Websecurity - Веб безпека

Як я писав в підсумках хакерської активності в Уанеті в 2008 - в минулому році активність хакерів зросла на 788% порівняно з 2007 роком. Наведу порівняльну статистику хакерської активності в Уанеті за останні роки.

Свої дослідження хакерської активності я проводив в 2006, 2007 і 2008 роках (і продовжую в цьому році). Тому статистика буде за 2006 - 2008 роки. Зазначу, що в 2006 році я досліджував лише останні 7 місяців.

За весь 2006 рік в Уанеті було проведено 5 атак на веб сайти.

За весь 2007 рік в Уанеті було проведено 17 атак на веб сайти.

За весь 2008 рік в Уанеті була проведена 151 атака на веб сайти.

Динаміка хакерської активності.

В 2007 році активність зросла на 240% порівняно з 2006 роком (зростання в 3,4 рази).

В 2008 році активність зросла на 788% порівняно з 2007 роком (зростання в 8,88 рази). В порівнянні з 2006 роком активність зросла на 2920% (в 30,2 рази).

Нещодавно, 10.03.2009, через деякий час після виходу PHP 5.2.9, вийшов PHP 5.2.9-1 (для Windows).

Даний реліз виправляє уразливість, що мала місце в бібліотеці cURL (CVE-2009-0037). Тільки Windows пакети PHP є вразливими.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• New yarssr packages fix arbitrary shell command execution (деталі)
• joomla com_hello_world SQL Injection(id) (деталі)
• joomla com_product SQL Injection(catid) (деталі)
• BestWebApp Dating System SQL Injection (деталі)
• Firebird Remote Memory Corruption (деталі)
• New turba2 packages fix permission testing (деталі)
• Powered by Pagetool Ver (1.04-05-06-07) (деталі)
• Joomla Com_publication “pid” Remote SQL Injection (деталі)
• Packeteer Products File Listing XSS (деталі)
• Alkacon OpenCms tree_files.jsp resource XSS (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 14.06.2008, я виявив Abuse of Functionality та Denial of Service уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Abuse of Functionality:

Уразливість в системі відновлення (створення нового) паролю (http://site/dspNewPw.php).

Знаючи “Ім’я користувача” та “e-mail” (id, який є логіном, можна взяти з js-коду лічильника) можна тимчасово заблокувати доступ до акаунта - бо сгенерується новий пароль, що замінить старий (тому користувачу потрібно буде вводити вже новий пароль). І у випадку, коли лист з новим паролем не дійде на емайл користувача (через спам фільтри, або якщо в користувача не був вказаний емайл в акаунті), то доступ до акаунту буде повністю заблокований.

DoS (Looped DoS):

Скрипти редиректять самі на себе (зациклений редирект, про який я вже писав). Mozilla автоматично зупиняє даний зациклений редирект (видає Redirect Loop Error), а IE - ні (продовжує звертатися до сервера). Якщо клієнт, що звертається до скрипта, сам не зупинить редирект, наприклад бот пошукових систем, то це спричинить велике навантаження на сервер.

http://site/edCss.php/
http://site/config.inc.php
http://site/cookie.php/
http://site/dlcount.php/
http://site/dspBrowserOs.php/
http://site/dspCalendar.php/
http://site/dspLogs.php/
http://site/dspNewPw.php/
http://site/dspOnline.php/
http://site/dspSignup.php/
http://site/dspStats.php/
http://site/dspTTF.php/
http://site/edit_user.php/
http://site/edSettings.php/
http://site/index.php/
http://site/load_css.php/
http://site/login.php/
http://site/main-dummy.php/
http://site/main.php/
http://site/mirolog.js.php/
http://site/pphlogger.php/
http://site/showhits.php/

Це $PHP_SELF DoS атака. Існує вектор XSS атак через $PHP_SELF, а це вектор DoS атак.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це десята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

Після оприлюднення результатів розвитку веб безпеки в 2008 році, надам свої прогнози на новий рік. Але спочатку зроблю огляд тих прогнозів, що я давав на 2008 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році ще більш поширилися (вони були найпоширенішими уразливостями веб додатків).
2. Фішинг став ще більш поширеним явищем, і окрім збільшення фішерським емайл листів також з’явилися нові техніки фішерських атак, в тому числі редиректори через Flash.
3. Insufficient Anti-automation уразливості стали більш поширеними (зокрема атаки на капчі).
4. Кількість веб вірусів та хробаків за минулий рік збільшилася, хоча й не дуже стрімко.
5. Значно зросла кількість заражених вірусами веб сторінок, в тому числі й в Уанеті.
6. Збільшилися атаки на соціальні мережі (в тому числі й веб хробаки здебільшого поширювалися саме соціальними мережами).
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 788%).

