Websecurity - Веб безпека

Сьогодні я виявив Denial of Service уразливість в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера.

Ще на початку 2007 року була виявлена DoS уразливість в Windows Media Player. В мене дана уразливість працює в WMP 10. Як я перевірив сьогодні, браузер IE також може бути атакованим, при включенні даного спеціального asx файлу (що вибиває WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit4.html

При запуску експлоіта браузер виводить повідомлення Windows Media Player, і якщо натиснути Yes, то він зависає (якщо встановити відповідний чекбокс, то це повідомлення не буде з’являтися).

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 10 або попередніх версій (і можливо й WMP 11).

Рекламна мережа Google DoubleClick була викрита в поширенні шкідливого коду через оголошення, відображувані на сайті eWeek.com, а також ряді інших. За повідомленням компанії Websense, завдяки використанню iframe браузер переадресовувався на сайт, з якого на комп’ютер - абсолютно без втручання користувача - завантажувався файл winratit.exe плюс ще два, що прописуються в автозавантаження.

Таке відбулося через досить розповсюджену уразливість у софті від Adobe - з зловмисного сайта на комп’ютер користувача завантажувався PDF-документ, що дозволяв записати на жорсткий диск будь-який файл. Після цього, якщо власник зараженої машини намагався потрапити на один з популярних антивірусних сайтів, у браузері відкривався той самий ресурс, що пропонував скачати фальшивий антивірус.

У eWeek підкреслюють, що сам сайт не був взломаний - уся справа в рекламній системі DoubleClick, що завантажувала “вірусні банери”. В даний час відвідувачам сайта ніщо не загрожує, а фахівці працюють над тим, щоб проблема не повторилася в майбутньому.

Варто відзначити, що даний випадок - далеко не перший у скорботному списку. Так, наприкінці 2007 року банера мережа Utro.ru заразила комп’ютери відвідувачів ботами для DDoS-атак, а трьома місяцями раніше портал Yahoo! було викрито в поширенні банерів із трояном.

По матеріалам http://webplanet.ru.

03.10.2008

У грудні, 23.12.2007, я знайшов Cross-Site Scripting в системі Mephisto. Це поширений блог движок. Дірку виявив на одному сайті на даному движку.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.04.2009

XSS:

http://site/search/?q=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Mephisto 0.7.3 та попередні версії.

Що цікаво, на securityvulns.ru вже була оприлюднена дана уразливість, про що я писав торік. Але я лише в жовтні 2008 знайшов дану інформацію (вже після публікації даного запису).

В даній добірці експлоіти в веб додатках:

• aflog 1.01 Multiple Insecure Cookie Handling Vulnerabilies (деталі)
• WebSVN <= 2.0 (XSS/FH/CE) Multiple Remote Vulnerabilities (деталі)
• Joomla Component Kbase 1.0 Remote SQL Injection Vulnerability (деталі)
• Joomla Component Archaic Binary Gallery Directory Traversal Vuln (деталі)
• SiteEngine 5.x Multiple Remote Vulnerabilities (деталі)
• Aj RSS Reader (EditUrl.php url) SQL Injection Vulnerability (деталі)
• NEPT Image Uploader 1.0 Arbitrary Shell Upload Vulnerability (деталі)
• BuzzyWall 1.3.1 (download id) Remote File Disclosure Vulnerability (деталі)
• vicFTP 5.0 (LIST) Remote Denial of Service Exploit (деталі)
• PHPdaily (SQL/XSS/LFD) Multiple Remote Vulnerabilities (деталі)
• PumpKIN TFTP Server 2.7.2.0 Denial of Service Exploit (meta) (деталі)
• Kasra CMS (index.php) Multiple SQL Injection Vulnerabilities (деталі)
• Tlnews 2.2 Insecure Cookie Handling Vulnerability (деталі)
• PozScripts Classified Auctions (gotourl.php id) SQL Injection Vuln (деталі)
• ZyXel gateways vulnerability research (деталі)

У липні, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.textil.com.ua. Про що найближчим часом сповіщу адміністрацію сайта. Дані уразливості в PostNuke, про які я писав раніше.

Insufficient Anti-automation:

http://www.textil.com.ua/user.php?uname=test&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

На сайті використовується WAF (ModSecurity), який я легко обійшов. Про використання флешу для обходу WAF (для проведення XSS атак) я вже писав.

