Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про просунутий SQL Injection в Joomla, пропоную новий відео секюріті мануал. Цього разу відео про XSS та HTML Injection атаки в ICQ. Рекомендую подивитися всім хто цікавиться цією темою.

ICQ 6 HTML EXECUTION AND CRASH

В даному відео ролику демонструється проведення HTML Injection атаки в ICQ 6. Враховуючи, що ICQ 6 використовує движок Internet Explorer, можна проводити XSS та HTML Injection атаки, в тому числі використовуючі уразливості в IE для виконання коду та DoS атак.

Використання движків браузерів, зокрема IE, в інших додатках, створює умови для проводення Cross-Application Code Execution (тобто Cross-Application Scripting) та Cross-Application DoS атак. Рекомендую подивитися дане відео для розуміння векторів міжпрограмних атак та небезпеки подібних уразливостей.

Виявлена можливість ін’єкції SQL в Pygresql, Mysql-ocaml та Postgresql-ocaml.

Уразливі продукти: Pygresql 4.0, Mysql-ocaml 1.0, Postgresql-ocaml 1.7.

Не викликаються функції нормалізації тексту для багатобайтних кодових сторінок.

• New pygresql packages provide secure escaping (деталі)

В даній добірці уразливості в веб додатках:

• Fujitsu-Siemens WebTransactions remote command injection vulnerability (деталі)
• phpList <= 2.10.8 Local File inclusion (деталі)
• Amaya (URL Bar) Remote Stack Overflow Vulnerability (деталі)
• Amaya (id) Remote Stack Overflow Vulnerability (деталі)
• Authentication bypass in Interspire Shopping Cart v4.0.1 and below (деталі)
• Orb Denial of Service (деталі)
• MoinMoin Wiki Engine XSS Vulnerability (деталі)
• Cybershade CMS Remote File include vulnerability (деталі)
• Cross-site scripting (XSS) vulnerabilities in Apache Jackrabbit (деталі)
• 53KF Web IM 2009 Cross-Site Scripting Vulnerabilities (деталі)

Компанія Mozilla представила сервіс, що перевіряє плагіни для браузера Firefox на сумісність і відсутність відомих уразливостей.

Сервіс стартував у вівторок на веб сторінці, де 15 плагінів для Firefox перевіряються на наявність самих останніх версій. Згодом розробники Mozilla планують додавати нові плагини, а також впровадити в Firefox 3.6 функцію, що дозволяє визначати, версії яких плагінів, що використовуються на поточній сторінці, вже застаріли.

Нова розробка заснована на представленій минулого місяця функції, що повідомляє користувачів Firefox про те, що вони використовують небезпечну версію плагіна Adobe Flash, що часто піддається атакам. По статистиці Mozilla, більше половини користувачів, що встановили нову версію браузера, використовували застарілий варіант цього плагіна.

По матеріалам http://www.xakep.ru.

02.09.2009

У січні, 19.01.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості в компоненті ALFcontact (com_alfcontact) для Joomla. Це форма відправки повідомлень власнику сайта. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

16.10.2009

Insufficient Anti-automation:

http://site/option,com_alfcontact/

На сторінці контактів немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/option,com_alfcontact/

Опція “Send copy to own email address” на сторінці контактів дозволяє розсилати спам з сайта.

Уразливі різні версії ALFcontact. До першої дірки уразливі старі версії, до ALFcontact 1.8 в якій з’явилася капча (у випадку якщо вона активована), а до другої дірки вразливі всі версії.

Розробник ALFcontact для Joomla пообіцяв виправити дані та інші уразливості в даному компоненті.

