Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://casinoalmaz.com (хакером milano) - 28.09.2009, зараз сайт вже виправлений адмінами
• http://www.onko.kiev.ua (хакером Bejamz) - 07.10.2009, зараз сайт вже виправлений адмінами
• http://globalannex.com (хакерами з KTN)
• http://ua-hack.com (хакером AyMaN Opel) - 09.10.2009 - хакерський сайт був похаканий , зараз сайт вже виправлений адмінами
• http://smagin.com.ua (хакером Dietime)

Компанією Visa опубліковані рекомендації із шифрування так званих “полів даних” (здійснення наскрізного шифрування). Текст рекомендацій містить ряд порад, що допомагають захистити термінали від взлому, зокрема використовувати довгі криптографічні ключі. Крім того, Visa призиває власників карт завжди шифрувати дані.

Шифруванням полів даних передбачається використання методів, що забезпечують передачу інформації про банківську карту прямо з клієнтського пристрою в пристрій, що займається обробкою зашифрованої інформації. Даний підхід повинний забезпечувати дотримання діючих стандартів безпеки PCI DSS. Нові рекомендації вимагають, щоб важлива аутентифікаційна інформація (така як, номера PIN чи CVV2) використовувалася лише при авторизації, не зберігаючись в комп’ютері торгової точки.

Варто відмітити, що систему стандартів у цій сфері лише почали розробляти, але компанія Visa намагається знайти способи, що стимулюють усіх зайнятих у торгівлі бізнесменів переходити на них. Зробити це можливо через зниження зборів за процесінгові послуги самим свідомим, а також накладення штрафів на тих, що допускають витік секретних відомостей.

По матеріалам http://itua.info.

В даній добірці експлоіти в веб додатках:

• DirectAdmin <= 1.33.1 Symlink Permission Bypass Vuln (untested) (деталі)
• WeBid 0.7.3 RC9 (upldgallery.php) Remote File Upload Vulnerability (деталі)
• PHPizabi v0.848b C1 HFP1-3 Remote Arbitrary File Upload Exploit (деталі)
• blogplus 1.0 Multiple Local File Inclusion Vulnerabilities (деталі)
• PhotoStand 1.2.0 Remote Command Execution Exploit (деталі)
• Acute Control Panel 1.0.0 (SQL/RFI) Multiple Remote Vulnerabilities (деталі)
• XM Easy Personal FTP Server <= 5.7.0 (NLST) DoS Exploit (деталі)
• Free PHP Petition Signing Script (Auth Bypass) SQL Injection Vuln (деталі)
• Simply Classified 0.2 (category_id) SQL Injection Vulnerability (деталі)
• Arcadwy Arcade Script (username) Static XSS Vulnerability (деталі)
• Moodle < 1.6.9/1.7.7/1.8.9/1.9.5 File Disclosure Vulnerability (деталі)
• My Simple Forum 7.1 (LFI) Remote Command Execution Exploit (деталі)
• glFusion <= 1.1.2 COM_applyFilter()/order SQL Injection Exploit (деталі)
• Arcadwy Arcade Script (Auth Bypass) Insecure Cookie Handling Vuln (деталі)
• iWare CMS 5.0.4 Multiple Remote SQL Injection Vulnerabilities (деталі)

Як повідомляли онлайн ЗМІ у вересні, 02.09.2009, були взломані сайти Арсенія Яценюка http://www.front-zmin.org і http://www.arseniy.org. Сайти були атаковані хакерами з Ukrainian Hackers Team, які розмістили свої побажання (в дещо грубій формі) Арсенію Яценюку. І як я писав нещодавно, з цих подій почалася кібервійна в Україні між політичними силами в зв’язку з майбутніми президентськими виборами.

Після даних інцидентів, Арсеній Яценюк висловив подяку хакерам за безкоштовне тестування його сайтів на уразливості. Що є не більше ніж піар на власних дірявих сайтах. Подібна дірявість сайтів і несерйозне відношення до їх безпеки, не робить честі ні Яценюку, ні іншим політичним силам, ні жодному з кандидатів у президенти, чиї сайти були взломані.

У жовтні хакерська група FRONT ZMIN h4ck t34m, учасники якої називають себе прихильниками Арсенія Яценюка, провела акт помсти за взломи сайтів Яценюка. В результаті їх діяльності були взломами сайти Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.

P.S.

