Websecurity - Веб безпека

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.7. В новій версії:

• Додана підтримка операторів div та mod в циклах for.
• Додана підтримка операторів div та mod в циклах while.
• Додана підтримка операторів div та mod в циклах repeat until.
• Виправлена робота write і writeln з функціями.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

14.10.2008

У січні, 10.01.2008, я знайшов Cross-Site Scripting уразливість на сайті http://netscape.com (зокрема, в блозі http://blog.netscape.com). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на netscape.com раніше я писав, зокрема торік, під час MOSEB, про Persistent XSS at search.netscape.com та Vulnerabilities at search.netscape.com.

Детальна інформація про уразливість з’явиться пізніше.

21.03.2009

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• RPortal 1.1 (file_op) Remote File Inclusion Vulnerability (деталі)
• Link Trader (ratelink.php lnkid) Remote SQL Injection Vulnerability (деталі)
• phpscripts Ranking Script Insecure Cookie Handling Vulnerability (деталі)
• vxFtpSrv 2.0.3 CWD command Remote Buffer Overflow PoC (деталі)
• OLIB 7 WebView 2.5.1.1 (infile) Local File Inclusion Vulnerability (деталі)
• Bux.to Clone Script Insecure Cookie Handling Vulnerability (деталі)
• AdaptCMS Lite <= 1.3 Blind SQL Injection Exploit (деталі)
• Serv-U 7.2.0.1 Remote FTP File Replacement Vulnerability (auth) (деталі)
• Serv-U 7.2.0.1 (stou con:1) Denial of Service Vulnerability (auth) (деталі)
• Full PHP Emlak Script (arsaprint.php id) SQL Injection Vulnerability (деталі)
• IP Reg <= 0.4 Remote Blind SQL Injection Exploit (деталі)
• OpenX 2.6 (ac.php bannerid) Remote Blind SQL Injection Exploit (деталі)
• Kwalbum <= 2.0.2 Arbitary File Upload Vulnerability (деталі)
• CCMS 3.1 (skin) Multiple Local File Inclusion Vulnerabilities (деталі)
• AXIGEN 5.0.x AXIMilter format string Exploit (деталі)

У квітні, 12.04.2008, я знайшов Insufficient Anti-automation уразливість на http://bugtraq.ru - популярному секюріті сайті.

Insufficient Anti-automation:

http://bugtraq.ru/rsn/add.html

Форма додання інформації в архів немає захисту від автоматизованих запитів (капчі). Що є звичайним явищем на сайтах про безпеку та сайтах секюріті компаній, як наприклад Sophos.

Нерідко Abuse of Functionality уразливості можуть призводти до появи Denial of Service уразливостей на веб сайтах. Що дозволить проводити DoS атаки на дані сайти.

Одним з прикладів DoS через Abuse of Functionality є уразливість в Power Phlogger. Серед скриптів даного веб додатку, що з ним постачаються, є скрипт extchange.php. При прямому запиті до даного скрипта, він змінює розширення php файлів системи на php3. І враховуючи, що в лінках на скрипти використовується розширення php, система перестає нормально працювати, що призводить до DoS атаки.

Іншим цікавим прикладом DoS через Abuse of Functionality, є використання ресурсів одних сайтів для проведення DoS атак на інші сайти. Дану уразливість я виявив на regex.info та www.slideshare.net.

На даних сайтах є сервіси, які звертаються до інших сайтів для віддаленого викачення файлів. На regex.info це скрипт, що викачує файл для аналіза exif інформації, а на www.slideshare.net це аплоадер. Причому на обох сайтах дані сервіси також вразливі до Insufficient Anti-automation атак.

Проведення DoS атаки можливе у випадку, якщо вказати на великий файл (big_file) для скачування. При викачуванні великого файлу сервер перенавантажиться, особливо якщо запустити на викачку декілька великих файлів (через Insufficient Anti-automation уразливість). Що призведе до DoS атаки на такий сервіс.