В даній добірці експлоіти в веб додатках:

• Diskos CMS Manager (SQL/DB/Auth Bypass) Multiple Vulnerabilities (деталі)
• BandSite CMS 1.1.4 (members.php memid) SQL Injection Vulnerability (деталі)
• Sami HTTP Server 2.x (HEAD) Remote Denial of Service Exploit (деталі)
• Check Point Firewall-1 PKI Web Service HTTP Header Remote Overflow (деталі)
• Amaya 11.1 W3C Editor/Browser (defer) Stack Overflow PoC (деталі)
• Gravy Media CMS 1.07 Multiple Remote Vulnerabilities (деталі)
• NOKIA Siemens FlexiISN 3.1 Multiple Auth Bypass Vulnerabilities (деталі)
• X-Forum 0.6.2 Remote Command Execution Exploit (деталі)
• JobHut <= 1.2 (pk) Remote SQL Injection Vulnerability (деталі)
• Family Connection 1.8.1 Multiple Remote Vulnerabilities (деталі)
• Amaya 11.1 W3C Editor/Browser (defer) Stack Overflow Exploit (деталі)
• Community CMS 0.5 Multiple SQL Injection Vulnerabilities (деталі)
• Podcast Generator <= 1.1 Remote Code Execution Exploit (деталі)
• VirtueMart <= 1.1.2 Remote SQL Injection Exploit (meta) (деталі)
• Comersus Shopping Cart <= v6 Remote User Pass Exploit (деталі)

05.09.2009

Нещодавно я писав про переповнення стека в Microsoft IIS 5.0 та 6.0. Після якої була виявлена нова уразливість в IIS.

Вчора була виявлена Denial of Service уразливість у вбудованому FTP сервері в Microsoft IIS. Для даної уразливості був розроблений експлоіт.

Уразливі версії: Microsoft IIS 5.0, IIS 6.0.

• Microsoft IIS 5.0/6.0 FTP Server (Stack Exhaustion) Denial of Service (деталі)

15.10.2009

Додаткова інформація.

• Important Vulnerabilities in FTP Service for Internet Information Services Could Allow Remote Code Execution (975254) (деталі)
• Microsoft Internet Information Server ftpd zeroday (деталі)

Компанія Google розробила нову функцію, що надає веб-майстрам скомпрометованих ресурсів зразки шкідливого коду й іншу деталізовану інформацію, що дозволяє позбутися інфекції.

Пошуковий гігант уже довгий час сканує сторінки Всесвітньої павутини, що він індексує, на наявність шкідливих програм. У випадку їхнього виявлення він вставляє попередження про це в результати пошуку. Крім того, дана інформація надходить у браузери Google Chrome, Mozilla Firefox і Apple Safari, що повідомляють своїх користувачів про наявність загрози зараження ще більш наполегливо. Крім цього, списки інфікованих сторінок відправляються адміністраторам сайтів, щоб вони змогли ужити відповідних заходів.

Тепер Google починає постачати веб-майстрам ще більш детальну інформацію, надаючи їм зразки шкідливого коду, що хакери використовують для впровадження у веб-сторінки. Іноді новий сервіс дозволяє навіть виявити першопричину зараження. Адміністратори скомпрометованих сайтів будуть одержувати інформацію автоматично після авторизації в Google Webmaster Tools.

В останні роки результати різних досліджень свідчать про те, що джерелом зараження більшістю шкідливих програм є цілком законні сайти, що були взломані. Тому можливість вивчити небезпечні JavaScript, HTML-код і експлоіти для Adobe Flash разом з точною вказівкою місця їхнього впровадження важко переоцінити.

По матеріалам http://www.xakep.ru.

В даній добірці уразливості в веб додатках:

• Security flaw in Airtel DSL modems (деталі)
• PHP-Fusion Mod Members Bewerb Sql Injection (деталі)
• Cisco Secure ACS EAP Parsing Vulnerability (деталі)
• Cisco Secure ACS Denial Of Service Vulnerability (деталі)
• Comersus Shopping Cart <= v6 Remote User Pass Exploit (деталі)
• Visuplay CMS SQL injection vulnerability (деталі)
• AktifKobi Kurumsal Web Sql Injection Vulnerability (Tr) (деталі)
• Vulnerabilities in Active Bids (деталі)
• DMXReady Blog Manager (SQL/XSS) (деталі)
• Multiple Vulnerabilities in MKPortal <= 1.2.1 (деталі)

У лютому, 16.02.2009, я знайшов Cross-Site Scripting уразливість на проекті http://moemesto.ru (це сервіс онлайн закладок). Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий