Websecurity - Веб безпека

Розташована в Атланті компанія Pramana розробила технологію, що за її словами здатна блокувати автоматизовані програми, відповідальні за розсилання спама, фальшиві реєстрації поштових скриньок і шахрайства з кліками по рекламним баннерам. Зазначу, що я раніше чув про розробку даної компанії, коли з’явилися перші анонси їх технології, і ось зараз відбувся офіційний вихід продукта.

Програмний комплекс за назвою HumanPresent визначає, людина чи бот заповнює онлайн-форму, і блокує ті дії, що виконуються автоматизованими системами. За словами глави Pramana Санджая Сегала, компанія вже в наступному місяці планує запустити HumanPresent як у вигляді SaaS-сервісу, так і у вигляді програми, що запобігає активності ботів усередині веб-додатків. Програмний комплекс може бути використаний для захисту таких онлайн-форм, як бланки реєстрації поштових акаунтів і транзакцій інтернет-магазинів, а також для виявлення автоматизованих кліків по рекламним банерам.

Сегал дуже обережно розголошує деталі роботи програми, побоюючись того, що спамери можуть розробити такі боти, що будуть більше походити на людей. Тим не менш, він повідомив про те, що Pramana використовує 32 параметра для виявлення активності бота на веб-сторінці. В їх числі - особливості і частота натискання на клавіш миші і клавіатури, а також деякі інші речі. Наприклад, якщо людина натисне на лінку і нічого не відбудеться, вона, швидше за все, спробує натиснути на неї знову, тоді як бот не стане цього робити.

Пропонована фірмою Pramana програма є альтернативою системі розпізнавання CAPTCHA, справлятися зі взломом якої спамерам удається все частіше. Крім того, відомі випадки, коли зловмисники наймають для обходу CAPTCHA живих людей.

По матеріалам http://www.xakep.ru.

Як нещодавно повідомив Dimi4 в своєму записі Active XSS на пошті ukr.net, він знайшов Cross-Site Scripting уразливість на пошті ukr.net (http://freemail.ukr.net). Причому активну XSS.

Дана уразливість може бути використана для поширення шкідливого ПЗ серед користувачів пошти ukr.net (віруси будуть розсилатися безпосередньо в листах у вигляді експлоітів до браузерів), або для проведення XSS атак з метою отримання доступу до акаунтів користувачів пошти. Також вона може бути використана для створення XSS-worm - веб-хробака, що буде розповсюджуватися між користувачами freemail.ukr.net.

Укр.нету варто слідкувати за безпекою власних сайтів, про що я раніше їм неодноразово казав.

В даній добірці експлоіти в веб додатках:

• PG Real Estate (Auth Bypass) SQL Injection Vulnerability (деталі)
• NetArtMedia Blog System (image.php id) SQL Injection Vulnerability (деталі)
• NetArtMedia Cars Portal 2.0 (image.php id) SQL Injection Vulnerability (деталі)
• Goople Cms 1.7 Remote File Upload Vulnerability (деталі)
• Prozilla Hosting Index (id) Remote SQL Injection Vulnerability (деталі)
• PHP Classifieds Script Remote Database Disclosure Vulnerability (деталі)
• Goople Cms 1.7 Insecure Cookie Handling Vulnerability (деталі)
• MODx CMS <= 0.9.6.2 (RFI/XSS) Multiple Remote Vulnerabilities (деталі)
• MauryCMS <= 0.53.2 (fckeditor) Remote Arbitrary File Upload Vuln (деталі)
• Pie Web M{a,e}sher 0.5.3 Multiple Remote File Inclusion Vulnerability (деталі)
• Nitrotech 0.0.3a (RFI/SQL) Multiple Remote Vulnerabilities (деталі)
• Quicksilver Forums <= 1.4.2 RCE Exploit (windows only) (деталі)
• WebStudio CMS (index.php pageid) Blind SQL Injection Vulnerability (деталі)
• Bandwebsite 1.5 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• InoutMailingListManager <= 3.1 Command Execution Exploit + Login Retrieve + Advisory (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.traveller.com.ua (хакером AsSerT) - 27.05.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://www.bob.com.ua (хакером ProwL)
• http://cvalka.org.ua (хакером AsSerT)
• http://fbulldog.kiev.ua (хакерами з Ashiyane Digital Security Team)
• http://vtp.com.ua (хакерами з ParsiHacker Security Team)

Британський хакер Гарі Маккіннон зізнався в порушенні декількох законів Великобританії. Завдяки цьому визнанню Маккіннон, що взломав комп’ютери NASA і Пентагона, тепер має шанси уникнути екстрадиції в Америку.

