

• Joovili <= v.2.1 (members_help.php) Remote File Include Vulnerability (деталі)
• Blackboard (id) Remote SQL Injection (деталі)
• Husrev Forums v2.0.1:PoWerBoard (tr) (id) Remote SQL Injection (деталі)
• Multiple LFI in PowerNews (Newsscript) 2.5.6 (деталі)
• Re: Certificate spoofing issue with Mozilla, Konqueror, Safari 2 (деталі)
• Sertificate spoofing with subjectAltName and domain name wildcards (деталі)
• Certificate spoofing issue with Mozilla, Konqueror, Safari 2 (деталі)
• Provided By Development Solutions SQL Injection Exploit (panel) (деталі)
• Netkom Internet Solutions (folder_id) Remote SQL Injection Vulnerability (деталі)
• Vwar New Bug (деталі)

Раніше я писав про Charset Inheritance уразливість в Internet Explorer 6 та Google Chrome, яка призводила до Cross-Site Scripting з використанням успадкованої кодової сторінки. Тоді я перевірив дану атаку в Firefox 3.0.1 і він виявився невразливим. Але після того, як виявилося, що Мозіла виправила в Firefox Charset Remembering уразливість (внесши зміни в роботу з UTF-7), я вирішив перевірити можливість появи даної уразливості в нових браузерах Мозіли.

В лютому, 02.02.2009 в мене виникла підозра, що Mozilla Firefox вразливий до Charset Inheritance. Яку я сьогодні перевірив і підтвердив, що Firefox має дану уразливість, яка дозволяє проводити XSS атаки (зокрема, з використанням UTF-7 кодування).

Як і у випадку Google Chrome, дана уразливість працює в Firefox лише з одного домена - Same Domain Charset Inheritance уразливість. Тому для атаки потрібно мати можливість розмістити html-код з фреймом/іфреймом на тому самому домені (наприклад, через аплоадер).

Уразливі версії Mozilla Firefox 3.0.2 - 3.0.6. Версія Firefox 3.0.1 та всі попередні версії не вразливі. Також можуть бути вразливими версії Mozilla Firefox 2.0.0.x, що вийшли після Firefox 3.0.2.

За прогнозами компанії MessageLabs, у новому році будуть розвиватися персонализація кібератак і використання інтернет-сервісів і популярних ресурсів. Повідомлення зі спамом стануть коротшими. Кількість спама, що розсилається істотно збільшиться в Бразилії, Росії, Індії, Китаї.

За наведеною інформацією в 2008 році обсяг спама в середньому складав 81,2% від загальної кількості трафіка. 90% спама було відправлено з ботнетів. Після закриття інтернет-хостінга McColo, на якому розташовувалися сервери найбільших ботнетів, кількість спама за 12 годин зменшилися в 8 разів.

У святкові дні кількість спама різко збільшувалася. При відсутності приводів хакери їх просто придумували, наприклад, чутку про землетрус у Китаї чи про III світову війну. Світова фінансова криза також спровокувала потужну хвилю спама. Встановлено, що хакери усе активніше користуються безкоштовними онлайн-сервісами.

Зловмисники використовують автоматично створені облікові записи для створення підроблених профілів у соціальних мережах. Спроба додати нового знайомого в список контактів обернеться для учасника соціальної мережі і його друзів масою непотрібної реклами, втратою особистих даних, а то й вірусом.

По матеріалам http://itua.info.