Архів за Травень, 2009

SQL ін’єкція в myPHPNuke

23:55 30.05.2009

У вересні, 01.09.2008, я знайшов SQL Injection уразливість в системі myPHPNuke. Дірку я виявив на офіціному сайті системи http://myphpnuke.com. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про XSS та SQL Injection уразливості в myPHPNuke.

SQL Injection:

POST запит на сторінці http://site/admin.php
") from mpn_authors where benchmark(10000,md5(now()))!=1/*В полі Nickname.

Auth Bypass атака в даному випадку неможлива, лише Blind SQL Injection. Атака можлива при magic quotes off.

Уразливі myPHPNuke 1.8.8_8rc2 та попередні версії.

URL Hiding - новий метод URL Spoofing атак

22:24 30.05.2009

В продовження моїх досліджень уразливостей в пошукових системах, розповім вам про новий цікавий метод URL Spoofing атак, який я назвав URL Hiding. Який може бути використаний для проведення фішинг атак та розповсюдження шкідливого ПЗ (зокрема, він може застосовуватися разом з раніше описаними методами). Дану URL Hiding атаку я виявив в Google, але інші пошуковці також можуть бути вразливими.

В цьому місяці, 19.05.2009, під час пошуку в Гуглі, я виявив цікавий сайт, який в серпі не виводить URL. С подібними сайтами мені раніше доводилося стикатися під час користування Гуглом (з 2000 року), але це перший сайт, адресу якого я записав. Даний сайт це http://_-lilit-_.photosight.ru.

site:_-lilit-_.photosight.ru

У випадку, коли використовується URL Hiding разом з URL Spoofing методами, про які я писав раніше (коли робиться довгий URL, наприклад з використанням символа “_”), то це підвищує ефективність фішинг та інших атак. Тому що довгий і підозрілий URL не буде виведений в серпі пошукової системи, а коли користувач перейде по лінці, то він може не звернути увагу на URL (через використання URL Spoofing методів).

Як мені спочатку здалося, при використанні підкреслення (як у випадку http://_-lilit-_.photosight.ru), Гугл взгалі не виводить адресу в серпі. Але цього ефекту немає у випадку http://ane4ka-_.shalala.ru. Потенційно це проявляється лише у випадку, якщо першим символом домена є підкреслення.

Я провів численні дослідження шукаючи сайти з підкресленнями, які б не мали URL в серпі, але більше не знайшов таких сайтів (зате знайшов один цікавий баг в Гуглі). Тому метод атаки на Гугл для приховання адреси сайта в серпі може використовувати даний (з підкресленням на початку домена), або інший підхід. Але в будь-якому випадку URL Hiding атака є небезпечною, тому що дозволяє використовувати пошуковці (зокрема Гугл) для проведення фішинг та інших атак.

Уразливості на www.imdb.com

19:30 30.05.2009

24.02.2009

У квітні, 10.04.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на популярному проекті http://www.imdb.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.05.2009

XSS:

Insufficient Anti-automation:

http://www.imdb.com/register/register

На сторінці реєстрації немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.

Добірка експлоітів

16:08 30.05.2009

В даній добірці експлоіти в веб додатках:

  • Alex Article-Engine 1.3.0 (fckeditor) Arbitrary File Upload Vulnerability (деталі)
  • Alex News-Engine 1.5.1 Remote Arbitrary File Upload Vulnerability (деталі)
  • E-topbiz Link Back Checker 1 Insecure Cookie Handling Vulnerability (деталі)
  • Exodus 0.10 (uri handler) Arbitrary Parameter Injection Exploit (деталі)
  • AskPert (Auth bypass) Remote SQL Injection Vulnerability (деталі)
  • wPortfolio <= 0.3 Remote Arbitrary File Upload Exploit (деталі)
  • Pre Job Board (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
  • wPortfolio <= 0.3 Admin Password Changing Exploit (деталі)
  • PunBB Mod PunPortal 0.1 Local File Inclusion Exploit (деталі)
  • vBulletin 3.7.3 Visitor Message XSS/XSRF + worm Exploit (деталі)
  • PHP-Fusion 7.00.1 (messages.php) Remote SQL Injection Exploit (деталі)
  • NatterChat 1.1 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
  • Oracle Database Vault ptrace(2) Privilege Escalation Exploit (деталі)
  • ToursManager (tourview.php tourid) Blind SQL Injection Vulnerability (деталі)
  • PunBB <= 1.2.14 Remote Code Execution Exploit (деталі)

Уразливість на www.truveo.com

23:50 29.05.2009

У вересні, 09.09.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.truveo.com (відео пошуковець, що належить AOL). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно відео пошуковців та сервісів відео хостінгу я писав про уразливість на revver.com.

XSS:

Це XSS в DOM.

Робота з Metasploit 3

22:48 29.05.2009

Продовжуючи розпочату традицію, після попереднього відео про QuickTime Media експлоіт, пропоную новий відео секюріті мануал. Цього разу відео про роботу з Metasploit 3. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit 3 Video (msfconsole with db_autopwn)

В даному відео ролику демонструється робота з Metasploit Framework. Наводиться приклад атаки на уразливу систему з використанням таких інструментів Metasploit 3, як msfconsole та db_autopwn. Рекомендую подивитися дане відео для розуміння середовища MSF.

