Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Arab Portal <= 2.2 (mod.php module) Local File Inclusion Vulnerability (деталі)
• Multi Website 1.5 (index php action) SQL Injection Vulnerability (деталі)
• Elvin BTS 1.2.2 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Questions Answered 1.3 (Auth Bypass) Remote SQL Injection Vuln (деталі)
• x10 Media Adult Script 1.7 Multiple Remote Vulnerabilities (деталі)
• Miniweb 2.0 Module Survey Pro (bSQL/XSS) Multiple Vulnerabilities (деталі)
• Miniweb 2.0 Module Publisher (bSQL-XSS) Multiple Vulnerabilities (деталі)
• MAXcms 3.11.20b RFI / File Disclosure Vulnerabilities (деталі)
• Discloser 0.0.4-rc2 (index.php more) SQL Injection Vulnerability (деталі)
• Netsurf 1.2 ‘hspace’ Remote Integer Overflow PoC Exploit (деталі)

У липні, 26.07.2009, досліджуючи експлоіт для DoS уразливоті в findText в IE7 та IE8 (розроблений Hong10), я виявив, що даний експлоіт також працює в IE6. Тобто це Denial of Service уразливість в Microsoft Internet Explorer 6, 7 і 8.

DoS:

IE DoS Exploit.html

При запуску експлоіта браузер вилітає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. А також, за повідомленням автора, IE7 та IE8.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2009 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2009 по 30.06.2009, а в звіті Хакерська активність в Уанеті в 2 півріччі 2009 - дані за період з 01.07.2009 по 31.12.2009.

За весь 2009 рік в Уанеті була проведена 273 атака на веб сайти - 129 за перше півріччя і 144 за друге. Для порівняння, за весь 2008 рік було зафіксовано всього 151 атака на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою. Як видно активність хакерів все більш помітна і вона продовжує щороку зростати.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2009 активність більша на 360% в порівнянні з аналогічним періодом 2008 року, а за друге півріччя 2009 - на 17,1% більше за аналогічний період 2008 року (і на 11,6% більше за перше півріччя 2009 року). А в цілому в 2009 році активність зросла на 80,8% порівняно з 2008 роком - зростання в 1,81 рази.

В 2009 році загалом було атаковано 273 веб ресурси (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 67 сайтів, які вірогідно були похакані в 2009 році.

Головні тенденції 2009 року в діяльності хакерів в Уанеті:

• Хакерська активність значно зросла - на 80,8% порівняно з 2008 роком (збільшення динаміки у 1,81 рази).
• Все більше сайтів в Уанеті заражуються вірусами: в 2008 я виявив 4 інфікованих сайти, в 2009 - вже 67 сайтів.
• Кількість DDoS атак на сайти така сама як і в 2008 році - 7 випадків DDoS атак за рік. Це 2,6% від всіх атак за 2009 рік.
• Атаковані 7 державних сайтів (6 gov.ua-сайтів та сайт Укртелекома) та інфіковано ще 5 gov.ua-сайтів.
• Під час передвиборчої компанії було взломано 7 сайтів політичних партій.

Рейтинг хакерів за рік (TOP-5):

1. хакери з Azerbaijan Attacker Team (за взлом 12 сайтів)
2. хакери з ISLAMIC GHOSTS TEAM (за взлом 9 сайтів)
3. хакери з 1923TurK-Grup (за взлом 8 сайтів)
4. хакер AsSerT (за взлом 8 сайтів)
5. хакер SALDIRAY (за взлом 7 сайтів)

Підсумовуючи скажу, що активність хакерів в минулому році значно зросла і вона продовжує зростати. І в 2010 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням searchsecurity.techtarget.com.au в публікації How URL-shortening services are manipulated, сервіси редирекції представляють загрозу безпеці Інтернет користувачів. Тому що вони можуть використовуватися для атак на користувачів. Я вже розповідав про можливі атаки через редиректори. До того ж вони є недостатньо надійними і не можуть гарантувати 100% uptime.

