Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.wordpress.com.ua (хакерами з GHOST OF IRAQ)
• http://csep.org.ua (хакерами Nicky Mc і DarKHacker) - 24.08.2009, зараз сайт вже виправлений адмінами
• http://shop.briefcases.com.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://avanguard.halogen.kharkov.ua (хакерами з Ashiyane Digital Security Team)
• http://www.kievrealtor.org.ua (хакером ReHiZnER) - похакана директорія сайта

У вересні, 17.09.2009, вийшов PHP 5.2.11. В якому виправлено більше 75 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.11:

• Виправлена валідація сертифікату всередині php_openssl_apply_verification_policy.
• Виправлена перевірка для індексу кольору в imagecolortransparent().
• Додані пропущені перевірки навколо обробки exif.
• Виправлений баг #44683 (popen вибивав якщо був заданий некоректний режим).

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• IBM DB2 < 9.5 pack 3a Malicious Connect Denial of Service Exploit (деталі)
• IBM DB2 < 9.5 pack 3a Malicious Data Stream Denial of Service Exploit (деталі)
• ActiveKB Knowledgebase (loadpanel.php Panel) Local File Inclusion Vuln (деталі)
• glFusion <= 1.1.2 COM_applyFilter()/cookies Blind SQL Injection Exploit (деталі)
• form2list (page.php id) Remote SQL Injection Vulnerability (деталі)
• Family Connections <= 1.8.2 Remote Shell Upload Exploit (деталі)
• Gravity Board X 2.0b SQL Injection / Post Auth Code Execution (деталі)
• AdaptBB 1.0 (topic_id) SQL Injection / Credentials Disclosure Exploit (деталі)
• Amaya 11.1 XHTML Parser Remote Buffer Overflow PoC (деталі)
• Joomla Component com_bookjoomlas 0.1 SQL Injection Vulnerability (деталі)
• XBMC 8.10 GET Request Remote Buffer Overflow Exploit (SEH) (univ) (деталі)
• FlexCMS Calendar (ItemId) Blind SQL Injection Vulnerability (деталі)
• iDB 0.2.5pa SVN 243 (skin) Local File Inclusion Exploit (деталі)
• Family Connections CMS <= 1.8.2 Blind SQL Injection Vulnerability (деталі)
• Exploits Amaya (id) Remote Stack Overflow Vulnerability (деталі)

В другому кварталі 2009 року зареєстрована 151000 фішингових атак. Про що повідомила дослідницька компанія MarkMonitor.

Це максимальний за останні два роки показник. Чотири з п’яти підроблених листів, відправлених у другому кварталі 2009 року, виманювали логіни і паролі користувачів банків і платіжних систем. Число атак на користувачів соціальних мереж за останній рік виросло на 168 відсотків.

У середньому в другому кварталі на користувачів кожного онлайн-сервіса була зареєстрована 351 атака. Половина підроблених сайтів, призначених для перехоплення паролів, була розміщена в США.

Число фішингових атак росте всупереч тому, що в сучасні браузери вбудована технологія захисту від них. При таких атаках зловмисники створюють точну копію справжнього сайта банку чи платіжної системи і заманюють на них користувачів, зазвичай через підроблені email. Отримані в такий спосіб логіни і паролі потім використовуються для викрадення грошей з рахунка жертви.

По матеріалам http://www.bezpeka.com.

25.09.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12 та 13.

Ось нова добірка уразливих секюріті сайтів:

• www.darkreading.com
• openid.net, pro-hack.ru, bezpeka.com
• openid.net

Всім security проектам слід приділяти більше уваги безпеці власних сайтів.

20.10.2009

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• cbse.com.ua
• www.ictexpo.info
• www.nist.org
• www.infobezpeka.com

Секюріті проектам слід приділяти більше уваги безпеці власних сайтів.

