Websecurity - Веб безпека

Нещодавно я писав про взлом мережі Каліфорнійського університету, а зараз повідомлю про ще один подібний інцидент в США.

Черговий збій дала американська система кібербезпеки. Хакерам удалося взломати мережу Федерального управління цивільної авіації США (FAA) і викрасти особисті дані близько 45000 нинішніх і колишніх співробітників організації.

Взлом сервера FAA був здійснений у лютому. Уже відомо, що хакерам удалося викрасти два файли. Один з цих файлів містив інформацію про всіх співробітників FAA, що були зареєстровані відділом кадрів з лютого 2006 року. Зокрема, зловмисникам тепер відомі номери соціального страхування працівників.

Другий файл включав інформацію про медичний стан співробітників. Конкретний характер цих даних не уточнюється. Керівництво FAA відразу повідомило про факт взлому в правоохоронні органи, що у даний момент проводять розшукні роботи. У FAA особливо підкреслюють, що сервер, взломаний хакерами, не був зв’язаний з керуванням повітряним рухом.

По матеріалам http://itua.info.

27.01.2009

У березні, 19.03.2008, я знайшов Cross-Site Scripting уразливості на проекті http://www.kp.ru (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.05.2009

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla Component com_books (book_id) SQL Injection Vulnerability (деталі)
• ooVoo 1.7.1.35 (URL Protocol) Remote Unicode Buffer Overflow PoC (деталі)
• Aj Classifieds Authentication Bypass Vulnerability (деталі)
• AJ Auction Authentication Bypass Vulnerability (деталі)
• AJSquare Free Polling Script (DB) Multiple Vulnerabilities (деталі)
• PHPStore Real Estate Remote File Upload Vulnerability (деталі)
• Joomla / Mambo com_catalogproduction (id) SQL Injection Vulnerability (деталі)
• PozScripts Business Directory Script (cid) Remote SQL Injection Vuln (деталі)
• Joomla Component com_marketplace 1.2.1 (catid) SQL Injection Vuln (деталі)
• Joomla Component Simple RSS Reader 1.0 RFI Vulnerability (деталі)
• Net-SNMP <= 5.1.4/5.2.4/5.4.1 Perl Module Buffer Overflow PoC (деталі)
• Quick Poll Script (code.php id) Remote SQL Injection Vulnerability (деталі)
• AlstraSoft Web Host Directory (Auth Bypass) SQL Injection Vuln (деталі)
• AlstraSoft Article Manager Pro (Auth Bypass) SQL Injection Vuln (деталі)
• AlstraSoft SendIt Pro Remote File Upload Vulnerability (деталі)

Мені періодично доводиться стикатися з інфікованими сайтами в Уанеті. Раніше я вже писав про інфікований сайт www.doski.zp.ua.

Сьогодні, під час пошуку в Гуглі, я виявив ще один заражений сайт - http://users.kharkiv.com. Бо Google повідомив стосовно нього, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. На сайті інфіковано вісім сторінок користувача users.kharkiv.com/bereginya/.

Після того, як я сам перевірив сайт користувача bereginya (сайт в рамках users.kharkiv.com), я впевнився, що він інфікований. Сайт переповнений шкідливими кодами - на кожній сторінці даного сайту розміщені численні шкідливі JavaScript коди.

Адміністрації users.kharkiv.com (і зокрема користувачу bereginya) варто витерти шкідливі коди з сайта і почати серйозно слідкувати за безпекою власного сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://finrada.com (хакером LANCE)
• http://www.iia.com.ua (хакером ProwL) - похакана директорія сайта
• http://www.mvmpu99.com.ua (хакером cHyK0)
• http://www.ukrface.kiev.ua (хакерами AycanBey і M3G4-TURK)
• http://inet-mag.com.ua (хакером CrAzY HaCkErZ) - 13.05.2009, зараз сайт вже виправлений адмінами

Виявлена уразливість міжсайтового скриптінга в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5, Tomcat 6.0.

Міжсайтовий скриптінг в додатках-прикладах.

• XSS in Apache Tomcat examples web application (деталі)

В даній добірці уразливості в веб додатках:

• Access violation and limited informations disclosure in webcamXP 3.72.440.0 (деталі)
• Maian Support v1.3 Xss Vulnerabilities (деталі)
• Maian Recipe v1.2 Xss Vulnerabilities (деталі)
• Maian Music v1.1 Multiple Vulnerabilities (Xss/SQL Injection) (деталі)
• Maian Links v3.1 XSS Vulnerabilities (деталі)
• Maian Cart v1.1 XSS Vulnerabilities (деталі)
• JRockit: Multiple vulnerabilities (деталі)
• Sun JDK Image Parsing Library Vulnerabilities (More ICC Parsing) (деталі)
• Sun JDK image parsing vulnerabilities (деталі)
• US-CERT Technical Cyber Security Alert TA08-066A — Sun Updates for Multiple Vulnerabilities in Java (деталі)

Хакери атакували в четвер 200 мільйонів користувачів популярної соціальної мережі Facebook, успішно викравши паролі деяких з них.

Представник Facebook Баррі Шніт заявив, що за станом на четвер сайт знаходиться в процесі очищення від ушкоджень. Додавши, що Facebook блокує скомпрометовані аккаунти і паролі, однак утруднився назвати їхню кількість.

Судячи з усього, метою атаки було поширення спама.

По матеріалам http://ain.com.ua.

18.12.2008

У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а з часом також Cross-Site Request Forgery, SQL Injection та Cross-Site Scripting уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.05.2009

На сайті використовується плагін CapCC для WordPress, про уразливості в якому я вже розповідав.

На даному сайті є наступні уразливості (в плагіні CapCC): Insufficient Anti-automation, Cross-Site Request Forgery, SQL Injection та Cross-Site Scripting (reflected та persistent).

Дані уразливості досі не виправлені. Що традиційно для ПриватБанка.

В даній добірці експлоіти в веб додатках:

• Joomla Component JooBlog 0.1.1 (PostID) SQL Injection Vulnerability (деталі)
• OTManager CMS 2.4 (Tipo) Remote File Inclusion Vulnerability (деталі)
• Collabtive 0.4.8 (XSS/Auth Bypass/Upload) Multiple Vulnerabilities (деталі)
• Openfire Server <= 3.6.0a (Auth Bypass/SQL/XSS) Multiple Vulnerabilities (деталі)
• X10media Mp3 Search Engine <= 1.6 Remote File Disclosure Vulnerability (деталі)
• ZEEMATRI 3.0 (bannerclick.php adid) SQL Injection Vulnerability (деталі)
• ExoPHPDesk 1.2 Final (Auth Bypass) SQL Injection Vulnerability (деталі)
• Zeeways PHOTOVIDEOTUBE 1.1 Auth Bypass Vulnerability (деталі)
• V3 Chat Live Support 3.0.4 Insecure Cookie Handling Vulnerability (деталі)
• Mole Group Airline Ticket Script (Auth Bypass) SQL Injection Vuln (деталі)
• Fresh Email Script 1.0 Multiple Remote Vulnerabilities (деталі)
• FREEsimplePHPguestbook (guestbook.php) Remote Code Execution Vulnerability (деталі)
• Pre Real Estate Listings File Upload Vulnerability (деталі)
• Joomla Component Contact Info 1.0 SQL Injection Vulnerability (деталі)
• WAC Server <= 2.0 Build 3503 double heap overflow (деталі)