DoS через Abuse of Functionality:

http://regex.info/exif.cgi?url=http://site/big_file

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/big_file&title=test&dwnld_chk=on

Також цікаве й те, що таким чином можна проводити двонаправлені DoS атаки (bidirectional DoS attacks). Якщо задати викачку таким сервісом декількох великих файлів з одного сайта (це може бути один і той же файл, запущений для паралельної викачки), то це перенавантажить обидва сервери.

В минулому місяці була виявлена Denial of Service уразливість в ModSecurity - популярному WAF. Для якої вчора був оприлюднений експлоіт.

Так що окрім різноманітних методів обходу ModSecurity, зокрема для проведення XSS атак, які я розробив за останні роки, в ньому ще знайшли і DoS уразливість.

• ModSecurity < 2.5.9 Remote Denial of Service Vulnerability (деталі)

Уразливі версії ModSecurity 2.5.8 та попередні версії.

В даній добірці уразливості в веб додатках:

• AXIGEN 5.0.x AXIMilter Format String Exploit (деталі)
• Format string and buffer-overflow in SurgeMail 38k4 (деталі)
• php-nuke sql injection reportaj [secid] (деталі)
• New diatheke packages fix arbirary shell command execution (деталі)
• Cisco PIX and ASA Time-to-Live Vulnerability (деталі)
• Centreon <= 1.4.2.3 (index.php) Remote File Disclosure (деталі)
• PHPMyTourney Remote file include Vulnerability (деталі)
• XSS on XRMS open source CRM (деталі)
• PR07-41: XSS on Juniper Networks Secure Access 2000 (деталі)
• Vulnerability in 123 Flash Chat Module for phpBB (деталі)

Мені періодично доводиться зіштовхуватися з інфікованими сайтами в Уанеті. Раніше я вже писав про інфіковані сайти hip.org.ua та wmast.com.ua.

Сьогодні я знайшов ще один заражений сайт. Сьогодні, під час пошуку в Гуглі, я виявив, що сайт www.doski.zp.ua інфікований. Бо Google повідомив стосовно нього, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”.

Після того, як я сам перевірив даний сайт, я впевнився, що він інфікований. На даному сайті розміщений шкідливий iframe. Який веде на шкідливу сторінку, що розміщена на китайському сайті. До речі, власник сайта вірогідно прибрав цей код з деяких сторінок сайта, але не зі всіх - шкідливий код все ще розміщений, як мінімум, на сторінці http://www.doski.zp.ua/index.php?des=add.

Адміну www.doski.zp.ua варто витерти шкідливий код з сайта і почати серйозно слідкувати за безпекою власного сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.snz.com.ua (хакерами M.W.N.N., DImionX і Bboy)
• http://info.kp.km.ua (хакерами GOYHACKERS і DANGER14) - 08.03.2009, зараз сайт вже виправлений адмінами
• http://wi-net.com.ua (хакерами з CYBERDOS TEAM) - 12.03.2009, зараз сайт закритий адмінами
• http://www.ayur-veda.com.ua (хакером Y.D.I.) - 03.2009 - похаканий форум сайта і зараз форум не працює
• http://rynok.com.ua (хакером XUGURX)

30.06.2008

Сьогодні, як раз коли я зайшов на сайт подивитися курс долара, я знайшов Cross-Site Scripting уразливість на http://www.bank.gov.ua - сайті Національного банку України. Про що найближчим часом сповіщу адміністрацію сайта.

В тому, що сайт НБУ дірявий - я зовсім не сумнівався . Раніше, я вже писав про уразливості на сайтах інших банків (а для банківських сайтів дуже несерйозно мати уразливості), зокрема, Приватбанку та Агробанку. Хоча б НБУ варто було відрізнятися від інших банків кращим рівнем безпеки власного сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.03.2009

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. НБУ довгий час не хотів її виправляти, але після демонстрації цієї дірки в новинах на 1+1, де був показаний сюжет зі мною, вони все ж таки її виправили.