Архів за Вересень, 2009

Атака для блокування сайта в пошукових системах

22:44 30.09.2009

Як я писав рініше, в Інтернеті зараз є три пошукові системи, що повідомляють про зараженість сайта - це Google, Yahoo та Яндекс. Причому, якщо перші два блокують доступ до такого ресурсу (і потрібно вручну набирати адресу сайта, щоб перейти на нього), то Яндекс не блокує доступ, а лише повідомляє про небезпеку.

Раніше я писав про можливість закриття сайтів через їх взлом, коли через дефейс і/або розміщення вірусів сайт може бути закритим. Окрім цього можлива атака на сайт з іншою ціллю. Можлива атака на сайт з метою його блокування в пошукових системах.

Атака відбувається наступним чином. Сайт взламується і на ньому розміщується шкідливий код. Після того як будь-яка з вищезгаданих пошукових систем проіндексує сайт, в тому числі їй можна допомогти (надавши лінку на сайт через відповідну форму пошуковця), сайт буде помічений як шкідливий.

Що призведе, по-перше, до втрати іміджу даної компанії (або даного проекту), а по-друге, це призведе до зменшення відвідуванності сайта з пошукових систем (з Гугла та Яху, де доступ до інфікованих сайтів блокується). А по-третє, навіть якщо ви швидко почистите сайт, “мітку інфікованості” знімуть не дуже швидко, тому дана атака має тривалий ефект і відповідно наносить достатньо шкоди власнику сайта.

Зазначу, що в останні роки до мене нерідко зверталися люди, за порадою, що їм робити, які стикалися з такою проблемою - коли їх сайти хакали, на них розміщали шкідливі коди і потім їх сайти помічалися як шкідливі в Гуглі. Тому я добре знаю, що така проблема актуальна в Уанеті. І головне, що тут потрібно робити, окрім видалення вірусів з сайта - це завжди слідкувати за безпекою власного сайта.

Cross-Site Scripting через jar: URI в Firefox

19:39 30.09.2009

Як я писав в своїй статті Редиректори: прихована загроза, в Mozilla Firefox можливі атаки міжсайтового скриптінга через jar: URI.

Дану уразливість виявив Petko D. Petkov aka PDP ще в 2007 році (тоді не знайшов часу про це написати, але уразливість достатньо цікава). Використовуючи jar: URI можна виконати код у контексті сайта, що дозволяє аплоадінг файлів (таких як JAR, ZIP, DOC та інших типів файлів, що являють собою архів).

Після чого Beford виявив, що в Firefox можна використати дану уразливість разом з редиректорами для проведення XSS атак через jar: URI без необхідності завантаження файлів на дані сайти. Уразливість була виправлена в Firefox 2.0.0.10 та SeaMonkey 1.1.7.

  • Web Mayhem: Firefox’s JAR: Protocol issues (деталі)
  • Mozilla Foundation Security Advisory 2007-37 (деталі)

Добірка уразливостей

17:27 30.09.2009

В даній добірці уразливості в веб додатках:

  • Sun Java System Active Server Pages Multiple Directory Traversal Vulnerabilities (деталі)
  • Sun Java System Active Server Pages Multiple Command Injection Vulnerabilities (деталі)
  • Sun Java System Active Server Pages Information Disclosure Vulnerability (деталі)
  • Meta Cart Free Database Disclosure (деталі)
  • facto Database Disclosure (деталі)
  • ASP-CMS v.1.0 Sql Injection/Database Disclosure (деталі)
  • Moodle 1.9.3 Remote Code Execution (деталі)
  • HP-UX Running System Administration Manager (SAM), Unintended Remote Access (деталі)
  • phpList vulnerability (деталі)
  • Multiple XSS Vulnerabilities in World Recipe 2.11 (деталі)

MustLive Perl Pascal Programs Interpreter

22:45 29.09.2009

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.5. В новій версії:

  • Додана підтримка функції log10.
  • Додана підтримка функції log2.
  • Додана підтримка функції logn.
  • Виправлена помилка при роботі з комою в строкових змінних.
  • Покращена робота з комами в write та writeln.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Уразливості на www.zemerl.com

20:03 29.09.2009

15.07.2009

У листопаді, 08.11.2008, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://www.zemerl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.09.2009

SQL Injection:

http://www.zemerl.com/cgi-bin/search.pl?language=-1'%20or%20version()%3D5%20limit%200,1%23

XSS (через SQL Injection):

Дані уразливості досі не виправлені.

Зазначу, що в 2008 році WAF на сервері не було, а 15.07.2009 я виявив, що вони встановили ModSecurity. Але для XSS уразливості я його легко обійшов (своїм методом обхода WAF, який я розробив ще в 2006 році), а проти SQL Injection уразливості ModSecurity взагалі не спрацював.

