Архів за Квітень, 2009

Численні уразливості в Microsoft Internet Explorer

22:43 24.04.2009

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6 та 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Виконання коду, численні ушкодження пам’яті, NTLM-релеїнг.

  • MS09-014: MSIE EMBED element race condition memory corruption (деталі)
  • Moderate Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege (959426) (деталі)
  • Critical Cumulative Security Update for Internet Explorer (963027) (деталі)

Уразливості на allmebel.com.ua

20:29 24.04.2009

06.12.2008

У лютому, 02.02.2008, я знайшов Full path disclosure, Insufficient Anti-automation, Content Spoofing та Information Leakage уразливості на проекті http://allmebel.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2009

На сторінках з товарами в каталозі сайта використовувалася вразлива капча.

Full path disclosure:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=08564

Insufficient Anti-automation:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=08564

Дана капча вразлива до Code guessing bypass method, що я описав в проекті Місяць багів в Капчах. Значення параметра num і є текстом капчі.

Content Spoofing:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=Site%20was%20hacked!

Information Leakage:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/etc/passwd

Можлива перевірка наявності файлів на сайті в Internet Explorer або через качалку.

Дані уразливості вже виправлені.

Добірка експлоітів

16:11 24.04.2009

В даній добірці експлоіти в веб додатках:

  • SFS EZ Link Directory (cat_id) Remote SQL Injection Vulnerability (деталі)
  • SFS EZ Home Business Directory (cat_id) SQL Injection Vulnerability (деталі)
  • SFS EZ Gaming Directory (cat_id) Remote SQL Injection Vulnerability (деталі)
  • SFS EZ Hosting Directory (cat_id) Remote SQL Injection Vulnerability (деталі)
  • Absolute Newsletter 6.1 Insecure Cookie Handling Vulnerability (деталі)
  • GE Fanuc Real Time Information Portal 2.6 writeFile() API Exploit (meta) (деталі)
  • SFS EZ Top Sites (topsite.php ts) Remote SQL Injection Vulnerability (деталі)
  • SFS EZ Career (content.php topic) SQL Injection Vulnerability (деталі)
  • SFS EZ Auction (viewfaqs.php cat) Blind SQL Injection Vulnerability (деталі)
  • Article Publisher PRO (userid) Remote SQL Injection Exploit (деталі)
  • ModernBill <= 4.4.x XSS / Remote File Inclusion Vulnerability (деталі)
  • GO4I.NET ASP Forum 1.0 (forum.asp iFor) SQL Injection Vulnerability (деталі)
  • Article Publisher PRO 1.5 Insecure Cookie Handling Vulnerability (деталі)
  • Joomla Component Flash Tree Gallery 1.0 RFI Vulnerability (деталі)
  • AuraCMS 2.x (user.php) - Security Code Bypass & Add Administrator Exploit (деталі)

URL Spoofing в GoogleBot, Mozilla та Internet Explorer

23:55 23.04.2009

В минулому році я виявив URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer. Якщо про уразливості в браузерах я пишу часто і сам знаходжу їх регулярно, як DoS уразливості в Firefox та Opera та Нова DoS уразливість в Internet Explorer, то уразливість в боті пошукової системи, в даному випадку GoogleBot, я знайшов уперше. Боти інших пошукових систем також можуть бути вразливі.

Звичайно боти (павуки) Google та інших пошуковців можуть заіндексувати важливу інформацію, яка потім буде знайдена через Гугл Хакінг. Але це природня особливість ботів пошуковців, а в даному випадку має місце URL Spoofing уразливість.

Дану уразливість я виявив ще в листопаді 2008 року (як почав користуватися сайтом tab.net.ua). За допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду.

URL Spoofing:

http://www.site.com%20www.site2.com

При використанні символу пробіл, можна підробити адресу сайта в адресному рядку. Треба спочатку задати підробну адресу http://www.site.com, потім поставити %20 (один або більше), а потім www.site2.com. В результаті браузер покаже в адресному рядку сконструйовану адресу, але при цьому перейде на сайт http://www.site2.com.

http://www.siiiiiiiiiiiiiiiiiiiite.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20www.site2.com

Символів пробіл (в url-encoded формі - %20) повинно бути не більше 19, бо інакше Mozilla видасть повідомлення про помилку. При цьому в IE з даним символом немає жодних проблем і можна використовувати більшу кількість пробілів. В Мозілі ж для приховання справжньої адреси (щоб вона в адресний рядок не помістилася) можна використати додаткові символи в адресі першого сайта, що також можна зробити і в IE.

Уразливість GoogleBot полягає в тому, що він підтримує та індексує подібні адреси, а уразливість Mozilla та IE, що вони дозволяють зайти на подібні адреси. До даної атаки вразливі GoogleBot, Mozilla 1.7.x та IE6. Нові браузери, такі як Firefox 3, Opera 9 та Chrome невразливі.

