Websecurity - Веб безпека

У січні, 04.01.2008, я знайшов Insufficient Anti-automation уразливості на сайті http://www.google.com. А 18.03.2009 я знайшов нові Insufficient Anti-automation уразливість на сайті Гугла.

Раніше я вже писав про уразливості на www.google.com.

Insufficient Anti-automation:

http://www.google.com/safebrowsing/report_badware/
http://www.google.com/safebrowsing/report_phish/
http://www.google.com/safebrowsing/report_error/

На даних сторінках можливий обхід капчі (використовуючи напівавтоматизовний метод). Про дану уразливість в капчі Гугла я писав в записі MoBiC-05 Bonus: Google CAPTCHA bypass.

Insufficient Anti-automation:

http://www.google.com/tenthbirthday/how-i-use-google-submit.html

В даній формі немає захисту від автоматизованих запитів (капчі).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://balkon-info.at.ua (хакером jankiy3)
• http://maarek.org.ua (хакером jankiy3)
• http://naruta.at.ua (хакером jankiy3)
• http://ukrtexstandart.com.ua (хакером AsSerT)
• http://niam-niam.org.ua (хакером CybeR_945) - 31.10.2009, зараз сайт вже виправлений адмінами

В своїй презентації The Black Bag Security Review (VoIP Security), Dan York розповідає про безпеку VoIP. Він розглядає технологію Voice over IP в контексті безпеки.

В даній добірці уразливості в веб додатках:

• Cisco Intrusion Prevention System Jumbo Frame Denial of Service (деталі)
• Multiple Vulnerabilities in MapServer v5.2.1 and v4.10.3 (деталі)
• glFusion <= 1.1.2 COM_applyFilter()/order sql injection exploit (деталі)
• Family Connections 1.8.1 Multiple Remote Vulnerabilities (деталі)
• Community CMS 0.5 Multiple SQL Injection Vulnerabilities (деталі)
• Zabbix Multiple Frontend CSRF (Password reset & command execution) (деталі)
• JobHut <= 1.2 (pk) Remote Sql Injection Vulnerability (деталі)
• aspWebCalendar Free Edition bug (деталі)
• webEdition 6.0.0.4 Local File Inclusion (деталі)
• Secunia Research: Motion “read_client()” HTTP Request Buffer Overflow (деталі)

Федеральна прокуратура США розраховує стягнути з 26-літнього жителя Каліфорнії $1 мільйон за обман провайдера. Райан Харріс із Сан-Дієго обвинувачується в продажі програмних і апаратних засобів, призначених для одержання незаконного доступу до мереж Charter Communications та інших інтернет-провайдерів.

Суть злочинної схеми складалася в підробці MAC-адрес користувачів, що заплатили за широкополосний доступ. Згодом компанія Харріса TCNISO почала надавати й інші послуги, наприклад, розширення інтернет-каналу і засоби визначення MAC-адрес законослухняних користувачів. Згідно представленим в окружний суд матеріалам, з 2003 р. йому вдалося дістати прибуток на суму понад 1 мільйон доларів.

Крім надання безкоштовного доступу до мережі Інтернет, фірма TCNISO пропонувала клієнтам можливість анонімного веб-серфінга.

При цьому Харріс не намагався приховувати свою діяльність. Наприклад, на сайті його компанії був форум технічної підтримки, а сам зловмисник написав і продавав у Мережі книгу “Взлом кабельного модему”. Якщо Райана Харріса визнають винним по всім шести пунктам обвинувачення, він може провести у в’язниці до 20 років і виплатити компенсацію матеріального збитку в розмірі $1,5 мільйони.

По матеріалам http://ain.ua.

17.07.2009

У листопаді, 13.11.2008, я знайшов Cross-Site Scripting та Cross-Site Request Forgery уразливості на проекті http://fileshare.in.ua (файлообмінник та хостінг файлів). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на fileshare.in.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.11.2009

XSS (persistent):

POST запит на сторінці http://fileshare.in.ua/folder.aspx?create
<script>alert(document.cookie)</script>В полях: Название, Описание, Теги.

