Websecurity - Веб безпека

У серпні, 20.08.2008, я знайшов SQL Injection, Denial of Service та Full path disclosure уразливості на сайті http://dalas.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pfu-km.gov.ua (хакером DeRf) - 10.05.2009, зараз сайт вже виправлений адмінами. Це другий похаканий державний сайт в цьому році після www.vl-sta.gov.ua
• http://avtomarket.rv.ua (хакером HALLELUJAH) - 06.05.2009, зараз сайт вже виправлений адмінами
• http://www.samara-sv.info (хакерами з 1923Turk-Grup) - 06.05.2009, зараз сайт вже виправлений адмінами
• http://magicnumbers.com.ua (хакером 3RqU)
• http://www.pczone.com.ua (хакером SyMpHoNy_R) - 11.05.2009, зараз сайт закритий адміном

17.01.2009

У березні, 08.03.2008, я знайшов Cross-Site Scripting уразливість на проекті http://revver.com (відео хостінг). Про що найближчим часом сповіщу адміністрацію проекта.

Останній раз стосовно сервісів відео хостінгу я писав про уразливості на www.metacafe.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.05.2009

XSS:

• alert(document.cookie)
• цікавий

Дану уразливість досі не виправели.

В даній добірці експлоіти в веб додатках:

• Joomla Component Clickheat 1.0.1 Multiple RFI Vulnerabilities (деталі)
• E-topbiz Slide Popups 1.0 (Auth Bypass) SQL Injection Vuln (деталі)
• turnkeyforms Local Classifieds (XSS/SQL) Multiple Vulnerabilities (деталі)
• U&M Software Event Lister 1.0 Auth Bypass Vulnerability (деталі)
• U&M Software JustBookIt 1.0 Auth Bypass Vulnerability (деталі)
• U&M Software Signup 1.1 Auth Bypass Vulnerability (деталі)
• e-Vision CMS <= 2.0.2 Multiple Local File Inclusion Exploit (деталі)
• E-topbiz Number Links 1 (id) Remote SQL Injection Vulnerability (деталі)
• Mini Web Calendar 1.2 (File Disclosure/XSS) Multiple Vulnerabilities (деталі)
• E-topbiz Online Store 1 (cat_id) SQL Injection Vulnerability (деталі)
• DeltaScripts PHP Classifieds <= 7.5 SQL Injection Vulnerability (деталі)
• MyioSoft EasyCalendar (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• MyioSoft EasyBookMarker (Auth Bypass) SQL Injection Vulnerability (деталі)
• MyioSoft Ajax Portal 3.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• TFTP server tester (деталі)

Після публікації інформації про Insufficient Authentication уразливість в ноутбуках Acer, я вирішив дослідити всі ноутбуки моїх друзів. Зокрема я перевірив два ноутбуки Asus: на одному з Windows XP Professional даної уразливості немає, а на іншому з Windows XP Home Edition є дана уразливість.

Учора, 12.05.2009, я виявив Insufficient Authentication уразливість в ноутбуці Asus. На цьому ноутбуці використовується Windows XP HE.

В Windows XP Home Edition в дефолтному акаунті адміністратора “Администратор” пустий пароль. І він не задається рівним паролю першого адміна, коли при першому запуску ноутбука створюється акаунт адміна (як це робиться при інсталяції Windows XP). Тому при фізичному доступі до ноутбука, будь-хто зможе зайти в систему з правами адміністратора.

Уразливі моделі ноутбуків: Asus А6500R та потенційно інші моделі.

Зараз продовжую досліджувати дану ситуацію. Якщо ви виявите подібну ситуацію в себе на ноутбуці чи на настольному ПК (що буде пустий пароль в дефолтному адмінському акаунті), то повідомте мені на ємайл.

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки.

В даній версії додав 10 нових запитань по сьомому розділу мого Посібника з безпеки. Тепер у тесті 50 запитань на web security тематику, які базуються на семи розділах мого посібника.

Так що вдалого вам тестування .

У період з березня по травень 2009 р. Служба безпеки України (СБУ) закрила 7 сайтів з інструкціями з виготовлення саморобних вибухових пристроїв. Про це заявила журналістам прес-секретар СБУ Марина Остапенко.

М. Остапенко заявила, що була встановлена особа, що розмістила на одному з інтернет-сайтів підручник “Російська кухня. Абетка домашнього тероризму”. Це видання містило докладну інформацію про виготовлення саморобних вибухових пристроїв і методику їхнього застосування при здійсненні терактів.

Дані матеріали вилучені з Мережі (ясна річ мається на увазі Уанет, а не вся Мережа), у даний момент здійснюється правова оцінка їхнього змісту. Громадянину, що поширював цей підручник, оголошене офіційне попередження від імені СБУ.

