Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• TxtBlog 1.0 Alpha Remote Command Execution Exploit (деталі)
• NaviCopa webserver 3.0.1 (BOF/SD) Multiple Remote Vulnerabilities (деталі)
• Technote 7.2 Remote File Inclusion Vulnerability (деталі)
• 4Site CMS <= 2.6 Multiple Remote SQL Injection Vulnerabilities (деталі)
• MyDesing Sayac 2.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• WEBalbum 2.4b (photo.php id) Blind SQL Injection Exploit (деталі)
• AJA Modules Rapidshare 1.0.0 Remote Shell Upload Vulnerability (деталі)
• Simple Machines Forums (BBCode) Cookie Stealing Vulnerability (деталі)
• Openfiler 2.3 (Auth Bypass) Remote Password Change Exploit (деталі)
• DMXReady online notebookmanager 1.1 Auth Bypass Vulnerability (деталі)
• Flatnux 2009-01-27 Remote File Inclusion Vulnerability (деталі)
• PHPbbBook 1.3 (bbcode.php l) Local File Inclusion Exploit (деталі)
• GRBoard 1.8 Multiple Remote File Inclusion Vulnerabilities (деталі)
• rgboard v4 5p1 (07.07.27) Multiple Remote Vulnerabilities (деталі)
• TNS Listener (Oracle RDBMS) exploit (деталі)

У вересні, 03.09.2009, я знайшов Arbitrary File Upload уразливість в TinyBrowser - файл менеджері для редактора TinyMCE. Про що найближчим часом повідомлю розробникам.

Arbitrary File Upload:

http://site/path/tinybrowser.php?type=file

При доступі до TinyBrowser, доступ до якого не обмежується, можна завантажити через вбудований аплоадер будь-який файл, зокрема скрипт, що призведе до виконання довільного коду, в тому числі shell upload атаки. Якщо ж трапиться версія додатку, де завантаження скриптів буде заборонене, то можна, наприклад, завантажити php-скрипт з іншим дозволеним розширенням та провести Local File Include атаку.

Уразливі TinyBrowser 1.33 та попередні версії (та потенційно деякі наступні версії). Як я пізніше перевірив, в TinyBrowser 1.41.6 завантаження багатьох скриптів заборонене, але аплоадер можна використати для проведення LFI атаки. До того ж в останніх версіях TinyBrowser є чимало інших уразливостей.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://hacker-pro.net (хакерами GrandMaster & Oza) - 08.09.2009 - похаканий форум сайта, який вже виправлений адмінами. В даному випадку форум хакерського сайта був взломаний конкуруючими хакерами
• http://eko-mc.at.ua (хакером Poiuty)
• http://micro-win.com (хакером fLoMaster) - 27.08.2009, зараз сайт вже виправлений адмінами
• http://mygreen.org.ua (хакерами з Azerbaijan Attacker Team) - 03.09.2009, зараз сайт вже виправлений адмінами
• http://tavrida.in.ua (хакером moroccan-alien) - 27.08.2009, зараз сайт вже виправлений адмінами

Відомий кібезлочинець, 28-літній Альберт Гонсалес визнав свою провину по ряду обвинувачень і буде присуджений до тюремного ув’язнення на термін від 15 до 25 років.

Як повідомляється, Гонсалес зізнався в усіх правопорушеннях, що йому ставилися - кібершахрайство, розкрадання особистих даних при обтяжуючих обставинах, змова з метою шахрайства й інші 19 обвинувачень. Крім тюремного терміну небезпечному хакеру прийдеться виплатити біля $2,8 мільйонів штрафу. Також у нього конфіскують квартиру в Майамі, машину і коштовності на невизначену суму.

Альберт Гонсалес був арештований правоохоронними органами США в 2008 р. за обвинуваченням у застосуванні SQL-ін’єкцій та інших технологій для взлому ряду комп’ютерних мереж і крадіжці даних кредитних карт. Пізніше стало відомо, що раніше Гонсалес працював інформатором американських спецслужб.

