Websecurity - Веб безпека

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 31.03.2009, я виявив Information Leakage, Insufficient Anti-automation та Insufficient Authentication уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Information Leakage:

В скрипті лічильника (pphlogger.js), або в коді визова скрипта з сервера системи (в параметрі id), на сайті користувача системи вказаний id, який є логіном. Що призводить до витоку логіна.

Insufficient Anti-automation:

На сторінці відновлення (створення нового) паролю (http://site/dspNewPw.php) немає захисту від автоматизованих запитів (капчі). Що може бути використано для автоматизованого проведення Abuse of Functionality атаки, про яку я вже розповідав.

Insufficient Authentication:

Дана Insufficient Authentication уразливість пов’язана з Abuse of Functionality, SQL Injection та Insufficient Anti-automation уразливостями, про які я писав раніше.

Використовуючи Abuse of Functionality можна змінювати пароль у довільного акаунта, а через SQL Injection можна дізнаватися хеш даного пароля. І можна змінювати пароль доти, доки не трапиться хеш, який вдасться легко підібрати. Дана атака автоматизується за рахунок Insufficient Anti-automation.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це одинадцята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

Як повідомляє internet-ukraine.com, сьогодні святкується “День веб-майстра”.

Не багато людей знають, що 4 квітня - це “День веб-майстра”. Тільки вузьке коло людей у багатьох країнах світу відзначають 4 квітня як “День веб-майстра”. Це свято поки ще не затверджене офіційно.

Поздоровляю всіх веб-майстрів, програмістів та веб девелоперів з “Днем веб-майстра”. І бажаю безпеки вашим сайтам .

08.11.2008

У січні, 18.01.2008, я знайшов Cross-Site Scripting уразливість на сайті http://wmast.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

До речі, як я виявив сьогодні, на сайті взломаний форум, де розміщений шкідливий код.

Детальна інформація про уразливість з’явиться пізніше.

04.04.2009

XSS:

• alert(document.cookie)

Зараз сайт закритий. Вірогідно хостер закрив сайт із-за того, що на ньому був розміщений шкідливий код. Про що я повідомив власників сайта, але вони проігнорували мого листа і не прибрали експлоіт з сайта, що і призвело до його закриття.

Це вже другий випадок серед заражених сайтів в Уанеті (в минулому році), коли зараження сайта шкідливим кодом приводить до його закриття. Раніше така участь спіткала dn.kiev.ua.

В даній добірці експлоіти в веб додатках:

• RaidenFTPD 2.4 build 3620 Remote Denial of Service Exploit (деталі)
• XOOPS Module xhresim (index.php no) Remote SQL Injection Vuln (деталі)
• Eserv 3.x FTP Server (ABOR) Remote Stack Overflow PoC (деталі)
• SezHoo 0.1 (IP) Remote File Inclusion Vulnerability (деталі)
• PhpWebGallery <= 1.7.2 Session Hijacking / Code Execution Exploit (деталі)
• My PHP Dating (success_story.php id) SQL Injection Vulnerability (деталі)
• Titan FTP server 6.26 build 630 Remote Denial of Service Exploit (деталі)
• Kure 0.6.3 (index.php post,doc) Local File Inclusion Vulnerability (деталі)
• PokerMax Poker League Insecure Cookie Handling Vulnerability (деталі)
• IP Reg <= 0.4 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Mic_blog 0.0.3 (SQL Injection/Privilege Escalation) Remote Exploit (деталі)
• Mosaic Commerce (category.php cid) SQL Injection Vulnerability (деталі)
• CafeEngine Multiple Remote SQL Injection Vulnerabilities (деталі)
• myEvent 1.6 (viewevent.php) Remote SQL Injection Vulnerability (деталі)
• TFTP server tester (деталі)

Як я вже писав, в Уанеті є до 1610000 pdf-файлів, з них до 32900 - на державних сайтах (які можуть бути використанні для проведення UXSS атак). Розповім вам про Cross-Site Scripting уразливості на сайтах Кабінета Міністрів, Верховної Ради та Президента України, на які я звернув увагу ще 07.01.2007.

Раніше я вже писав про уразливості на rada.gov.ua, уразливість на kmu.gov.ua та уразливість на president.gov.ua.

XSS (UXSS):

http://www.kmu.gov.ua

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Всього на www.kmu.gov.ua до 732 pdf-файлів. На інших піддоменах kmu.gov.ua (на сайтах міністерств) - до 987 pdf-файлів.

http://rada.gov.ua

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Всього на rada.gov.ua до 387 pdf-файлів.

http://www.president.gov.ua

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Всього на president.gov.ua 23 pdf-файла.

Окрім сайта СБУ, про який я писав раніше, також UXSS уразливості є на www.niisp.gov.ua, www.rainbow.gov.ua, www.nas.gov.ua, www.nbuv.gov.ua, www.niss.gov.ua та інших державних сайтах.

Про UXSS уразливості я вам вже розповідав на початку 2007 року. Розповім вам про пошук універсальних XSS в PDF (за допомогою методики Google Hacking), про що я планував розповісти ще в січні 2007, але знайшов час для цього тільки зараз.

І хоча Adobe виправила цю уразливість ще на початку 2007 року, все ще є люди, які користуються старими і вразливими версіями плагіна Adobe Reader, тому слід знати про ці уразливості. А так як дуже мало сайтів в Інтернеті захистилося від цієї атаки на сервері, то цей вид універсальних XSS атак все ще актуальний. До того ж, за останні два роки було знайдено чимало інших уразливостей в форматі PDF, тому всім слід бути обережними з викачанням pdf-файлів.

