Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://superconnection.tv (хакером NuriBaba) - 01.01.2010, зараз сайт заблоковано
• http://www.carillon.kiev.ua (хакером SALDIRAY) - 17.12.2009, зараз сайт вже виправлений адмінамий
• http://4life.org.ua (хакером Th3 M4RoC4in GhOsT) - 29.12.2009, зараз сайт не працює
• http://22usd.4life.org.ua (хакером Th3 M4RoC4in GhOsT) - 29.12.2009, взломаний піддомен сайта 4life.org.ua
• http://bugtrack.begger.org (хакерами holocaust і BlackCAT)

У грудні, 17.12.2009, вийшов PHP 5.2.12. В якому виправлено більше 60 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.12:

• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Доданий захист для $_SESSION проти пошкоджень і покращена перевірка “session.save_path”.
• Виправлений баг #49785 (недостатня перевірка вхідного рядка в htmlspecialchars()).

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• Alcatel-Lucent OmniSwitch products, Stack Buffer Overflow (деталі)
• New drupal6 packages fix insufficient input sanitising (деталі)
• (Post Form –> ‘cc’) Blind (SQLi) EXPLOIT Online Grades & Attendance <= v3.2.6 (деталі)
• MULTIPLE LOCAL FILE INCLUSION VULNERABILITIES Online Grades & Attendance <= v3.2.6 (деталі)
• Nokia 6131 NFC URI/URL Spoofing and DoS Advisory (деталі)
• moziloCMS 1.11.1 - XSS Vulnerability (деталі)
• LightNEasy 2.2.2 - HTML Injection Vulnerability (деталі)
• SiteCore.NET 6.0.0 - XSS Vulnerability (деталі)
• Geeklog 1.5 - Pre-Installation Vulnerabilities (деталі)
• Flatnux 2009-03-27 - XSS Vulnerabilities + More (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://kpi.ua - інфекція була виявлена 12.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://www.i.com.ua/~prophesy - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://victoria-company.dp.ua - інфекція була виявлена 27.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kr-soft-portal.at.ua - інфекція була виявлена 03.01.2010. Зараз сайт входить до переліку підозрілих.
• http://khmilnuk.com.ua - інфекція була виявлена 15.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• TekBase All-in-One 3.1 Multiple SQL Injection Vulnerabilities (деталі)
• CMS Buzz (XSS/PC/HI) Multiple Remote Vulnerabilities (деталі)
• MIDAS 1.43 (Auth Bypass) Insecure Cookie Handling Vulnerability (деталі)
• AWScripts Gallery Search Engine 1.x Insecure Cookie Vulnerability (деталі)
• Elgg (XSS/CSRF/Change Password) Multiple Remote Vulnerabilities (деталі)
• pmaPWN! - phpMyAdmin Code Injection RCE Scanner & Exploit (деталі)
• phpDatingClub 3.7 Remote SQL/XSS Injection Vulnerabilities (деталі)
• pc4 Uploader <= 10.0 Remote File Disclosure Vulnerability (деталі)
• MyBB <= 1.4.6 Remote Code Execution Exploit (деталі)
• TinyWebGallery <= 1.7.6 LFI / Remote Code Execution Exploit (деталі)

Перший запис в новому 2010 році я присвячу одній важливій події. Як повідомив Robert Auger в листі до розсилки - WASC Announcement: WASC Threat Classification v2.0 Published - вийшла WASC Threat Classification v2.0. Це друга версія класифікації загроз (TC) WASC.

В своїй діяльності ще з 2006 року я використовую WASC TC (першу версію). В тому числі мій перелік класів уразливостей для аудиту безпеки базується на класифікації Web Application Security Consortium.

Вихід WASC TC v2.0 на початку року можна вважати новорічним подарунком для всіх професіоналів веб безпеки . Більш детально про першу і другу версію WASC TC я розповів в окремих публікаціях.