Websecurity - Веб безпека

У грудні, 16.12.2008, я знайшов Cross-Site Scripting уразливість на проекті http://daily.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.daily.com.ua.

XSS:

• alert(document.cookie)
• цікавий

Виявлені Cross-Site Scripting уразливості в Adobe Coldfusion.

Уразливі версії: Adobe Coldfusion 8.

Численні умови міжсайтового скриптінга.

• Adobe Coldfusion 8 Multiple Linked XSS Vulnerabilies (деталі)

Ідея створення систем honeypot полягає в тому, щоб заманити хакерів на сервер чи у мережу, а потім стежити за ними. У консорціуму Web Application Security Consortium (WASC) мається для нападників свій власний різновид такої системи, що складається із суміші відкритого ПЗ і відкритих проксі-серверів.

Проект WASC за назвою Distributed Open Proxy Honeypot Project досяг третьої фази свого розвитку, у ході якої відбудеться його більш широке розгортання з залученням додаткових фахівців. Ціль все та ж - надати дослідникам і правоохоронним органам новий засіб для боротьби з мережевими атаками. Глава проекту Райан Барнетт підкреслює, що кількість пасток тепер збільшиться з 14 до 60, при цьому ідентифікувати й аналізувати шкідливий трафік буде набагато більше число експертів.

Звичайно honeypot-и видають себе за легку ціль для нападу, тому, за словами Барнетта, вони в основному залучають до себе увагу автоматизованих програм, що сканують діапазони IP-адрес і випадково натикаються на адреси, що належать honeypot. Open Proxy Honeypot Project заснований на інших принципах.

Райан Барнетт відзначає, що проект складається з відкритих проксі-серверів, через які люди можуть перенаправляти свій трафік. Зловмисники користуються такими проксі-серверами, щоб сховати джерело проведення атаки, тому WASC прагне надати їм саме такі проксі, через які вони захочуть робити свої набіги.

Серце проекту - відкрите програмне забезпечення. Для перенаправлення трафіка використовується веб-сервер Apache, а для його аналізу - відкрите доповнення mod_security, що зазвичай застосовують у якості фаєрвола для встановлення розширених наборів правил. У Open Proxy Honeypot Project це доповнення нічого не забороняє і не обмежує, а лише намагається вірно класифікувати трафік.

По матеріалам http://www.xakep.ru.

В даній добірці експлоіти в веб додатках:

• Joomla Component Fantasytournament SQL Injection Vulnerabilities (деталі)
• Joomla Component Camelcitydb2 2.2 SQL Injection Vulnerabilities (деталі)
• DMXReady Members Area Manager <= 1.2 SQL Injection Vulnerability (деталі)
• DMXReady Member Directory Manager <= 1.1 SQL Injection Vulnerability (деталі)
• DMXReady Links Manager <= 1.1 Remote Contents Change Vulnerability (деталі)
• DMXReady Job Listing <= 1.1 Remote Contents Change Vulnerability (деталі)
• DMXReady Faqs Manager <= 1.1 Remote Contents Change Vulnerability (деталі)
• Oracle Secure Backup 10g exec_qr() Command Injection Vulnerability (деталі)
• phosheezy 2.0 Remote Command Execution Exploit (деталі)
• phpList <= 2.10.8 Local File Inclusion Vulnerability (деталі)
• Php Photo Album 0.8b (index.php preview) Local File Inclusion Vulnerability (деталі)
• Oracle TimesTen Remote Format String PoC (деталі)
• NetSurf Web Browser 1.2 Multiple Remote Vulnerabilities (деталі)
• Joomla com_Eventing 1.6.x Blind SQL Injection Exploit (деталі)
• minb Remote Code Execution Exploit (деталі)

Раніше я писав про можливість закриття сайтів через їх уразливості. Це можливо в зв’язку з наявністю на сайті порнографії, секретних матеріалів, або терористичних матеріалів. І як я вже казав, закриття сайта може статися через його взлом та розміщення на ньому вищезазначених метеріалів.

Ще однією причиною закриття сайта може стати безпосередньо його взлом. Тобто, якщо у перших трьох випадках (порнографія, секретні та терористичні матеріали) ваш сайт закриють силові органи через порушення вами кримінального кодексу, то в цьому випадку сайт буде закритий через дії кіберзлочинців.

