Websecurity - Веб безпека

У березні, 17.03.2009, я знайшов Cross-Site Scripting уразливість на секюріті проекті http://md5.turhu.us. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://baza.in.ua (хакером Palyo34 з 1923Turk-Grup) - 31.10.2009, зараз сайт вже виправлений адмінами
• http://www.labprice.ua (хакерами з ParsiHacker Security Team) - 04.11.2009, зараз сайт вже виправлений адмінами
• http://tlumach.at.ua (хакером TH3_H4TTAB)
• http://www.portfo.com.ua (хакером ALFONSO) - 04.10.2009 - була похакана директорія сайта, зараз сайт вже виправлений адмінами
• http://dtc.dn.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта

Виявлена можливість несанкціонованого доступу через PHP.

Уразливі версії: PHP 4.4, PHP 5.1.

Зміни mbstring.func_overload в .htaccess застосовуються до всього серверу в цілому.

• Vulnerability in PHP (деталі)

В даній добірці уразливості в веб додатках:

• Cisco IOS Secure Shell Denial of Service (деталі)
• New mahara packages fix cross-site scripting (деталі)
• WeBid <= 0.7.3 RC9 Multiple Remote File Inclution Vulnerabilities (деталі)
• Aryanic HighCMS and HighPortal multiple Vulnerabilities (деталі)
• WebSVN: Multiple vulnerabilities (деталі)
• Technical Details of Security Issues Regarding Safari for Windows (деталі)
• Living CMS Cross-Site Scripting vulnerability (деталі)
• BLOG CMS Cross-Site Scripting vulnerability (деталі)
• A.CMS Multiple Vulnerabilities (деталі)
• Infopop UBB.Threads Admin Credentials via SQL Injection (деталі)

27.03.2009

У липні, 11.07.2008, я знайшов Insufficient Authorization, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://fileshare.in.ua (файлообмінник та хостінг файлів). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на fileshare.in.ua та нові уразливості на fileshare.in.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.11.2009

Insufficient Authorization:

http://fileshare.in.ua/748475?fedit

Можливе вільне редагування описів файлів.

Insufficient Anti-automation:

http://fileshare.in.ua/748475?fedit

Відсутній захист від автоматизованих запитів (капча).

XSS (persistent):

POST запит на сторінці http://fileshare.in.ua/748475?fedit
<script>alert(document.cookie)</script>В полях: Имя файла, Описание, Теги.

XSS:

• alert(document.cookie)

Дані уразливості вже виправлені. Але остання уразливість виправлена не повністю і при невеликій зміні атакуючого коду, знову працює.

XSS (Mozilla):

• alert(document.cookie)
• цікавий

В даній добірці експлоіти в веб додатках:

• Joomla Component rsmonials Remote Cross Site Scripting Exploit (деталі)
• WebPortal CMS 0.8b Multiple Remote/Local File Inclusion Vulnerabilities (деталі)
• 5 star Rating 1.2 (Auth Bypass) SQL Injection Vulnerability (деталі)
• elkagroup Image Gallery 1.0 Arbitrary File Upload Vulnerability (деталі)
• Dokeos LMS <= 1.8.5 (include) Remote Code Execution Exploit (деталі)
• Xitami Web Server <= 5.0 Remote Denial of Service Exploit (деталі)
• Femitter FTP Server 1.03 Arbitrary File Disclosure Exploit (деталі)
• FOWLCMS 1.1 (AB/LFI/SU) Multiple Remote Vulnerabilities (деталі)
• Zervit HTTP Server <= 0.3 (sockets++ crash) Remote Denial of Service (деталі)
• Dream FTP Server 1.02 (users.dat) Arbitrary File Disclosure Exploit (деталі)
• Home Web Server <= r1.7.1 (build 147) Gui Thread-Memory Corruption (деталі)
• Absolute Form Processor XE-V 1.5 Remote Change Pasword Exploit (деталі)
• Absolute Form Processor XE-V 1.5 Insecure Cookie Handling Vuln (деталі)
• Absolute Form Processor XE-V 1.5 (auth Bypass) SQL Injection Vuln (деталі)
• Pragyan CMS 2.6.4 Multiple SQL Injection Vulnerabilities (деталі)

У березні, 15.03.2009, я знайшов Full path disclosure та Cross-Site Scripting уразливості в плагіні WP-Cumulus для WordPress. Про що найближчим часом повідомлю розробникам.

