Websecurity - Веб безпека

Для WordPress існує такий цікавий плагін як WordPress Exploit Scanner. Це сканер експлоітів в WordPress.

Якщо ваш сайт на WP взломали, що може статися через численні уразливості в WordPress чи в плагінах до WP, про які я розповідав багато разів, чи ви підозрюєте, що ваш сайт могли взломати, то на ньому могли розмістити шкідливий код (або закачати шели). І от щоб виявити malware (експлоіти до браузерів), шели та бекдори на вашому сайті, можете скористатися даним сканером експлоітів в WP.

Для більш потужного сканування вашого сайта на WP на шкідливі коди, і особливо якщо ви використовуєте інші движки для сайта, для цього слід використовувати спеціалізовані системи. Такі як Web Virus Detection System.

В даній добірці уразливості в веб додатках:

• New ejabberd packages fix cross-site scripting (деталі)
• Bractus SunTrack Multiple XSS (деталі)
• New TYPO3 packages fix several vulnerabilities (деталі)
• eoCMS SQL injection vulnerability - Bkis Report (деталі)
• Oracle TimesTen Remote Format String (деталі)
• Oracle BEA WebLogic Server Apache Connector Buffer Overflow (деталі)
• Oracle Secure Backup Multiple Denial Of Service vulnerabilities (деталі)
• Oracle Secure Backup’s observiced.exe Denial Of Service vulnerability (деталі)
• Oracle Secure Backup NDMP_CONECT_CLIENT_AUTH Command Buffer Overflow Vulnerability (деталі)
• Zervit Webserver Buffer Overflow (деталі)

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системах GunCMS та PhoenixCMS PHP Edition. Про що найближчим часом сповіщу розробників.

GunCMS включає в себе HoloCMS 3.1 і відповідно її уразливості. А PhoenixCMS PHP Edition базується на HoloCMS. Дані уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

В GunCMS:
http://site/path/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

В PhoenixCMS PHP Edition:
http://site/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше.

DoS:

В GunCMS:
http://site/path/captcha/CaptchaSecurityImages.php?width=1000&height=9000

В PhoenixCMS PHP Edition:
http://site/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі всі версії GunCMS.

Уразливі PhoenixCMS PHP Edition 1.0.1 та попередні версії.

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

W-Agora

В W-Agora на деяких сторінках в мета-тегах виводиться версія системи (w-agora version 4.1.5).

Mantis

В Mantis (MantisBT) версію системи можна дізнатися в файлі http://site/doc/ChangeLog.

Coppermine Photo Gallery:

В CPG на кожній сторінці веб додатку виводиться його версія (Coppermine Photo Gallery v1.2.2b).

coWiki

В coWiki є декілька витоків інформації:

• На кожній сторінці в коментарі виводиться версія системи (coWiki 0.3.4).
• На кожній сторінці в мета-тезі виводиться версія системи (coWiki 0.3.4).
• На кожній сторінці виводиться версія системи (coWiki 0.3.4).

eNvolution

В eNvolution версію системи можна дізнатися в файлах /config/install_log.txt, /instalacja.txt, /instalar.txt, /install.txt, /installa.txt, /installdeu.txt, /installer.txt та /where_to_get_support.txt.

01.10.2009

У лютому, 06.02.2009, я знайшов Full path disclosure, Cross-Site Scripting та Redirector уразливості на сайті http://viland.ua (інтернет магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на matrix.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.03.2010

Full path disclosure:

http://viland.ua/index.php?id=49&sword=’

http://viland.ua/nc/search-result/start/1.html?tx_ttproducts_pi1%5Bsword%5D='

http://viland.ua/typo3/sysext/cms/tslib/class.tslib_fe.php

http://viland.ua/typo3conf/ext/tt_products/view/class.tx_ttproducts_list_view.php

http://viland.ua/index.php?jumpurl=%0A1

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані XSS були виправлені, але неякісно і, при невеличкій зміні коду, вони знову працюють.

