Архів за Жовтень, 2009

Сучасний стан фішинг-атак в Інтернеті

20:05 28.10.2009

В Інтернеті постійно відбуваються фішинг-атаки. Я це знаю не тільки з публічної статистики, але й з власного досвіду - мені щодня приходить по декілька ламерських фішерських емайлів (серед щоденного потоку спама). В Уанеті також відбуваються атаки фішерів і з кожним роком все більше.

Зокрема нещодавно я писав стосовно фішинг-атак, де зазначав, що фішинг-атаки на клієнтів українських банків відбуваються регулярно. Подібні атаки мали місце в 2006, 2007, 2008 і 2009 році. І головне, що на подібні атаки ведуться люди, які стають жертвами фішерів - подібні випадки були в попередні роки і в цьому році (хоча той випадок, про який повідомила СБУ, виглядає дещо підозрілим, але він є ціклом імовірним).

За останніми даними, число фішингових атак досягло дворічного максимуму. Тому користувачам сайтів українських банків та онлайнових платіжних систем потрібно бути обережними в Інтернеті.

В своїй презентації Фішинг-атаки через Інтернет, я навів приклади фішерських атак. Серед методів фішинг-атак я виділив наступні:

  • Зараження комп’ютера користувача банківським трояном.
  • Підробка банківського сайта.
  • Використання уразливостей банківського сайта.

Також існують нові просунуті методи проведення фішерських атак, про які я писав раніше. Це фішинг-атаки через електронну пошту, коли фішинг сайт розміщується в емайлі, та через редиректори.

Ідею з використанням редиректорів для фішинг-атак я придумав влітку цього року і поки ще не зустрічав випадків подібних атак, але з часом такі атаки можуть з’явитися (тому я попередив про це як власників сервісів редирекції та розробників браузерів, так і всю інтернет спільноту). При використанні редиректорів для проведення даних атак, можна розмістити фішинг сайт в лінці. Такі атаки можна провести через TinyURL та інші сервіси редирекції.

Добірка експлоітів

16:26 28.10.2009

В даній добірці експлоіти в веб додатках:

  • e107 Plugin userjournals_menu (blog.id) SQL Injection Vulnerability (деталі)
  • FreznoShop 1.3.0 (id) Remote SQL Injection Vulnerability (деталі)
  • XEngineSoft PMS/MGS/NM/AMS 1.0 (Auth Bypass) SQL Injection Vulns (деталі)
  • Yellow Duck Weblog 2.1.0 (lang) Local File Inclusion Vulnerability (деталі)
  • X10Media Mp3 Search Engine 1.x Admin Access Vulnerability (деталі)
  • ftpdmin 0.96 Arbitrary File Disclosure Exploit (деталі)
  • ASP Product Catalog 1.0 (XSS/DD) Multiple Remote Exploits (деталі)
  • Steamcast (HTTP Request) Remote Buffer Overflow Exploit (SEH) [2] (деталі)
  • Steamcast (HTTP Request) Remote Buffer Overflow Exploit (SEH) [1] (деталі)
  • W2B phpEmployment (conf.inc) File Disclosure Vulnerability (деталі)
  • RQMS (Rash) <= 1.2.2 Multiple SQL Injection Vulnerabilities (деталі)
  • Aqua CMS (username) SQL Injection Vulnerability (деталі)
  • GuestCal 2.1 (index.php lang) Local File Inclusion Vulnerability (деталі)
  • Steamcast 0.9.75b Remote Denial of Service Exploit (деталі)
  • Exploits metabbs 0.11 Change admin password vulnerability (деталі)

Уразливість на ufsb.kiev.ua

23:54 27.10.2009

Учора, 26.10.2009, я знайшов Cross-Site Scripting уразливість на http://ufsb.kiev.ua - сайті Української Федерації спеціалістів безпеки. Про що найближчим часом сповіщу адміністрацію сайта.

Даний сайт використовує движок Joostina - різновид Joomla. Тому в ньому є дірка подібна до XSS уразливості в Joomla, яку я знайшов ще в 2007 році. І відповідно на сайті є й інші уразливості характерні для Joomla.

XSS:

Для виконання коду, користувач повинен змінити кількість результатів пошуку на одну сторінку.

Invision Power Board 3.0.4

22:47 27.10.2009

У жовтні, 18.10.2009, вийшла Invision Power Board 3.0.4. В даній версії виправлені помилки та покращена функціональність.

Компанія ІBResource повідомляє про вихід російської версії IP.Board 3.0.4 (IPB). Ця версія включає виправлення багатьох помилок, а також невеликі поліпшення у функціональній частині. Додана підтримка візуального редактора в браузерах Chrome і Safari. Модулі галереї, блогів і файлового архіву також обновлені.

Останні оновлення на сайті

20:05 27.10.2009

Зробив на сайті декілька оновлень.