Для пошуку pdf-файлів (для UXSS атаки) слід використати дорк inurl:pdf. Зазначу, що не тільки в файлах з розширенням pdf можуть бути пдфки, як я це продемонстрував на прикладі сайта www.sbu.gov.ua. Скрипт на сайті може видавати pdf дані по запиту.

Всього pdf-файлів в Інтернеті:

inurl:pdf - до 346000000 результатів.

Тобто зараз в мережі до 346 мільйонів pdf-файлів. Зазначу, що в січні 2007 було до 317000000 пдфок, а зараз вже до 346000000. За цей час кількість pdf-файлів зросла на 29000000 (і відповідно зросла кількість UXSS уразливостей).

Всього pdf-файлів в Уанеті:

inurl:pdf (по Україні) - до 459000 результатів.

site:ua+inurl:pdf - до 1610000 результатів.

site:gov.ua+inurl:pdf - до 32900 результатів.

Враховучи, що Гугл видає кількість pdf-файлів на веб сайтах і на одному сайті може бути декілька пдфок, то кількість вразливих сайтів менша ніж зазначені цифри. Але все ж таки їх кількість доволі значна. Зокрема, окрім сайта СБУ, я також згадував про UXSS уразливості на imu.org.ua.

Експерти в області інформаційної безпеки з компанії Finjan припинили діяльність групи українських кібершахраїв, яким вдалося сколотити непоганий статок на продажі фальшивого антивірусного ПЗ. За заявою технічного директора Finjan, щоденний доход злочинців складав приблизно 10000 доларів.

Для реалізації своїх злочинних задумів шахраї скомпрометували кілька сотень сторінок на цілком легальних веб-сайтах шляхом розміщення на них HTML-сторінки зі списком ключових слів, набраних з помилкою (таких, як “Obbama”, “goggle” та ін.). Кіберзлочинці добре підготувалися до операції. Складений ними список містив у собі більшість помилок, що допускаються користувачами при складанні пошукових запитів.

Після обробки отриманого запиту пошуковець видавав користувачу лінки на захоплені зловмисниками ресурси. Нічого не підозрюючи користувачі переходили по лінці на скомпрометовану сторінку, де на них уже чекав підступний скрипт, що перенаправляв клієнта на шахрайський сайт. Тут відвідувач піддавався обробці по повній програмі. Жертві демонструвався тривожно блимаючий баннер з повідомленням про виявлення в системі небезпечного вірусу, а також надавалася можливість придбати протиотруту одним натисканням на кнопку.

Деякі користувачі купували “антивірус”, за який шахраї просили всього 20 доларів. Усього за два із лишком тижня злочинцям вдалося виманити у довірливих користувачів більше 172000 доларів, однак експерти з Finjan поклали кінець цьому дохідному бізнесу. У ході розслідування фахівцям вдалося зібрати незаперечні докази злочинної діяльності. Після надання цієї інформації провайдеру сервер, що належав групі шахраїв, був відключений від Мережі.

По матеріалам http://ain.com.ua.

В даній добірці уразливості в веб додатках:

• Titan FTP Server Remote Heap Overflow (USER/PASS) (деталі)
• uberghey cms 0.3.1 multiple local file inclusion vulnerabilities (деталі)
• PHP-Nuke Module ZClassifieds [cat] SQL Injection (деталі)
• Hewlett-Packard Network Node Manager Topology Manager Service DoS Vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM) Remote Denial of Service (DoS) (деталі)
• EasyGallery <= 5.0tr - Multiple Remote Vulnerabilities (деталі)
• Plone CMS Security Research - the Art of Plowning (деталі)
• Office XP Remote SQL Injection (деталі)
• New smarty packages fix arbitrary code execution (деталі)
• New horde3 packages fix information disclosure (деталі)

В своїх статтях про хакерські війни я розповів про концепцію хакерських війн та започаткував проект по відвойовуванню похаканих українських сайтів. З кінця серпня і по сьогодні я був доволі зайнятий (зокрема з початку вересня я активно почав досліджувати безпеку браузерів), тому цим напрямком я не займався. Вистачало роботи і з дослідженнями похаканих сайтів в Уанеті.

При цьому в минулому році і в цьому році я виділяв чимало часу для взлому сайтів (в Уанеті та інших сегментах Мережі), щоб привернути увагу їх власників до питань безпеки . І ось нарешті знайшов час і для свого вищезгаданого проекту.

Сьогодні я писав про похакані сайти в Уанеті, зокрема про сайт http://laguna.net.ua, який був взломаний хакером NaSaH. На сайті чимало уразливостей, що і призвело до подібного результату.

Враховуючи, що сайт був взломаний 08.01.2009 і до сих пір повністю не виправлений, я вирішив взяти справу в свої руки. І відхакав сайт laguna.net.ua.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ecoleague.net (хакером Zonic!) - 01.04.2009, зараз сайт вже виправлений адмінами
• http://www.compsi.net (хакерами Fantastik і SpyCrew team) - 30.03.2009, зараз сайт вже виправлений адмінами
• http://www.vl-sta.gov.ua (хакером darkdewil з 1923turk) - 25.03.2009, зараз сайт вже виправлений адмінами. Це перший похаканий державний сайт в цьому році
• http://laguna.net.ua (хакером NaSaH)
• http://www.master-sv.kh.ua (хакерами з Iran Black Hats Team)