Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Upload File, Photoracer і Nextgen gallery. Для котрих з’явилися експлоіти. Upload File - це плагін для завантаження файлів, Photoracer - це плагін для створення змагань фотографій, Nextgen gallery - це плагін для створення галерей зображень.

• vuln in WordPress plugin Upload File(UP) (деталі)
• WordPress Plugin Photoracer 1.0 (id) SQL Injection Vulnerability (деталі)
• XSS - Nextgen gallery 0.96 wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У Москві затриманий хакер з Казахстану, що підозрюється у крадіжці 1 мільйона доларів. Про це повідомила представник прес-служби УВС по Центральному федеральному окрузі столиці Олена Перфилова.

За її словами, міліціонери розшукували 20-літнього уродженця Казахстану, що підозрювався в взломі банківського рахунка. “Молода людина, по оперативним даним, взломала банківську мережу і перевела на свій рахунок з чужого більш 1 мільйона доларів, - розповіла Перфилова. - Перевівши в готівку частину суми, він прибув на територію Росії, після чого був оголошений у федеральний розшук”.

У Росії він, за даними міліції, переїжджав з одного міста в інше, намагаючись зробити документи для виїзду з країни в Європу. “У Москві він спробував зняти частину грошей, що залишилася на його рахунку, що був на той час заблокований”, - продовжила представниця УВС.

За її словами, у результаті спільної роботи співробітників карного розшуку ОВД району “Арбат” і співробітників Департаменту карного розшуку МВС Росії в приміщенні одного зі столичних банків молода людина була затримана.

За словами самого хакера, він хотів відправитися в Німеччину на постійне місце проживання. У відношенні кіберзлочинця порушена кримінальна справа по статті 159 КК РФ “Шахрайство”, ведеться розслідування.

По матеріалам http://www.xakep.ru.

13.03.2009

У квітні, 29.04.2008, я знайшов Cross-Site Scripting уразливості на проекті http://siteua.org (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

19.06.2009

Уразливості мали місце як на домені it.siteua.org, так і на інших піддоменах siteua.org.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Quick Tree View .NET 3.1 (qtv.mdb) Database Disclosure Vulnerability (деталі)
• Active Business Directory v 2 Remote blind SQL Injection Vulnerability (деталі)
• Active Time Billing 3.2 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Active Price Comparison v 4 (ProductID) Blind SQL Injection Vulnerability (деталі)
• Active Photo Gallery 6.2 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Andy’s PHP Knowledgebase 0.92.9 Arbitrary File Upload Vulnerability (деталі)
• z1exchange 1.0 (edit.php site) Remote SQL Injection Vulnerability (деталі)
• Broadcast Machine 0.1 Multiple Remote File Inclusion Vulnerabilities (деталі)
• bcoos 1.0.13 (viewcat.php cid) Remote SQL Injection Exploit (деталі)
• ASPPortal 3.2.5 (ASPPortal.mdb) Database Disclosure Vulnreability (деталі)
• E.Z. Poll v.2 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Maxum Rumpus 6.0 Multiple Remote Buffer Overflow Vulnerabilities (деталі)
• PacPoll 4.0 (poll.mdb/poll97.mdb) Database Disclosure Vulnerability (деталі)
• Rapid Classified 3.1 (cldb.mdb) Database Disclosure Vulnerability (деталі)
• Borland InterBase 2007 “ibserver.exe” Buffer Overflow Vulnerability POC (деталі)

У вересні, 28.09.2008, я знайшов Cross-Site Scripting уразливості браузерах Mozilla та Google Chrome. Уразливість виявив ще в Google Chrome 0.2.149.30 (одній з перших версій Хрома) і вона працює в Chrome 1.0.154.48 (і вірогідно в Chrome 2).

XSS:

Атака відбувається через view-source.

view-source:javascript:alert('XSS')

Або закодований варіант:

view-source:javascript:%61%6C%65%72%74%28%27%58%53%53%27%29

В Mozilla атака спрацьовує при вказані даного коду в адресному рядку та через iframe (тому можлива прихована атака через невидимий іфрейм).

В Chrome атака спрацьовує лише якщо зайти у вихідний код сторінки (Ctrl-U) і в ньому задати даний код. Тобто потрібно за допомогою соціальної інженерії змусити користувача натиснути Ctrl-U в браузері й вставити даний код у адресний рядок. Тому у випадку Chrome, це Strictly social XSS.

Уразлива версія Mozilla 1.7.x та старі версії Mozilla і Firefox. Firefox 2 і Firefox 3 не вразливі.

Уразлива версія Google Chrome 1.0.154.48 та попередні версії (і потенційно наступні версії).