В Посібнику з безпеки, в другому розділі “Паролі” додав новий пункт з інформацією про зберігання паролів.

Також сьогодні оновив тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з даної теми.

В даній версії додав 5 нових запитань по новому матеріалу з другого розділа Посібника з безпеки. Тепер у тесті 55 запитань на web security тематику, які базуються на семи розділах мого посібника.

Добірка уразливостей

16:11 27.10.2009

В даній добірці уразливості в веб додатках:

  • Multiple Vulnerabilities in Cisco PIX and Cisco ASA (деталі)
  • flatnux Flatnux-2009-01-27 Remote File Include (деталі)
  • metabbs 0.11 Change admin password vulnerability (деталі)
  • phpslash <= 0.8.1.1 Remote Code Execution Exploit (деталі)
  • rgboard v4 (07.07.27) Multiple Vulnerability (деталі)
  • SMF 1.1.7 Persistent XSS (requires permision to edit censor) (деталі)
  • Security Advisory for Bugzilla 3.2.1, 3.0.7, and 3.3.2 (деталі)
  • Akamai Technologies Security Advisory 2008-0003 (Akamai Client Software) (деталі)
  • Akamai Red Swoosh Cross-Site Request Forgery (деталі)
  • PHP-Calendar SQL Credential Disclosure (деталі)

Жовтневий вівторок патчів від Microsoft

22:44 26.10.2009

В жовтні місяці Microsoft випустила 13 патчів для 34 уразливостей. Що значно більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів, що включають виправлення 34 уразливостей. З яких 8 критичних та 5 важливих.

Критичні патчі виправляють уразливості в SMBv2, Windows Media Runtime, Windows Media Player, .NET і Silverlight, ActiveX-компонентах для MS Office, написаних за допомогою уразливої версії ATL, кумулятивні оновлення для IE і блокуючих прапорців ActiveX. Важливі патчі виправляють віддалене виконання коду в GDI+, службі FTP і службі індексування, підробку сертифіката в CryptoAPI, DoS у підсистемі Local Security Authority.

По матеріалам http://bugtraq.ru.

Нові уразливості на web20.a.ua

19:20 26.10.2009

21.07.2009

У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://web20.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів A.UA я писав про уразливості на passport.a.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.10.2009

Abuse of Functionality:

http://web20.a.ua/registration

Через функцію перевірки логіна можливе визначення логінів на сайті.

XSS:

POST запит на сторінці http://web20.a.ua/registration

"><script>alert(document.cookie)</script>В полях: Пароль, Повторно введите пароль, Секретный вопрос, Секретный ответ.

Дані уразливості досі не виправлені.

Добірка експлоітів

16:18 26.10.2009

В даній добірці експлоіти в веб додатках:

  • WebFileExplorer 3.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
  • AdaptBB 1.0b Multiple Remote Vulnerabilities (деталі)
  • net2ftp <= 0.97 Cross-Site Scripting/Request Forgery Vulnerabilities (деталі)
  • My Dealer CMS 2.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
  • Absolute Form Processor XE-V 1.5 (Auth Bypass) SQL Injection Vuln (деталі)
  • Dynamic Flash Forum 1.0 Beta Multiple Remote Vulnerabilities (деталі)
  • FunkyASP AD System 1.1 Remote Shell Upload Vulnerability (деталі)
  • w3bcms Gaestebuch 3.0.0 Blind SQL Injection Exploit (деталі)
  • Redaxscript 0.2.0 (language) Local File Inclusion Vulnerability (деталі)
  • moziloCMS 1.11 (LFI/PD/XSS) Multiple Remote Vulnerabilities (деталі)
  • Chance-i DiViS DVR System Web-server Directory Traversal Vulnerability (деталі)
  • Loggix Project 9.4.5 (refer_id) Blind SQL Injection Vulnerability (деталі)
  • PHP-Agenda <= 2.2.5 Remote File Overwriting Vulnerabilities (деталі)
  • Flatnuke <= 2.7.1 (level) Remote Privilege Escalation Exploit (деталі)
  • ftpdmin 0.96 RNFR Remote Buffer Overflow Exploit (xp sp3/case study) (деталі)

Уразливості на www.corywebbmedia.com, www.howtojoomla.net та dwsc.net

23:56 24.10.2009

Учора я оприлюднив Cross-Site Scripting уразливість в Joomla, що я знайшов 03.09.2009. Яка має місце на сторінці с помилкою 404.

Дана уразливість вже виправлена в останніх версіях движка, але не всі власники сайтів оновили Joomla до останньої версії, тому в Інтернеті є чимало вразливих сайтів. Наведу вам приклади сайтів, де наявна дана Cross-Site Scripting уразливість. Це сайти http://www.corywebbmedia.com, http://www.howtojoomla.net та http://dwsc.net.

XSS:

http://www.corywebbmedia.com

http://www.howtojoomla.net

http://dwsc.net