На веб сайтах, зокрема в БД, часто використовують md5 хеші (або інші хеші), особливо для збереження паролів. Це робиться з метою підвищення безпеки сайтів. Але хеш може бути підібраним, або повним перебором чи перебором пословнику, або його можна підібрати при наявності інформації про значення даного хеша в Мережі. Тому не варто сподіватися лише на використання хешей і потрібно слідкувати за безпекою власного сайта.

В Інтернеті існують сайти для пошуку md5 хешей. Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

• http://www.google.com (про використання Google для взлому хешей я вже писав)
• http://md5.rednoize.com (md5 і sha1 хеші)
• http://www.md5oogle.com
• http://milw0rm.org/md5/
• http://opencrack.hashkiller.com

В подальшому я продовжу наводити перелік подібних сайтів.

Нещодавно, 08.04.2009, вийшов PHP 5.2.9-2 (для Windows).

Даний реліз виправляє уразливості, що мали місце в бібліотеці OpenSSL (CVE-2009-0590, CVE-2009-0591 та CVE-2009-0789). Бібліотека OpenSSL була оновлена до версії 0.9.8k. Тільки Windows пакети PHP є вразливими.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• IP Diva VPN SSL many XSS attacks (деталі)
• IPDiva VPN SSL Brute force attack (деталі)
• LFI in PowerBook 1.21 (деталі)
• Multiple Remote HP Mercury SiteScope Vulnerabilities (деталі)
• Multiple Security Vulnerabilities in Bolinos 4.6.1 (деталі)
• Cuteflow Bin v1.5.0 Local File Inclusion Vuln (деталі)
• e107 My_Gallery Plugin Arbitrary File Download Vulnerability (деталі)
• aeries browser interface(ABI) 3.8.3.14 Remote SQL Injection (деталі)
• EfesTech E-Kontr (id) Remote SQL INJECTION (деталі)
• Alkacon OpenCms users_list.jsp searchfilter XSS (деталі)

Сьогодні я виявив Cross-Site Scripting уразливість в плагіні vbAnonymizer для vBulletin. Про що найближчим часом повідомлю розробникам веб додатку.

Нещодавно я писав про уразливості в vBulletin, які виявилися уразливостями в vbAnonymizer, що є плагіном для vBulletin. Це були Redirector та Cross-Site Scripting уразливості. Якщо до Redirector вразливі всі версії vbAnonymizer, то до XSS вразливі версії до 2.8 (в якій XSS була виправлена).

Але я розробив метод обходу даного захисного фільтру. Тим самим повернувши до життя цю XSS .

XSS:

http://site/redirector.php?url=javascript:alert(document.cookie)//http://

Уразливі vbAnonymizer 3.0 та попередні версії.

Бригадний генерал США Джон Девіс, що курирує в Пентагоні питання кіберзахисту, повідомив, що за останні півроку Міністерство оборони США витратило на захист своїх ПК від хакерів не менш $100 мільйонів.

Як повідомляється, Девісу після ряду атак на військові комп’ютери було доручено вивчити вартість апгрейда їхнього захисту, а також оцінити той збиток, що наносять хакерські атаки Пентагону. Генерал відмовився привести реальні приклади інцидентів, з якими кіберзахист не справився, але уточнив, що тут представлено масштабний спектр усіх категорій хакерів - від загроз національного рівня до дій нудьгуючого підлітка.

Девіс розповів, що зараз багато країн витрачають значні суми на удосконалювання своїх кібертехнологій, тому і Міністерству оборони США приходиться не відставати і вкладати в кіберзахист усе більше коштів. Генерал не назвав конкретні країни, але, за інформацією американських ЗМІ, мова йде про Китай. Військові вважають, що Китай всерйоз зайнявся створенням вірусних програм, спрямованих на поразку комп’ютерів супротивника, а також активно поліпшує свої міри захисту.

За словами Девіса, не всі загрози йдуть ззовні, частина з них просочується зсередини Пентагона. Так, у 2008 році працівникам міністерства було строго заборонено використовувати в роботі з комп’ютерами Пентагона флеш-накопичувачі.

Після інтерв’ю Джона Девіса, свою заяву зробив міністр оборони США Роберт Гейтс, який проінформував ЗМІ, що в найближчі пару років число військових кібер-експертів зросте в три рази і складе 250 чоловік.

По матеріалам http://itua.info.