“Усе частіше фіксуються випадки використання всесвітньої мережі Інтернет в інтересах терористичної діяльності. Розповсюдженою є методика поширення в Інтернеті літератури терористичного характеру. Окремі провайдери, зневажаючи вимогами діючого законодавства, фактично працюють в інтересах терористичних угруповань”, - відзначила М. Остапенко.

По матеріалам http://ain.com.ua.

P.S.

Підозра в тероризмі - це ще один привід закрити сайт. І він може бути використаний як в політичних цілях, так і у випадку дірок на сайті (коли сайт підставлять). Тобто через уразливості на сайті він буде взломаний і на ньому розмістять матеріали терористичного характеру, за що сайт офіційно закриють.

Рініше я вже писав про закриття сайтів через їх уразливості. Тому окрім закриття сайтів через розміщення на них порнографічних або секретних матеріалів, також можливе закриття сайтів через розміщення терористичних матеріалів (що видно з даної новини). І якщо у випадку перших двох причин закриття я наводив по одному прикладу закритого сайту, то у випадку третьої причини - вже сім закритих сайтів. Тому варто слідкувати за безпекою власних сайтів.

В даній добірці уразливості в веб додатках:

• Denial of Service in PacketTrap TFTP server 2.0.3901.0 (деталі)
• DDIVRT-2008-09 PacketTrap PT360 Tool Suite TFTP Denial of Service Vulnerability (деталі)
• DDIVRT-2008-10 PacketTrap TFTP Directory Traversal Vulnerability (деталі)
• Zomplog 3.8.2 XSS Vulnerability (деталі)
• XSS in chicomas.2.0.4 (деталі)
• project alumni v1.0.9 (info.php) SQL Injection Vulnerability (деталі)
• Lifetype 1.2.7 XSS Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2007-29 (деталі)
• Mozilla Foundation Security Advisory 2007-30 (деталі)
• Mozilla Foundation Security Advisory 2007-31 (деталі)

Про уразливості з наслідуванням в Firefox я вже писав раніше - Charset Inheritance уразливість в Mozilla Firefox 3. А зараз розповім вам про уразливість пов’язану з відсутністю наслідування .

Існує офіційна методика від Adobe для захисту від XSS атак через флеш-файли, при їх розміщенні на веб сайтах. Для цього потрібно задати параметру allowScriptAccess значення never. IE підтримує лише тег object, тому треба в ньому вказувати allowScriptAccess, а інші браузери підтримують тег embed, в якому потрібно вказати allowScriptAccess (або деякі браузери підтримують обидва теги object і embed). Тому для всіх використаних тегів для розміщення флешки потрібно задати allowScriptAccess.

Даний метод я використав в своєму виправленні XSS уразливості в Invision Power Board в MustLive Security Pack v.1.0.6.

Учора, 11.05.2009, я виявив уразливість в Mozilla Firefox, яку я назвав Properties not-inheritance уразливість. Її я виявив на сайті megaswf.com. Дана уразливість може використовуватися для проведення Cross-Site Scripting атак.

Браузер Firefox підтримує розміщення флешек як через object так і через embed тег. При цьому на вищезгаданому сайті для показу флешки в усіх браузерах використовується два вкладені теги object (перший для IE, а другий для інших браузерів). В першому тезі object заданий параметр <param name=”allowscriptaccess” value=”never”>, але він не заданий в другому тезі.

В результаті XSS код з флешки спрацьовує в Firefox, але не спрацьовує в інших браузерах. Тому що для IE вказаний захист в першому тезі object, а Opera і Google Chrome наслідують даний параметр з першого у другий вкладений тег object. Чого не робить Firefox. Тому це Properties not-inheritance уразливість в Firefox.

Уразливі Firefox 3.0.9 та 3.0.10 та попередні версії.

Як повідомив RSnake в своєму пості Preventing XSS Using Data Binding, існує цікавий метод протідії XSS - Data Binding. Даний метод розроблений Stefano Di Paola.

Використовуючи Data Binding можна протидіяти Cross-Site Scripting атакам. Метод передбачає використання тега plaintext. За рахунок даного тега, в який поміщуються вхідні дані, можна заборонити виконання JS-коду і тим самим не допустити XSS атаку.

Для використання даної технології є свої за і проти, про що детально написав RSnake. Але окрім нюансів не пов’язаних з безпекою, є ще один секюріті нюанс - в даному методі є уразливість. Яка дозволяє проводити XSS атаки , про що я вже писав (уразливість я виявив на сайті розробника даного методу). Дана уразливість працює в старих версіях Mozilla та Firefox (до Firefox 2.0), але в нових браузерах цей метод працює добре.