Нагадаємо, що цей хакер разом із двома своїми спільниками, що, орієнтовно, проживають у Росії, украв більш 130 мільйонів номерів кредитних і дебетових карт. Влада країни називає це найбільшим злочином такого роду в історії США. Про долю спільників Альберта Гонсалеса не повідомляється. Через діяльність Гонсалеса постраждали такі компанії, як платіжна система Heartland Payment Systems з Нью-Джерсі, національна мережа магазинів 7-Eleven, мережа супермаркетів Hannaford Brothers та інші.

Кіберзлочинець разом зі своїми спільниками почав взламувати комп’ютерні мережі і красти номера кредитних і дебетових карт у жовтні 2006 р. Украдені дані пересилалися на сервера зловмисників у Каліфорнії, Іллінойсі, Латвії, Голландії й Україні. Після чого викрадені номери продавалися.

По матеріалам http://www.xakep.ru.

P.S.

Як видно з новини, без України тут не обійшлося. Так же склалося, що зловмисники полюбляють пересилати номери кредиток на українські сервери (це вже не перший випадок), або просто іноземні журналісти іноді полюбляють приписувати різні взломи українським хакерам. Тим самим формуючи імідж нашої країни.

В даній добірці уразливості в веб додатках:

• HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Cross Site Scripting (XSS) Vulnerabilitiy in cpcommerce (деталі)
• flashchat severe bug (деталі)
• Doubt in MySQL Quick Admin <= 1.5.5 (COOKIE) Local File Inclusion Vulnerability (деталі)
• Directory traversal vulnerability in Mercurial (деталі)
• phpcrs <= 2.06 / Local File Inclusion Vulnerability (деталі)
• vshop - Axcoto cart <= 0.1alpha / Local File Inclusion Vulnerability (деталі)
• SiteEngine 5.x Multiple Remote Vulnerabilities (деталі)
• iPei cross site scripting Vulnerablity (деталі)
• txtshop - beta 1.0 / Local File Inclusion Vulnerability (деталі)

20-літній житель Аделаїди затриманий по підозрі в крадіжці банківських даних. Програми, незаконно встановлені молодою людиною на три тисячі комп’ютерів в Австралії і по усьому світі, були призначені для крадіжки номерів кредитних карт і паролів доступу до банківських рахунків, стверджується в офіційній заяві поліції штату Південна Австралія.

Крім того, арештований хакер підозрюється в створенні ботнета з 74000 заражених комп’ютерів, призначеного для організації DDoS-атак на веб-сайти.

Арешту передувало тримісячне розслідування, проведене відділом по електронних злочинах поліції штату разом з федеральною поліцією. Затримка молодої людини дасть інформацію, що допоможе вийти на інших кіберзлочинців, упевнені представники закону.

Молодому хакеру пред’явлені обвинувачення в нелегальній зміні даних у чужих комп’ютерах і поширенні комп’ютерних вірусів. Також йому приписується замах на незаконне керування комп’ютерними системами і крадіжка.

По матеріалам http://www.xakep.ru.

Виявлені численні уразливості безпеки в Oracle.

Уразливі продукти: Oracle WebLogic Server 7.0, Oracle 9i, Oracle 10g, Oracle 11g та інші програмні продукти Oracle.

Чергове щоквартальне оновлення закриває майже 50 різних уразливостей безпеки.