Що взломи сайтів Яценюка, що взломи сайтів інших політичних сил дуже нагадують цирк. Це більше схоже на комедію, а не на кібервійну . І ця комедія буде тривати аж до закінчення президентської компанії.

В статті Защита сайта с помощью .htaccess и .htpasswd розповідається про захист сайта за допомогою .htaccess і .htpasswd на веб сервері Apache.

Використання вбудованих механізмів захисту інформації веб сервера Apache дозволяє просто і достатньо надійно захистити необхідні ресурси веб сайта. Дані механізми можуть застосовуватися для обмеження доступу до файлів або директорій.

В даній статті розповідається про файли .htaccess і .htpasswd та процес їх створення. Всі приклади використовують базову (basic) аутентифікацію.

В даній добірці уразливості в веб додатках:

• Symantec Altiris Deployment Solution SQL Injection Vulnerability (деталі)
• Symantec Altiris Deployment Solution Domain Credential Disclosure Vulnerability (деталі)
• php-nuke 8.0 module sections artid blind sql inj vuln (деталі)
• Megacubo 5.0.7 (mega://) remote eval() injection exploit (деталі)
• BitDefender Internet Security XSS (деталі)
• SolucionWeb (main.php?id_area) Remote SQL injection Vulnerability (деталі)
• PollPro 3.0 XSRF VuLn (деталі)
• Plunet BusinessManager failure in access controls and multiple stored cross site scripting (деталі)
• PHP-Fusion Mod vArcade 1.8 Sql Injection Vulnerability (деталі)
• PHP-Fusion Mod E-Cart Sql Injection (деталі)

Виявлена можливість виконання коду в Google Chrome через Internet Explorer.

Уразливі версії: Google Chrome 2.0.

Впровадження команд в URI googleapps.url.mailto://.

• google apps googleapps.url.mailto:// uri handler cross-browser remote command execution exploit (IE) (деталі)

17.06.2009

У квітні, 10.04.2008, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості, а 13.06.2009 ще Information Leakage уразливість на http://www.applicure.com - сайті секюріті компанії Applicure, виробника WAF DotDefender. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.10.2009

Insufficient Anti-automation:

http://www.applicure.com/?page=monitorRegister

У формі був відсутній захист від автоматизованих запитів (капча).

XSS:

http://www.applicure.com/unMail.php?e=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL Injection:

http://www.applicure.com/unMail.php?e=’%20or%201=’1

Information Leakage:

http://www.applicure.com/CHANGELOG.txt

Попередні уразливості були виправлені шляхом заміни движка на Drupal. А остання уразливість так досі й не була виправлена.

В даній добірці експлоіти в веб додатках:

• Gigaset SE461 WiMAX router Remote Denial of Service Vulns (деталі)
• X-BLC 0.2.0 (get_read.php section) SQL Injection Vulnerability (деталі)
• Syzygy CMS 0.3 LFI/SQL Command Injection Exploit (деталі)
• Telnet-Ftp Service Server v1.x Multiple Vulnerabilities (post auth) (деталі)
• Codice CMS 2 Remote SQL Command Execution Exploit (деталі)
• Pluck CMS 4.6.1 (module_pages_site.php post) LFI Exploit (деталі)
• Rittal CMC-TC Processing Unit II Multiple Vulnerabilities (деталі)
• PHPizabi v0.848b C1 HFP1-3 Remote Command Execution Exploit (деталі)
• Free Arcade Script 1.0 Auth Bypass (SQL) / Upload Shell Vulnerabilities (деталі)
• IncrediMail 5.86 (XSS) Script Execution Exploit (деталі)
• Femitter FTP Server 1.x Multiple Vulnerabilities (post auth) (деталі)
• SurfMyTV Script 1.0 (view.php id) SQL Injection Vulnerability (деталі)
• PHPizabi v0.848b C1 HFP1 Remote Privilege Escalation Vulnerability (деталі)
• Jinzora Media Jukebox <= 2.8 (name) Local File Inclusion Vulnerability (деталі)
• Joomla Component mdigg 2.2.8 Blind SQL Injection Exploit (деталі)

У січні, 16.01.2009, я знайшов Cross-Site Scripting уразливість, а 06.04.2009 ще Command Execution уразливість в CMS SiteLogic. Це українська комерційна CMS. Уразливості виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS SiteLogic.

XSS:

http://site/?mid=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Command Execution:

Можливе завантаження довільних файлів (shell upload) через модуль “Банерна система” в адмінці.