Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Safari RSS feed:// Buffer Overflow via libxml2 Exploit PoC (деталі)
• RoomPHPlanning 1.6 Multiple Remote Vulnerabilities (деталі)
• Dokuwiki 2009-02-14 Remote/Temporary File Inclusion exploit (деталі)
• Joomla Component Com_Agora 3.0.0 RC1 Remote File Upload Vulnerability (деталі)
• WebMember 1.0 (formID) Remote SQL Injection Vulnerability (деталі)
• ZeeCareers 2.0 (addadminmembercode.php) Add Admin Exploit (деталі)
• phpBugTracker 1.0.3 (Auth Bypass) SQL Injection Vulnerability (деталі)
• ShaadiClone 2.0 (addadminmembercode.php) Add Admin Exploit (деталі)
• Million Dollar Text Links 1.x Insecure Cookie Handling Vulnerability (деталі)
• Easy Px 41 CMS v09.00.00B1 (fiche) Local File Inclusion Vulnerability (деталі)
• Joomla Component AgoraGroup 0.3.5.3 Blind SQL Injection Vulnerability (деталі)
• Evernew Free Joke Script 1.2 (cat_id) Remote SQL Injection Vulnerability (деталі)
• SiteX <= 0.7.4.418 (THEME_FOLDER) Local File Inclusion Vulnerabilities (деталі)
• AdPeeps 8.5d1 XSS and HTML Injection Vulnerabilities (деталі)
• Geeklog <= 1.5.2 savepreferences()/*blocks[] remote sql injection exploit (деталі)

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

І особливо це актуально, якщо дані e-commerce сайти працюють з кредитними картками (в такому випадку вимоги до безпеки повинні бути достатньо високими, зокрема такі сайти повинні відповідати стандарту PCI DSS). Тим паче, що користувачі готові більше платити за безпеку. Як зазначається в результатах даного дослідження, користувачі готові платити більше за товари, придбані в онлайні, якщо продавці демонструють, що можуть забезпечити кращий захист конфіденційних даних клієнтів.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних онлайн магазинах та аукціонах (в основному українських, а також декількох російських та на eBay):

• www.xshop.com.ua
• auction.ua
• www.complex.lviv.ua
• bezpeka-shop.com
• mister-rich.com
• www.rozetka.com.ua
• ebay.com
• esmi.subscribe.ru
• www.cddoma.com.ua
• aukcion.ua та auction.ua
• auction.meta.ua
• www.audiobooks.com.ua
• www.oplata.info
• tvshop.com.ua
• www.rozetka.com.ua
• matrix.ua
• www.sprinter.ru
• viland.ua
• www.officepro.com.ua

Також я писав про уразливості в обмінниках веб грошей:

• www.allmoney.com.ua
• www.wm-exchanger.com
• onlinechange.com
• exchengine.ru
• www.popolni.com.ua

Також я писав про уразливості на сайтах електронних платіжних систем:

• PayPal
• CyberPlat
• WebMoney (а нещодавно знайшов нову уразливість на сайті системи WebMoney)

Також я писав про уразливості в движках магазинів:

• osCommerce
• Cetera eCommerce

Так що українським e-commerce сайтам є куди покращувати свою безпеку.

За повідомленням hackua.com, Служба безпеки України заблокувала роботу одного з популярних пошуковців у мережі Usenet - Newzleech. Відповідне оголошення залишили на непрацюючому сайті власники ресурсу.

Newzleech припинив працювати декілька тижнів тому. Як повідомляється, 19 листопада співробітники СБУ в Дніпропетровську вилучили сервери у найбільшого місцевого провайдера ColoCall, послугами якого користувався і Newzleech.

За офіційними даними СБУ, раніше в Дніпропетровську було порушено кримінальну справу за фактом несанкціонованого збуту і поширення інформації з обмеженим доступом одним з кабельних інтернет-провайдерів регіону.

У рамках розслідування за постановою суду СБУ провела обшуки в ColoCall. Під час огляду на серверному устаткуванні були виявлені бази даних державних установ, які містять інформацію з обмеженим доступом і є власністю держави, - більше мільйона зразків комп’ютерних програм, фонограм і відеофільмів, які поширювалися з порушенням авторських прав. Серверне устаткування, на якому розміщувалися інформаційні ресурси, було вилучене для проведення технічного дослідження і оцінки.

В результаті дій СБУ постраждали і багато інших клієнтів ColoCall, що викликало хвилю обурення і скарг до уряду. Варто зауважити, що зокрема послугами провайдера користувався один з найбільших торент-трекерів у світі Demonoid. Власники Newzleech повідомили, що планують відновити роботу ресурсу до кінця року.

P.S.

Ось так, через дії СБУ, постраждали зовсім невинні люди та їх проекти, в тому числі іноземні, що хостилися в Україні. Про які інвестиції з закордону може йти мова, коли у нас спецслужби створюють несприятливе інвестиційне середовище. З незаконними поширенням інформації з обмеженим доступом ясна річ треба боротися, але при цьому не створювати проблеми невинним людям (тобто сервери вже давно треба було перевірити і повернути).

В даній добірці уразливості в веб додатках:

• Motorola Timbuktu’s Internet Locator Service real-time data exposed to public (деталі)
• FOWLCMS 1.1 Multiple Remote Vulnerabilities (деталі)
• SAP Cfolders Multiple Linked XSS Vulnerabilities (деталі)
• SAP Cfolders Multiple Stored XSS Vulnerabilies (деталі)
• HTTP Response Splitting vulnerability in Sun Delegated Administrator (деталі)
• MixedCMS 1.0 Multiple Remote Vulnerabilities (деталі)
• New mahara packages fix cross-site scripting (деталі)
• Telecom Italia Alice Pirelli routers backdoor discoverd to activate telnet/ftp/tftp from internal LAN/WLAN (деталі)
• REMOTE SQL INJECTION (SQLi) VULNERABILITY Photo-Rigma.BiZ v30 (деталі)
• Pragyan CMS 2.6.4 Multiple SQL Injection Vulnerabilities (деталі)

Федеральний уряд Австралії в місцевому Національному університеті Канберрі провів у листопаді 24-годинне комп’ютерне змагання GovHack, у рамках якого кілька сотень веб-програмістів і комп’ютерних експертів повинні були “добути дані з будь-яких реально працюючих урядових серверів”.

За словами керівника оргкомітету Джона Оллсоппа, GovHack став першим подібним заходом, де атакувати дозволено не тільки деякі тестові сервери і технології, але саме працюючі системи. “Уряд розраховує зібрати за підсумками GovHack великий обсяг даних, що у майбутньому допоможе краще захистити урядові інформаційні ресурси”, - говорить він.

Оллсопп відзначив, що всі дані, що збираються, цілком конфіденційні, а хакерам, яким може вдасться проникнути в закриті системи, за вчинене нічого не загрожує. Організатори відзначають, що зібрані дані також послужать основою для майбутніх урядових систем сканування державних мереж.

По матеріалам http://ain.ua.

P.S.

Один день в році уряд Австралії дозволив місцевим хакерам перевірити безпеку власних сайтів, а на протязі 365 днів року їх сайти атакуються зовнішніми хакерами, і їм також за це нічого не загрожує . Варто було збирати і аналізувати дані всіх цих атак, що відбуваються на протязі року (а не лише під час акції).

Наприклад, в Україні уряд подібніх заходів не проводить. Але на протязі року, без жодних переживань з цього приводу, іноземні, а іноді й місцеві хакери взламують сайти державної влади.

Про взломані в цьому році gov.ua сайти я писав в своєму звіті про хакерську активність в Уанеті в 1 півріччі 2009, і про нові випадки згадаю у звіті за друге півріччя.

29.07.2009

У грудні, 05.12.2008, я знайшов Cross-Site Scripting уразливості на проекті http://tabloid.pravda.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно проекту ТаблоID раніше я вже писав про уразливість на tabloid.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.12.2009

XSS:

• alert(document.cookie)
• alert(document.cookie) - ще один приклад XSS на 404 сторінці

Дані уразливості вже виправлені. Тільки варто не забувати дякувати людям, що дбають про безпеку вашого сайта, як це має місце у випадку Таблоіда (що цього разу, що попереднього).