За повідомленням internetua.com, хакер взломав базу даних “Укртелекома” і намагався її продати. У Луцьку 21-літній місцевий житель знайшов в Інтернеті дані про абонентів Укртелекома, записав їх на диски і намагався їх продати. Зазначу, що подібні диски з Базою 09 продаються в Україні вже багато років. А УДСБЕЗ спіймали даного діяча і обвинувачили в тому, що він взломав електронну базу ВАТ “Укртелеком”. Зазначу, що на сайті Укртелекома є уразливість, що дозволяє отримати всі дані з їхньої БД (в тому числі потенційно й ті, яких не знайдеш в Базі 09).

Як видно з цього та попереднього випадків, останнім часом спецслужби і міліція почали активно знаходити продавців БД чи шкідливого ПЗ, при цьому голосно називаючи їх хакерами, і притягати їх до відподальності.

За повідомленням www.focus.ua, хакери взломали сайт ЦВК Угорщини. Напередодні парламентських виборів, що пройдуть в Угорщині в квітні 2010 року, хакери взломали сайт Центральної виборчої комісії країни. Вони розмістили на сайті свою інформацію про політичні партії, що будуть приймати участь у виборах.

В даній добірці уразливості в веб додатках:

• STEAM (Valve) - Phishing and Cross-site Scripting in internal browser (деталі)
• PBBoard <=2.0.2 - XSS in Topic (деталі)
• PBBoard <=2.0.2 Full Path Disclosure (деталі)
• Palm Pre WebOS <=1.1 Remote File Access Vulnerability (деталі)
• Hyperic HQ - Stored XSS in alerts list (деталі)
• Hyperic HQ - Reflected XSS in stack trace (деталі)
• New boinc packages fix validation bypass (деталі)
• New lasso packages fix validation bypass (деталі)
• Vulnerabilities in OpenSSL (деталі)
• Multiple OpenSSL signature verification API misuses (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ntr.lutsk.ua - інфекція була виявлена 22.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://norrest.com.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ura-inform.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://radioera.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ura.dn.ua - інфекція була виявлена 02.02.2010. Зараз сайт не входить до переліку підозрілих.

Зазначу, що сайти ntr.lutsk.ua та ранішезгаданий crazy-party.com.ua хостяться у провайдера Приват-онлайн, який є дочірньою компанією ПриватБанка. Тобто ПриватБанк окрім розробки власних дірявих сайтів та хронічного ігнорування проблем з їх безпекою, також хостить у себя діряві сайти, які взламують і розміщують на них шкідливе ПЗ. Ось такий “безпечний” у них підхід .

22.02.2010

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird і SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, Firefox 3.6, Thunderbird 3.0, SeaMonkey 2.0.

Численні пошкодження пам’яті, використання пам’яті після звільнення, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2010-01 (деталі)
• Mozilla Foundation Security Advisory 2010-02 (деталі)
• Mozilla Foundation Security Advisory 2010-03 (деталі)
• Mozilla Foundation Security Advisory 2010-04 (деталі)
• Mozilla Foundation Security Advisory 2010-05 (деталі)
• Mozilla Firefox Memory Corruption Vulnerability (деталі)

02.03.2010

Додаткова інформація.

• Mozilla Firefox showModalDialog Cross-Domain Scripting Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• Joomla Component com_jfusion (Itemid) Blind SQL Injection Vuln (деталі)
• SimpleLoginSys 0.5 (Auth Bypass) SQL Injection Vulnerability (деталі)
• TT Web Site Manager 0.5 (Auth Bypass) SQL Injection Vulnerability (деталі)
• QuickDev 4 (download.php file) File Disclosure Vulnerability (деталі)
• Netpet CMS 1.9 (confirm.php language) Local File Inclusion Vulnerability (деталі)
• Ajax Short URL Script (Auth Bypass) SQL Injection Vulnerability (деталі)
• ProjectButler 1.5.0 (pda_projects.php offset) RFI Vulnerability (деталі)
• Amaya 11.2 W3C Editor/Browser (defer) Remote BOF Exploit (SEH) (деталі)
• AW BannerAd (Auth Bypass) SQL Injection Vulnerability (деталі)
• Netsurf 1.2 ‘width’ Remote Integer Overflow PoC Exploit (деталі)