Як видно всі мої попередні прогнози переважно збулися .

Про прогнози різних секюріті компаній та експертів я чимало писав останнім часом, і тепер оприлюдню власні прогнози на цей рік.

Прогноз розвитку галузі веб безпеки в 2009 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Активніше будуть поширюватися CSRF уразливості.
3. Фішинг стане ще більш розповсюдженим.
4. Insufficient Anti-automation уразливості та атаки на captcha стануть більш поширеними.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Збільшаться атаки на соціальні мережі, в тому числі за рахунок веб вірусів.
7. Продовжиться подальше зростання хакерської активності.

15.11.2008

У грудні, 19.12.2007, я знайшов Insufficient Anti-automation уразливість на сайті http://passport.a.ua. Уразливість в капчі порталу A.UA. Про що найближчим часом сповіщу адміністрацію сайта.

Останній раз стосовно проектів A.UA я писав про уразливість на shop.a.ua.

Детальна інформація про уразливість з’явиться пізніше.

14.03.2009

Insufficient Anti-automation:

Уразливість в капчі на сторінці реєстрації. Яка вразлива до MustLive CAPTCHA bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одні й ті самі значення параметрів code і security_refid (наприклад, code = JIK та security_refid = 0098f80e6eabe0b7c74427c4e9e6949b). Одна пара цих значень працює на протязі тривалого часу.

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• RPG.Board <= 0.0.8Beta2 (showtopic) SQL Injection Vulnerability (деталі)
• E-Uploader Pro <= 1.0 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Joovili <= 3.0 Multiple SQL Injection Vulnerabilities (деталі)
• Camera Life 2.6.2b4 Arbitrary File Upload Vulnerability (деталі)
• Vbgooglemap Hotspot Edition 1.0.3 Remote SQL Injection Vulnerability (деталі)
• X7 Chat 2.0.5.1 (mini.php help_file) Local File Inclusion Vulnerability (деталі)
• RPG.Board <= 0.0.8Beta2 Insecure Cookie Handling Vulnerability (деталі)
• ASPapp KnowledgeBase (catid) Remote SQL Injection Vulnerability (деталі)
• PlugSpace 0.1 (index.php navi) Local File Inclusion Vulnerability (деталі)
• LnBlog <= 0.9.0 (plugin) Local File Inclusion Vulnerability (деталі)
• Real Estate Manager (cat_id) Remote SQL injection vulnerability (деталі)
• CoAST 0.95 (sections_file) Remote File Inclusion Vulnerability (деталі)
• PowerPortal 2.0.13 (path) Local Directory Traversal Vulnerability (деталі)
• MyCard 1.0.2 (gallery.php id) Remote SQL Injection Vulnerability (деталі)
• X7 Chat <= 2.0.1A1 Local File Inclusion Vulnerability (деталі)

В своїй презентації CSRF: The Biggest Little Vulnerability on the Web, Shreeraj Shah розповідає про Cross-Site Request Forgery. Про те, що CSRF уразливості дуже поширені в Інтернеті й є достатньо небезпечними.

В минулому місяці, 26.02.2009, вийшов PHP 5.2.9, у якому виправлено більше 50 помилок, в тому числі й уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.9:

• Виправлена уразливість в imagerotate() при роботі з не truecolour зображеннями (CVE-2008-5498).
• Виправлений збій при розпакуванні з zip коли імена файлів чи директорій мали відносний шлях.
• Виправлена поведінка explode() з пустими рядками для врахування негативного ліміту.
• Виправлений збій при передачі спеціального рядку до json_decode().

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• F5 BIG-IP Web Management ASM Security Report XSS (деталі)
• IBM Quickr 8 Calendar Xss Injection (Bypass Quickr 8.0 Xss Filter) (деталі)
• phpechocms v 2.0 rc3 RFI (деталі)
• php-nuke Quran SQL Injection(surano) (деталі)
• aura cms lihatberita SQL Injection(id) (деталі)
• php nuke gallery SQL Injection(aid) (деталі)
• php-nuke Kuran SQL Injection(surano) (деталі)
• php-nuke Recipes SQL Injection(recipeid) (деталі)
• php nuke Sections SQL Injection(print) (деталі)
• Advisory: Tripwire Enterprise/Server XSS Vulnerability (деталі)