В даній добірці експлоіти в веб додатках:

• ZaoCMS (user_id) Remote SQL Injection Vulnerability (деталі)
• phpWebFileManager 1.11 Multiple Remote Vulnerabilities (деталі)
• Mole Group Restaurant Directory Script 3.0 Change Admin Pass Vuln (деталі)
• Mole Group Sky Hunter/Bus Ticket Scripts Change Admin Pass Exploit (деталі)
• ZaoCMS (PhpCommander) Arbitary Remote File Upload Vulnerability (деталі)
• ZaoCMS (user_updated.php) Remote Change Password Exploit (деталі)
• Dokuwiki 2009-02-14 Local File Inclusion Vulnerability (деталі)
• Joomla Boy Scout Advancement 0.3 (id) SQL Injection Exploit (деталі)
• MiniTwitter 0.3-Beta (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Flash Image Gallery 1.1 Arbitrary Config File Disclosure Vulnerability (деталі)
• MyForum 1.3 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Kensei Board <= 2.0.0b Multiple SQL Injection Vulnerabilities (деталі)
• Joomla Component com_rsgallery2 1.14.x/2.x Remote Backdoor Vuln (деталі)
• Flax Article Manager 1.1 (Cookie Bypass) SQL Injection Vulnerability (деталі)
• Geeklog <=1.5.2 SEC_authenticate()/PHP_AUTH_USER sql injection exploit (деталі)

Продовжуючи розпочату традицію, після попереднього відео про хак голосового VLAN, пропоную новий відео секюріті мануал. Цього разу відео про створення експоіта в Metasploit. Рекомендую подивитися всім хто цікавиться цією темою.

milw0rm exploit 2 metasploit

В даному відео ролику демонструється використання Metasploit Framework для створення експлоіта (використовуючи дані з іншого експлоіта). Зокрема демонструється процес використання MSF-eXploit Builder, що є складовою Metasploit Framework. Рекомендую подивитися дане відео для розуміння інструментарія середовища MSF.

Ще в серпні компанія IBResource повідомила про запуск Антиспам сервісу. Як заявляють розробники, це перший в Рунеті Антиспам сервіс для форумів.

Вони не зупинился на минулорічних покращеннях системи захисту від спаму і вирішили запропонувати новий сервіс для більшої протидиї спамерам.

Сервіс Антиспама являє собою комплекс заходів для визначення і блокування користувачів-спамерів. Частина даного комплексу вбудована у форум, а інша реалізована у вигляді окремого зовнішнього сервісу. Він обробляє всі дані про реєстрації на форумах клієнтів і на основі власної бази, робить висновок про можливу спам-реєстрацію. Відповідно, чим більше клієнтів використовує сервіс, тим ефективніше він працює і тим більше захищені самі форуми від спамерів.

• Антиспам сервис (деталі)

Сервіс працює з форумами IPB 2.3.6 та 3.x. Але розробники заявляють, що можуть надати необхідну інформацію по роботі сервіса для власників інших форумних движків.

В даній добірці уразливості в веб додатках:

• Authentication Bypass in Cisco Unity (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Creasito e-commerce content manager Authentication Bypass (деталі)
• FunGamez Multiple Remote Vulnerabilities SQLi (INSECURE-COOKIE-HANDLING) LFI (деталі)
• WysGui CMS 1.2 BETA (Insecure Cookie Handling) Blind sql injection exploit (деталі)
• Sungard Banner System XSS (деталі)
• Multi-lingual E-Commerce System 0.2 Multiple Remote Vulnerabilities (деталі)
• CLAN TIGER CMS 1.1.1 (AUTH BYPASS) SQL-INJECTION (деталі)
• LittleCMS: Multiple vulnerabilities (деталі)
• HP Deskjet 6800 XSS in Web Interface (деталі)