Реальний приклад даної атаки (проіндексований Гуглом).

URL Spoofing:

http://www.infostore.org%20www.tab.net.ua/sites/files/site_name.FILMI_V_DVDRip/id.67045/

До речі, даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Уразливий GoogleBot.

Уразливі Mozilla 1.7.x та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8.

P.S.

Як я перевірив Yahoo! Slurp (бот Yahoo) також уразливий.

Похакані сайти №41

22:43 23.04.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://panbud.com.ua (хакером hr0m)
  • http://www.e-pokupka.kiev.ua (хакером BozKuRT) - даний сайт вже був похаканий 26.12.2008. А нещодавно, 16.04.2009, він був поканий BozKuRT, а зараз сайт вже похаканий IK4Z*. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://wifi-hunter.org.ua (хакером ANDERSON) - був похаканий 20.03.2009, а щойно і я покахав цей сайт ;-)
  • http://www.intercharm.kiev.ua (хакером Cyb3rking) - 07.04.2009, зараз сайт вже виправлений адмінами
  • http://lavinadigital.com (хакером GuardіaN) - 14.04.2009, зараз сайт не працює

Захист інформації в Мережі: віртуальна реальність

20:22 23.04.2009

На цьому тижні з 22.04 по 24.04 проходить форум Інтернет Україна 2009. На даному форумі відбудуться численні конференції. Зокрема на тему інформаційної безпеки на форумі були заплановані наступні конференції:

Зокрема сьогодні пройшла конференція “Захист інформації в Мережі: віртуальна реальність”. Я сам планував прийняти в ній участь з доповіддю, і хоча попередньо я домовився з керівництвом форуму, але остаточно узгодити це не вдалося.

На даній конференції не був, але з оприлюдненої інформації на сайті форуму можу сказати, що висвітлення проблем з безпекою в Уанеті було доволі обмежене (що я і планував змінити зі своєю доповіддю). Це стосується як конференції “Захист інформації в Мережі”, так і конференції про безпеку дітей в Інтернеті.

Коли я подивився на початку квітня сайт компанії, що повинна була виступити з двома доповідями на даній конференції, і швидко виявив на ньому уразливість, то це мене не звидувало :-) . І я зробив відповідні висновки про конференцію та її учасників.

Добірка уразливостей

17:33 23.04.2009

В даній добірці уразливості в веб додатках:

  • Trend Micro ServerProtect StRpcSrv.dll Insecure Method Exposure Vulnerability (деталі)
  • Gazi Okul Sitesi 2007(tr)(fotokategori.asp) Remote SQL Injection (деталі)
  • ACLS ineffective in SQL-Ledger and LedgerSMB (деталі)
  • LedgerSMB 1.2.0 finally released, fixes CVE-2006-5589 (деталі)
  • America Online AOL Instant Messenger AIM6.0 or 6.5 or higher XSS remote execution (деталі)
  • Remote Command execution, HTML and JavaScript injection vulnerabilities in AOL’s Instant Messaging software (деталі)
  • Datalife Engine 6.7 XSRF (деталі)
  • Writers Block SQL Injection Vulnerabilities (деталі)
  • Parallels virtuozzo’s VZPP multiple csrf vulnerabilities (деталі)
  • Joomla Component com_lms SQL Injection (деталі)

Уразливість на dvlabs.tippingpoint.com

23:56 22.04.2009

У липні, 24.07.2008, я знайшов Insufficient Anti-automation уразливість на http://dvlabs.tippingpoint.com - сайті секюріті компанії TippingPoint.

Insufficient Anti-automation:

http://dvlabs.tippingpoint.com/blog/

В формі коментарів до записів блогу використовується вразлива капча (постійна текстова капча). Вона вразлива до Constant values bypass method, що я описав в проекті Місяць багів в Капчах.

Відсутність захисту від автоматизованих запитів (або використання дірявих капч) є звичайним явищем на сайтах секюріті компаній. Зокрема я вже писав про подібні уразливості на іншому сайті компанії TippingPoint - www.zerodayinitiative.com.

Ювілей

22:47 22.04.2009

Учора, 21.04.2009, виповнилося 10 років моєму сайту http://mlbpg.narod.ru!

Так що у мого першого веб сайта відбувся день народження - ювілей ;-) . З чим себе і вас поздоровляю.

Уразливість на www.tracker.com.ua

19:08 22.04.2009

05.12.2008

У лютому, 02.02.2008, я знайшов Cross-Site Scripting уразливість на сайті http://www.tracker.com.ua системи Intellitracker Enterprise. Про що найближчим часом сповіщу адміністрацію системи.

Стосовно систем аналізу відвідуванності сайтів, я раніше вже писав про уразливість на gs.spylog.ru та уразливості в Power Phlogger.

Детальна інформація про уразливість з’явиться пізніше.

22.04.2009

XSS:

Дана уразливість досі не виправлена.