Добірка експлоітів

17:23 29.09.2009

В даній добірці експлоіти в веб додатках:

  • Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation (деталі)
  • DesignerfreeSolutions Newsletter Manager Pro Auth Bypass Vuln (деталі)
  • Golabi CMS Remote File Inclusion Vulnerability (деталі)
  • BannerManager 0.81 (Auth Bypass) SQL Injection Vulnerability (деталі)
  • Coppermine Photo Gallery <= 1.4.20 (IMG) Privilege Escalation Exploit (деталі)
  • SkyPortal Downloads Manager v1.1 Remote Contents Change Vuln (деталі)
  • Orbit <= 2.4 Long Hostname Remote Buffer Overflow Exploit (деталі)
  • Demium CMS 0.2.1B Multiple Vulnerabilities and Exploit (деталі)
  • Irokez BLog 0.7.3.2 (XSS/RFI/BSQL) Multiple Remote Vulnerabilities (деталі)
  • RitsBlog 0.4.2 (AB/XSS) Multiple Remote Vulnerabilities (деталі)
  • Joomla/Mambo Component eXtplorer Code Execution Vulnerability (деталі)
  • Joomla com_digistore (pid) Blind SQL Injection Exploit (деталі)
  • Graugon PHP Article Publisher 1.0 (SQL/CH) Multiple Remote Vulns (деталі)
  • Access2asp imageLibrary Arbitrary ASP Shell Upload Vulnerability (деталі)
  • eZ Publish privilege escalation exploit by s4avrd0w (деталі)

Хакери обкрали татарський банк

22:42 28.09.2009

В Татарстані розслідується справа по факту розкрадання коштів казанського банку “Ак Барс”, призначених для будівництва одного з об’єктів Універсіади-2013. У результаті хакерської атаки в кредитної установи украли більш 7 млн. рублів.

“Викрадено більше семи мільйонів рублів, причому це не федеральні гроші, а кошти саме банку”, - пояснив начальник УБЕЗ МВС по республіці Марс Бадрутдінов на брифінгу в Казані. По факту порушена кримінальна справа по ст. 159 (шахрайство) КК Росії. Як пояснив Бадрутдінов, кошти були викрадені в електронному вигляді в результаті хакерської атаки в липні. “Ніяких фактів розкрадання федеральних коштів, що виділені на будівництво об’єктів Універсіади, немає”, - підкреслив керівник УБЕЗ, нагадавши, що контроль за їхньою витратою ведеться постійно, у тому числі правоохоронними органами і Рахунковою палатою Татарстану.

По матеріалам http://www.xakep.ru.

Добірка уразливостей

16:27 28.09.2009

В даній добірці уразливості в веб додатках:

  • Cisco Unified Communications Disaster Recovery Framework Command Execution Vulnerability (деталі)
  • XSS in PHPepperShop v 1.4 (деталі)
  • Two XSS Flaws in PrestaShop 1.1.0.3 (деталі)
  • SQL Injection vulnerability in Joomla Component mydyngallery (деталі)
  • Exploit of vulnerability EZSA-2008-003 (деталі)
  • Max’s Guestbook (XSS) Remote Vulnerability (деталі)
  • aspProductCatalog Sql Injection (деталі)
  • Sun Java System Active Server Pages File Creation Vulnerability (деталі)
  • Sun Java System Active Server Pages Buffer Overflow Vulnerability (деталі)
  • Sun Java System Active Server Pages Authorization Bypass Vulnerability (деталі)

Уразливості на www.google.com

23:56 26.09.2009

У січні, 31.01.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті https://www.google.com (в формі для створення акаунта Gmail).

Дані уразливості подібні до уразливостей на www.youtube.com (іншому проекті Google).

Abuse of Functionality:

На сторінці реєстрації https://www.google.com/accounts/NewAccount ?service=mail функція check availability, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі (Gmail).

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів користувачів Gmail. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

Експлуатація уразливостей в ПЗ

22:43 26.09.2009

Продовжуючи розпочату традицію, після попереднього відео про прокляту анімацію з WWW, пропоную новий відео секюріті мануал. Цього разу відео про експлуатацію уразливостей в ПЗ. Рекомендую подивитися всім хто цікавиться цією темою.

Exploiting SW Vulnerabilities

В даному відео ролику демонструється процес знаходження уразливості в Windows-бібліотеці з використанням дебагера OllyDbg. Та створення для неї експлоіта (на Perl) для атаки на сервер через Інтернет. Рекомендую подивитися дане відео для розуміння процесу створення експлоітів та векторів атак через Інтернет.