Тобто вже сам взлом може призвести до закриття сайта (це може бути дефейс і/або розміщення вірусів). Закриття може бути тимчасове - коли провайдер закрив сайт, доки його власник не почистить свій сайт, або повне - коли власник сайта закрив свій проект (бо не міг впоратися з проблемою дірявості власного сайта). В своїх дослідженнях безпеки Уанету (за 2006-2009 роки) я наводив безліч таких випадків. Як останній випадок з www.virtlibrary.dp.ua, так і минулорічні випадки з dn.kiev.ua та wmast.com.ua.

Так що варто слідкувати за безпекою власних сайтів, щоб з ними не трапилося подібного.

Виявлена можливість проведення DoS атаки проти Microsoft ASP.NET.

Уразливі продукти: Internet Information Services (IIS) 7.0 на Microsoft Windows Vista та Windows 2008 Server.

• Microsoft Security Bulletin MS09-036 - Important Vulnerability in ASP.NET in Microsoft Windows Could Allow Denial of Service (970957) (деталі)

В даній добірці уразливості в веб додатках:

• CA Products That Embed Ingres Multiple Vulnerabilities (деталі)
• Ingres Database for Linux ingvalidpw Untrusted Library Path Vulnerability (деталі)
• Ingres Database for Linux libbecompat Stack Based Buffer Overflow Vulnerability (деталі)
• Ingres Database for Linux verifydb Insecure File Permissions Modification Vulnerability (деталі)
• menalto gallery: Session hijacking vulnerability, CVE-2008-3662 (деталі)
• Attachmax Dolphin <= 2.1.0 Multiple Vulnerabilities (деталі)
• Quick.Cart v3.1 Freeware - Cross Site Scripting (деталі)
• Quick.Cms.Lite v2.1 Freeware - Cross Site Scripting (деталі)
• osCommerce 2.2rc2a - Information Disclosure (деталі)
• DUgallery - ALL VERSIONS (Upload/SQL/) Multiple Remote Vulnerabilities (деталі)

Нещодавно була оприлюднена Abuse of Functionality уразливість в WordPress. Уразливі WordPress 2.8.3 та попередні версії. Зазначу, що я перевірив дану уразливість в WordPress 2.0.11 та 2.6.2 і вона не спрацювала, тому вірогідно вразливі лише останні версії WP.

Використовуючи дану уразливість можна змінити пароль адміна (тобто провести Reset Admin Password атаку).

• Wordpress <= 2.8.3 Remote Admin Reset Password Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.virtlibrary.dp.ua (хакерами Google і Leon) - 10.08.2009, зараз сайт не працює
• http://borusyk2music.org.ua (хакерами з Azerbaijan Attacker Team)
• http://faizv2.wen.su (хакером bunglon_putih)
• http://bmw.odessa.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://becks.com.ua (хакером cHyK0)

В даній добірці експлоіти в веб додатках:

• Weight Loss Recipe Book 3.1 (Auth Bypass) SQL Injection Vuln (деталі)
• BKWorks ProPHP 0.50b1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• XOOPS Module tadbook2 (open_book.php book_sn) SQL Injection Vuln (деталі)
• phpMDJ <= 1.0.3 (id_animateur) Blind SQL Injection Exploit (деталі)
• Realtor 747 (define.php INC_DIR) Remote File Inclusion Vulnerability (деталі)
• dMx READY ( 25 Products ) Remote Database Disclosure Vulnerability (деталі)
• PWP Wiki Processor 1-5-1 Remote File Upload Vulnerability (деталі)
• Comersus Shopping Cart <= v6 Remote User Pass Exploit (деталі)
• Simple Machines Forum - Destroyer 0.1 (деталі)
• Joomla Component Portfol (vcatid) SQL Injection Vulnerability (деталі)
• Nofeel FTP Server 3.6 (CWD) Remote Memory Consumption Exploit (деталі)
• DMXReady Account List Manager <= 1.1 Contents Change Vulnerability (деталі)
• HSPell 1.1 (cilla.cgi) Remote Command Execution Exploit (деталі)
• DMXReady News Manager <= 1.1 Arbitrary Category Change Vuln (деталі)
• PhsBlog Bypass Sql injection Filtering Exploit (деталі)