Яндекс повідомляє про заражені сайти

19:36 29.05.2009

Проіндексовані Яндексом сторінки сайтів проходять перевірку на наявність небезпечних елементів (подібно до того, як це роблять Google та Yahoo). Якщо виявилося, що сайт заражено, у результатах пошуку поруч з ним з’являється попереджуюча позначка. При цьому Яндекс не закриває доступ до ресурсу, а тільки повідомляє про можливі наслідки.

По перших оцінках, небезпечні сайти складають долі відсотків сайтів Рунета. Зараженим може виявитися будь-який, навіть відомий ресурс. У цьому не завжди винуватий його власник, зараження могло відбутися в результаті взлому сайта. На сервісі “Я.Вебмастер” хазяїн ресурсу може довідатися подробиці про стан свого сайта й одержати рекомендації.

У випадку виявлення на сайті небезпечних елементів ми повідомляємо про це власнику сайта через службу “Яндекс.Вебмастер”, - говорить менеджер проекту Ольга Смагіна. - Як тільки вебмайстер знайшов і видалив шкідливий код, він може запросити повторний огляд сайта, і, якщо усе в порядку, його сайт буде виводитися в пошуку Яндекса уже без позначок.

По матеріалам http://ain.com.ua.

P.S.

Яндекс молодець, що додав даний функціонал. Google вже декілька років інформує своїх користувачів про інфіковані сайти (а з минулого року це також почав робити Yahoo). Головне, щоб у Яндекса була мінімальна кількість помилкових спрацювань, так як у Гугла такі трапляються, коли незаражений сайт вважається таким. Але набагато частіше інфіковані сайти взагалі не відмічаються у результатах пошуку (тому пошуковцям потрібно покращувати даний функціонал).

А ось інформування власників сайтів лише через “Яндекс.Вебмастер” - це несерйозний підхід, так як не всі власники сайтів (проіндексованих Яндексом) користуються цією службою. Потрібно робити так, як це роблю я - повідомляти безпосередньо на ємайл власникам інфікованих сайтів.

До речі, цікаво, а чи виведе Яндекс повідомлення про зараженність сайта, якщо це буде один з сайтів самого Яндекса :-) . А про уразливості на сайтах Яндекса я писав багато разів, тому подібна ситуація цілком можлива.

Добірка уразливостей

17:25 29.05.2009

В даній добірці уразливості в веб додатках:

  • Updated cups packages fix multiple vulnerabilities (деталі)
  • PunBB <= 1.2.14 Multiple Vulnerabilities (Advisory) (деталі)
  • RFI Weatimages Hack (деталі)
  • Crea-Book <= 1.0 Admin Access Bypass / DB Disclosure / Code Execution (деталі)
  • php-generics 1.0 Remote File Inclusion Vulnerabilities (деталі)
  • CodeWand phpBrowse (site_path) Remote File Inclusion Vulnerability (деталі)
  • Sisplet CMS <= 05.10 (site_path) Remote File Inclusion Vulnerability (деталі)
  • Pathos CMS 0.92-2 (warn.php file) Remote File Inclusion Vulnerability (деталі)
  • Mambo Component zOOm Media Gallery <= 2.5 Beta 2 RFI Vulnerabilities (деталі)
  • Tosmo Mambo <= 4.0.12 (absolute_path) Multiple RFI Vulnerabilities (деталі)

Authentication Bypass в Microsoft IIS

21:33 28.05.2009

18.05.2009

Нещодавно була виявлена Authentication Bypass уразливість в Microsoft IIS - веб сервері від Microsoft. Для якої був розроблений експлоіт.

Дана уразливість дозволяє обходити аутентифікацію в захищених паролем папках та дозволяє перегляд списку файлів, скачування та завантаження файлів в захищених паролем WebDAV папках.

Уразливі версії: Microsoft IIS 6.0.

  • Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Vulnerability (деталі)

22.05.2009

Нещодавно були опубліковані нові експлоіти для даної уразливості.

  • Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (patch) (деталі)
  • Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (php) (деталі)

28.05.2009

Нещодавно був опублікований новий експлоіт.

  • Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (pl) (деталі)

Дуже уразливий веб додаток

19:26 28.05.2009

Ryan Dewhurst розробив дуже уразливий веб додаток - Damn Vulnerable Web App (DVWA). Цей проект може стати в нагоді веб секюріті професіоналам, а також студентам і тим, кто тільки почав займатися в галузі веб безпеки, для перевірки та покращення власних умінь.

DVWA - це дуже дірявий веб додаток. Його головними задачами є мала вага, легкість у використанні та велика кількість уразливостей для експлуатації.

Серед наявних уразливостей: SQL Injection, XSS (Cross Site Scripting), LFI (Local File Inclusion), RFI (Remote File Inclusion), Command Execution, Upload Script, Login Brute Force та інші.

Скачати DVWA можна з SourceForge.net.

Зазначу, що хоча даний проект є достатньо цікавим, але подібні веб додатки далекі від реальних умов. Тому варто перевіряти власні знання на реальних веб додатках.