• Multiple Vendor Outside In Multiple Spreadsheet Buffer Overflow Vulnerabilities (деталі)
• Multiple Vendor Outside In Spreadsheet Buffer Overflow Vulnerability (деталі)
• Multiple Vendor Outside In Spreadsheet Integer Overflow Vulnerability (деталі)
• Multiple Vendor Outside In Multiple Integer Overflow Vulnerabilities (деталі)
• Oracle Applications Server 10g Format String Vulnerability (деталі)
• Oracle BEA WebLogic Server Plug-ins Integer Overflow (деталі)
• Oracle BEA WebLogic Server Plug-ins Certificate Buffer Overflow (деталі)
• SQL Injection in package DBMS_AQIN (деталі)
• Unprivileged DB users can see APEX password hashes (деталі)
• SQL Injection in package DBMS_AQADM_SYS (деталі)
• Oracle Updates for Multiple Vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• OpenHelpDesk 1.0.100 eval() Code Execution Exploit (meta) (деталі)
• phpslash <= 0.8.1.1 Remote Code Execution Exploit (деталі)
• eVision CMS 2.0 Remote Code Execution Exploit (деталі)
• sourdough 0.3.5 Remote File Inclusion Vulnerability (деталі)
• CMS Mini <= 0.2.2 Remote Command Execution Exploit (деталі)
• phpBLASTER 1.0 RC1 (blaster_user) Blind SQL Injection Exploit (деталі)
• Online Grades 3.2.4 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Groone’s Guestbook 2.0 Remote File Inclusion Vulnerability (деталі)
• Groone GLinks 2.1 Remote File Inclusion Vulnerability (деталі)
• ClickCart 6.0 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• WholeHogSoftware Password Protect Insecure Cookie Handling Vuln (деталі)
• WholeHogSoftware Ware Support Insecure Cookie Handling Vulnerability (деталі)
• CMS from Scratch <= 1.9.1 (fckeditor) Remote File Upload Exploit (деталі)
• DreamPics Photo/Video Gallery Blind SQL Injection Exploit (деталі)
• Yerba SACphp <= 6.3 / Local File Inclusion Exploit (деталі)

Нещодавно, 03.09.2009, я знайшов Cross-Site Scripting уразливість на проекті http://wap.samsung.ua. Про що найближчим часом сповіщу адміністрацію проекту.

І хоча попередні три уразливості (знайдені мною в серпні 2008), що були пов’язані з уразливістю в Apache Tomcat, вони вже виправили, але я легко знайшов нову.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Cross-Site Scripting (XSS) уразливості дуже поширені в Інтернеті, що добре видно з моїх новин. Я регулярно знаходжу подібні уразливості на веб сайтах, про що пишу в себе на сайті, а також згадую про знайдені іншими секюріті дослідниками XSS дірки на відомих сайтах. Також я не раз писав про XSS хробаків.

XSS уразливості мені доводилося знаходити у різних веб додатках, а також у браузерах та веб серверах. Після уразливостей в пошуковцях, про що я вже писав детально в своєму проекті MOSEB, одними з найбільш поширених є XSS на Error 404 сторінках, про що я розповім детально.

Стандартний вектор атаки у випадку XSS на 404 сторінках - це вказання XSS-коду в якості адреси сторінки на сайті, що призведе до виведення 404-ї сторінки і до виконання JavaScript коду.

XSS:

http://site/%3Cscript%3Ealert(document.cookie)%3C/script%3E

Подібні XSS бувають reflected, persistent, DOM based та strictly social.

Прикладом persistent XSS на 404 сторінці є уразливість в Power Phlogger (код спрацює при перегляді логів відвідувань). DOM based XSS мені також траплялися, зокрема в компоненті ProofReader для Joomla. А reflected XSS на 404 сторінках - це найбільш поширений випадок. Прикладами даних XSS є уразливості на mts.com.ua, в Apache Tomcat та в Joomla.

А також уразливості в браузерах, що проявляються на 404 сторінках: Cross-Site Scripting з використанням UTF-7 в IE (reflected) та Cross-Site Scripting з UTF-7 в Mozilla та Firefox (strictly social XSS).

Так що розробникам веб серверів, браузерів та веб сайтів варто завжди перевіряти свої розробки на наявність XSS уразливостей на 404 сторінках (як і на усіх інших сторінках про помилки). Щоб не допускати уразливостей на даних сторінках.