Дірки я виявив на http://glaive.org.ua - сайті Glaive Security Group. І як я виявив нещодавно, хлопці явно зрозуміли, що не потрібно “страждати дірявістю” з дірявим WordPress та дірявими плагінами до нього, і прибрали WP зі свого сайта .

Full path disclosure:

http://site/wp-content/plugins/wp-cumulus/wp-cumulus.php

XSS:

http://site/wp-content/plugins/wp-cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/wp-content/plugins/wp-cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі WP-Cumulus 1.22 та попередні версії. В версії 1.23 розробником була виправлена XSS, але не HTML Injection.

Якщо в 2007 році пароль “123456″ був на другому місці, то в цьому році він вже на першому.

Західні інтернетчики, як і користувачі Рунету, не занадто напрягають себе придумуванням складних паролів. Такий висновок міститься в дослідженні фахівця з безпеки компанії Acunetix Богдана Каліна, що проаналізував украдені паролі Hotmail.

В минулому місяці понад 10 тисяч паролів користувачів @msn.com, @hotmail.com і @live.com були викрадені фішерами і викладені для публічного доступу на pastebin.com. Трохи згодом з’ясувалося, що крім сервісів Microsoft атаці піддалися також сервисы Gmail, Yahoo! та інші. Публікація дозволила фахівцям проаналізувати переваги західних користувачів при створенні паролів.

Виявилося, що більшість паролів можна було підібрати вручну. Так, найбільш розповсюдженим паролем (у 64 випадках з 9843) був “123456″. Трохи більш винахідливий пароль на другому місці по популярності - “123456789″. Також серед викрадених паролів було досить різних варіацій цього набору цифр (”1234567″ і “12345678″).

Пароль “iloveyou” виявився на 11-му місці по популярності, а на 4-му - “111111″. Багато західних користувачів в якості паролі вибирають імена (свої чи чужі), приміром , “alejandro”, “sebastian”, “roberto”, “alejandra”, “alberto”. Грунтуючись на цих даних, експерт припустив, що фішери, швидше за все, атакували латиноамериканців.

Відзначу, що ця аналітика, по суті, повторює схоже дослідження Webplanet.ru, що було проведено влітку, коли в Мережі з’явилися кілька десятків тисяч паролів до аккаунтів “ВКонтакте”. З’ясувалося, що користувачі Рунету також віддають перевагу нескладним паролям як то “qwerty” чи “123456″.

По матеріалам http://itua.info.

Виявлена можливість обходу захисту в pdflib для PHP.

Уразливі версії: PHP 5.3.

Функція pdf_open_file не перевіряє відповідність шляху, що відкривається і open_basedir.

• Php 5.3.0 pdflib extension open_basedir bypass (деталі)

В даній добірці уразливості в веб додатках:

• ntop <= 3.3.10 Basic Authentication Null Pointer Denial of Service (деталі)
• Blogsa <= 1.0 Beta 3 XSS Vulnerability (деталі)
• Zabbix 1.6.2 Frontend Multiple Vulnerabilities (деталі)
• BlindBlog 1.3.1 Multiple Vulnerabilities (SQL Inj - Auth Bypass - LFI) (деталі)
• NovaBoard <= 1.0.1 / XSS Vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code, Denial of Service (DoS) (деталі)
• TikiWiki 2.2 XSS Vulnerability in URI (деталі)
• Trellis Desk v1.0 XSS Vulnerability (деталі)
• NextApp Echo XML Injection Vulnerability (деталі)
• Sun Java System Communications Express [HTML Injection] (деталі)