За словами адвоката, своє визнання Маккіннон оформив письмово і цей документ уже переданий у відповідні органи Великобританії. Дотепер Маккіннона обвинувачували в порушенні тільки законів США, але якщо удасться довести його причетність до порушення британських законів, то, швидше за все, його будуть судити на батьківщині.

Як повідомляється, Маккіннона заарештували 8 червня 2005 року в Лондоні. Правоохоронні органи США обвинувачують його в хакерському взломі 97 комп’ютерів у період з 2001 по 2002 роки. У число цих комп’ютерів ввійшли і машини космічного й оборонного відомств. Маккіннон не заперечує цих фактів, однак стверджує, що метою взлому була секретна інформація про НЛО.

Британський суд ухвалив у 2006 році екстрадувати Маккіннона в США. Але захист подав апеляцію. Якщо хакера передадуть владі США, то йому загрожує до 60 років позбавлення волі.

По матеріалам http://itua.info.

В даній добірці уразливості в веб додатках:

• Cross-site scripting (XSS) vulnerability in web-app.net WebAPP (деталі)
• Cross-site scripting (XSS) vulnerability in web-app.net WebAPP (деталі)
• Information Leakage in web-app.net WebAPP (деталі)
• Cross-site scripting (XSS) vulnerability in web-app.net WebAPP (деталі)
• Information Leakage in web-app.net WebAPP (деталі)
• Paramiko: Information disclosure (деталі)
• ActualAnalyzer family - Cross Site Scripting Issues (деталі)
• Joomla Component xsstream-dm 0.01 Beta SQL Injection (деталі)
• SunShop Version 3.5.1 Remote Blind Sql Injection (деталі)
• Kostenloses Linkmanagementscript SQL Injection Vulnerabilities (деталі)

У вересні, 18.09.2008, я знайшов Cross-Site Scripting уразливість на проекті http://scripts.ringsworld.com. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий

Виявлений витік інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5

За певних умов можна одержати вміст попереднього POST-запиту.

• CVE-2008-4308: Tomcat information disclosure vulnerability (деталі)

21.02.2008

У липні, 18.07.2007, я знайшов Cross-Site Scripting уразливості на проекті http://www.popolni.com.ua (обмінник веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно обмінників веб грошей я писав про уразливості на exchengine.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

03.06.2009

XSS:

POST запит на сторінці http://www.popolni.com.ua/a1_mob.php
"><script>alert(document.cookie)</script>В полях: Номер телефона, Сумма пополнения.

XSS через GET:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Natterchat 1.12 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• KVIrc 3.4.2 Shiny (uri handler) Remote Command Execution Exploit (деталі)
• VCalendar (VCalendar.mdb) Remote Database Disclosure Vulnerability (деталі)
• NatterChat 1.1 Remote Admin Bypass Vulnerability (деталі)
• Joomla Component Thyme 1.0 (event) SQL Injection Vulnerability (деталі)
• Vlog System 1.1 (blog.php user) Remote SQL Injection Vulnerability (деталі)
• Discuz! Remote Reset User Password Exploit (деталі)
• e107 Plugin ZoGo-Shop 1.15.4 (product) SQL Injection Vulnerability (деталі)
• LoveCMS 1.6.2 Final (Simple Forum 3.1d) Change Admin Password Exploit (деталі)
• Ez Ringtone Manager Multiple Remote File Disclosure Vulnerabilities (деталі)
• getaphpsite Auto Dealers Remote File Upload Vulnerability (деталі)
• getaphpsite Real Estate Remote File Upload Vulnerability (деталі)
• PG Job Site (poll_view_id) Blind SQL Injection Vulnerability (деталі)
• PG Roomate Finder Solution (Auth Bypass) SQL Injection Vulnerability (деталі)
• PHP-Nuke Module eBoard 1.0.7 GLOBALS[name] Local File Inclusion Exploit (деталі)