Раніше можна було використа даний варіант атаки. Зараз можна використати інший вектор атаки в полі Название (так як уразливість повністю не виправлена).

Окрім атаки на власника акаунта, даний код також спрацює при пошуку на сайті, тобто можна буде провести persistent XSS атаку на користувачів та відвідувачів сайта.

CSRF:

Через відсутність захисту від CSRF можна зробити POST запит до скрипта http://fileshare.in.ua/folder.aspx?create для проведення XSS атаки. На сайті взагалі немає захисту від CSRF в жодному функціоналі.

XSS (IE):

• alert(document.cookie)

Остання уразливість виправлена, але не повністю і при невеликій зміні атакуючого коду, знову працює.

XSS (Mozilla):

• alert(document.cookie)
• цікавий

Дані уразливості виправлені не повністю.

В даній добірці експлоіти в веб додатках:

• AGTC MyShop 3.2 Insecure Cookie Handling Vulnerability (деталі)
• Winn ASP Guestbook 1.01b Remote Database Disclosure Exploit (деталі)
• Million Dollar Text Links 1.0 Arbitrary Auth Bypass Vulnerability (деталі)
• PHP Site Lock 2.0 Insecure Cookie Handling Vulnerability (деталі)
• eLitius 1.0 Remote Command Execution Exploit (деталі)
• Qt quickteam Multiple Remote File Inclusion Vulnerabilities (деталі)
• BluSky CMS (news_id) Remote SQL Injection Vulnerability (деталі)
• Ublog access version Arbitrary Database Disclosure Exploit (деталі)
• Uguestbook 1.0b (guestbook.mdb) Arbitrary Database Disclosure Exploit (деталі)
• ProjectCMS 1.1b Multiple Remote Vulnerabilities (деталі)
• 32bit FTP (09.04.24) Banner Remote Buffer Overflow PoC (деталі)
• 32bit FTP (09.04.24) (CWD Response) Universal Seh Overwrite Exploit (деталі)
• Joomla Almond Classifieds 5.6.2 Blind SQL Injection Vuln (деталі)
• Download LinkBase 2.0 Remote Cookie Grabber Vulnerability (деталі)
• TemaTres 1.0.3 Remote Blind SQL Injection Exploit (деталі)

Нещодавно я додав підтримку LiqPAY на сайт. І тому окрім WebMoney також можна використати LiqPAY для оплати моїх продуктів та послуг. Через дану систему ви можете оплатити проведення аудиту безпеки вашого веб сайта чи веб додатка, а також замовити мій SEO метод та програми до нього.

Так що всі користувачі системи LiqPAY можуть скористатися даною можливістю.

Вивлена можливість обходу захисту в Google Chrome.

Уразливі версії: Google Chrome 3.0.

Не видається повідомлення про потенційну небезпеку деяких видів вмісту - файлів. mht, .mhtml, .svg та інших.

• Using Blended Browser Threats involving Chrome to steal files on your computer (деталі)

В даній добірці уразливості в веб додатках:

• HP OpenView Select Identity Connectors running on Windows, Local Information Disclosure (деталі)
• PHPizabi v0.848b C1 HFP1 proc.inc.php remote privilege escalation (php.ini independent) (деталі)
• New webcit packages fix potential remote code execution (деталі)
• ExpressionEngine Persistent Cross-Site Scripting (деталі)
• PHP Classifieds Cross-Site Scripting and File Upload Vulnerabilities (деталі)
• Sun M-class hardware denial of service (деталі)
• Aurora Nutritive Analysis Module Multiple XSS (деталі)
• Moodle: Sensitive File Disclosure (деталі)
• Novell Netstorage Multiple Vulnerabilities (деталі)
• Addonics NAS Adapter Post-Auth DoS (деталі)