В даній добірці уразливості в веб додатках:

• Asp-project Cookie Handling (деталі)
• Joomla component beamospetition 1.0.12 Sql Injection (деталі)
• CA BrightStor ARCserve Backup Remote Buffer Overflow (деталі)
• CA ARCserve Backup caloggerd and xdr Functions Vulnerabilities (деталі)
• CA BrightStor ARCserve Backup Arbitrary File Writing Vulnerability (деталі)
• Max.Blog <= 1.0.6 (offline_auth.php) Offline Authentication Bypass (деталі)
• New TYPO3 packages fix remote code execution (деталі)
• SAP NetWeaver XSS Vulnerability (деталі)
• ConPresso CMS 4.07 - Session Fixation, XFS, XSS (деталі)
• Lootan(kedor) Sql Injection vulnerability (деталі)

Фішинг-атаки на користувачів сайтів українських банків (як й інші фішерські атаки в Україні) відбуваються регулярно. На дану тему в 2008 році я розробив презентацію Фішинг-атаки через Інтернет, де навів приклади фішерських атак.

Наприклад, в 2006 році Ощадбанк попереджав клієнтів про спроби шахрайства з кредитками через ємайл. А в 2007 році служба інформаційної безпеки Райффайзен Банку Аваль виявила спробу фішинга.

В 2008 році Portmone.com попереджав про фішинг. А на початку 2009 року вже СБУ попередило про атаки інтернет-шахраїв.

Нещодавно я дізнався від адміністрації сайта www.agrocombank.kiev.ua про те, що 14.10.2009 відбулася фішинг атака (по електронній пошті) на клієнтів Агрокомбанку. Тому клієнтам українських банків потрібно бути обережними в Інтернеті.

20.07.2009

У листопаді, 16.11.2008, я знайшов Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://passport.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше стосовно проектів A.UA я писав про уразливості на web20.a.ua та про уразливість на passport.a.ua.

Детальна інформація про уразливості з’явиться пізніше.

19.10.2009

Abuse of Functionality:

http://passport.a.ua/register/

Через функцію перевірки логіна можливе визначення логінів на сайті.

XSS:

POST запит на сторінці http://passport.a.ua/register/

"><script>alert(document.cookie)</script>В полях: Ваш логин, Ник, Ваш пароль, Еще раз, Альтернативный e-mail, Ответ на вопрос.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• VirtueMart <= 1.1.2 Multiple Remote Vulnerabilities (деталі)
• webEdition <= 6.0.0.4 (WE_LANGUAGE) Local File Inclusion Vulnerability (деталі)
• JobHut 1.2 Remote Password Change/Delete/Activate User Vulnerability (деталі)
• PHPRecipeBook 2.39 (course_id) Remote SQL Injection Vulnerability (деталі)
• vsp stats processor 0.45 (gamestat.php gameID) SQL Injection Vuln (деталі)
• Sun Calendar Express Web Server (DoS/XSS) Multiple Remote Vulns (деталі)
• Koschtit Image Gallery 1.82 Multiple Local File Inclusion Vulnerabilities (деталі)
• Oracle WebLogic IIS connector JSESSIONID Remote Overflow Exploit (деталі)
• XBMC 8.10 (GET Requests) Multiple Remote Buffer Overflow PoC (деталі)
• XBMC 8.10 (Get Request) Remote Buffer Overflow Exploit (win) (деталі)
• XBMC 8.10 (takescreenshot) Remote Buffer Overflow Exploit (деталі)
• XBMC 8.10 (get tag from file name) Remote Buffer Overflow Exploit (деталі)
• MyioSoft Ajax Portal 3.0 (page) SQL Injection Vulnerability (деталі)
• TinyPHPForum 3.61 File Disclosure / Code Execution Vulnerabilities (деталі)
• Exploits Amaya (URL Bar) Remote Stack Overflow Vulnerability (деталі)

Наприкінці грудня 2008 року були оприлюднені Unauthorized upgrade та Cross-Site Scripting уразливості в WordPress. Уразливі всі версії WordPress 2.x, тому що дані уразливості не були виправлені.

У випадку, якщо WP на сайті не останньої версії, то використовуючи першу уразливість в WP, можна проводити неавторизований апгрейд движка, а використовуючи другу уразливість можна проводити XSS атаки (по кліку на лінку). Як я перевірив (в різних версіях WP), у випадку другої уразливості зовсім немає XSS, там можлива лише редирекція на довільний сайт (по кліку на лінку).

• Wordpress is vulnerable to an unauthorized upgrade and XSS (деталі)