Нещодавно я написав статтю про легальність секюріті досліджень та хакінгу, яку опублікував на Web Security Mailing List. І найближчим часом, як я перекладу її з англійської на українську, я опублікую її на сайті.

Так от, Jeremiah опублікував запис Legalize It (Hacking GOV and MIL website), судячи з якого, його явно також зацікавила тема, яку я підняв в своїй вищезгаданій статті. В своєму записи Джеремія розповідає про легалізацію хакінгу державних (.gov та .mil) сайтів.

Як він зазначає, лише на 10% державних сайтів був проведений професіональний аудит безпеки. В Україні, на мій погляд, ситуація з цим ще гірша, про що говорить хоча б той факт, що в першій половині цього року було похакано три українські державні сайти, про що я писав в своїх дослідженнях, а також писав на цю тему в статті Взломи державних сайтів України в 2009.

Так от Джеремія радить створити легальні умови (зокрема в законодавстві), які б дозволяли хорошим хлопцям легально шукати уразливості на державних веб сайтах, без жодних юридичних претензій до них. Про знайдені уразливості вони б повідомляли власників державних сайтів, які б їх виправляли і від цього країна тільки б виграла, бо піднявся рівень безпеки її державних сайтів.

На протязі останніх трьох років я займаюся подібною діяльностю, коли знаходжу уразливості на державних сайтах України і повідомляю про це їх адмінів. Про що я багато різів писав в новинах. Я то не переживаю за свою діяльність , а ось секюріті дослідники в тих же США за це переживають (і намагаються не мати справи з gov-сектором у випадку безкоштовної перевірки сайтів). Тому наявність легального механізму для пошуку уразливостей на державних сайтах і повідомлення про них адмінів даних сайтів, може зняти наявні обмеження, що призведе лише до покращення рівня безпеки державних сайтів.

До того ж, легальні секюріті дослідження, це досвід для секюріті професіоналів. Бо жодні синтетичні веб додатки не дадуть того досвіду, як реальні веб сайти та веб додатки.

08.06.2009

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5, Tomcat 6.0.

Витік інформації, перевірка існування користувача, DoS.

• CVE-2009-0580 UPDATED Apache Tomcat User enumeration vulnerability with FORM authentication (деталі)
• CVE-2009-0783 Apache Tomcat Information disclosure (деталі)
• CVE-2009-0580 Apache Tomcat User enumeration vulnerability with FORM authentication (деталі)
• CVE-2009-0033 Apache Tomcat DoS when using Java AJP connector (деталі)

11.06.2009

Додаткова інформація.

• CVE-2008-5515 RequestDispatcher directory traversal vulnerability (деталі)

18.06.2009

Додаткова інформація.

• UPDATED CVE-2008-5515 RequestDispatcher directory traversal vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• SonicWALL Content-Filtering Universal Script Injection Vulnerability (деталі)
• Sonicwall SOHO Content Blocking Script Injection, LogFile Denial of Service (деталі)
• BP Blog 6.0 (id) Remote Blind SQL Injection Vulnerability (деталі)
• SMEweb 1.4b (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• e107 Plugin echat MENU Blind SQL Injection Vulnerability (деталі)
• QuickerSite Multiple Vulnerabilities (деталі)
• Multiple Vendor Snort IP Fragment TTL Evasion Vulnerability (деталі)
• WEBAlbum <= 2.0 Remote Stored Cross Site Scripting Vulnerability (деталі)
• SchoolCenter URL Handling Cross Site Scripting Vulnerability (деталі)
• webTA by kronos - XSS (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fmi.npu.edu.ua (хакером BlackLabeL) - 08.06.2009, зараз сайт вже виправлений адмінами
• http://www.1r.dn.ua (хакером XSSql) - 06.06.2009, зараз сайт вже виправлений адмінами
• http://www.maxmayar.com.ua (хакером Ozel HarekaT з 1923Turk-Grup) - причому спочатку сайт 06.06.2009 був похаканий Ozel HarekaT, а зараз сайт похаканий P@RS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.energostal.com.ua (хакером CodexT-Piiz HacKer) - 10.05.2009, зараз сайт вже виправлений адмінами
• http://x2.net.ua (хакером AsSerT) - 04.06.2009, зараз сайт закритий (залишився лише каталог статей)

Виявлена можливість проведення DoS атаки проти Mozilla Firefox на Linux та Unix платформах.

Уразливі версії: Mozilla Firefox 3.0.

Відмова при використанні великого зображення GIF в якості body background.

• Firefox (GNU/Linux version) <= 3.0.10 Denial Of Services (деталі)