XSS (Mozilla):

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Redirector:

http://viland.ua/index.php?jumpurl=http://websecurity.com.ua

Дані уразливості вже виправлені. Окрім Redirector уразливості та неякісно виправленних XSS.

В даній добірці експлоіти в веб додатках:

• New5starRating 1.0 (rating.php) SQL Injection Vulnerability (деталі)
• Netgear WNR2000 FW 1.2.0.8 Information Disclsoure Vulnerabilities (деталі)
• Cerberus FTP 3.0.1 (ALLO) Remote Overflow DoS Exploit (meta) (деталі)
• TCPDB 3.8 Remote Content Change Bypass Vulnerabilities (деталі)
• Turnkey Arcade Script (id) Remote SQL Injection Vulnerability (деталі)
• Joomla Component com_siirler 1.2 (sid) SQL Injection Vulnerability (деталі)
• ProFTP 2.9 (welcome message) Remote Buffer Overflow Exploit (meta) (деталі)
• EMO Breader Manager (video.php movie) SQL Injection Vulnerability (деталі)
• Moa Gallery <= 1.2.0 Multiple Remote File Inclusion Vulnerabilities (деталі)
• phpSANE 0.5.0 (save.php) Remote File Inclusion Vulnerability (деталі)

У вересні, 04.09.2009, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті http://zillya.com (зокрема на http://bugs.zillya.com). Це сайт секюріті компанії розробника Zillya! Антивірус. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

В своїй статті Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство в частині “Оприлюднення уразливостей” я описав різні варіанти оприлюднення уразливостей. Так звані політики оприлюднення.

Політики оприлюднення уразливостей.

Існують наступні варіанти оприлюднення: responsible disclosure (відповідальне оприлюднення), full disclosure (повне оприлюднення) та advanced responsible disclosure (просунуте відповідальне оприлюднення). Є також цікава версія full disclosure (яку я використовую і з кожним роком я використовую її все більше) - responsible full disclosure. Це суміш перших двох типів оприлюднення.

В своїй діяльності я найчастіше використовую просунуте відповідальне оприлюднення уразливостей. Більш детально про різні політики оприлюднення ви можете прочитати у вищезгаданій статті, а зараз я детально розповім про просунуте відповідальне оприлюднення. Що я використовую при проведенні соціального секюріті аудиту, який є однією з задач мого веб проекту.

Політика просунутого відповідального оприлюднення.

Advanced responsible disclosure (просунуте відповідальне оприлюднення) - це моя версія оприлюднення, яка поєднує всі переваги responsible disclosure і full disclosure. Я створив її 18.07.2006, коли відкрив мій веб сайт. Концепція advanced responsible disclosure полягає в наступному:

1) Спочатку я роблю анонс на моєму веб сайті про уразливість на веб сайті (веб додатку) без деталей.
2) Потім я посилаю листа з деталями власнику веб сайта (розробнику веб додатка) і даю йому деякий час для виправлення.
3) Після закінчення часу, я оприлюднюю всі деталі уразливості в записі на моєму сайті (під анонсом).
4) Я завжди даю достатньо часу для виправлення, але якщо для розробника часу недостатньо і він просить про додатковий час, тоді я дам йому додатковий час, щоб дозволити йому виправити уразливість перед оприлюдненням.
5) Анонс та час для виправлення (перед оприлюдненням деталей) є стимулами для власників веб сайтів (розробників веб додатків) для виправлення дірок. Це головна причина, чому я створив даний тип оприлюднення.

Історія створення даної політики оприлюднення.

Після того як я почав працювати в сфері веб безпеки в 2005 і почав інформувати власників веб сайтів про дірки на їхніх сайтах, я виявив, що responsible disclosure не працює. В зв’язку з ігноруванням (чи не подякують і не виправлять, чи подякують, але не виправлять, бо їм байдуже) власниками веб сайтів. Вони не слідкують за безпекою їхніх сайтів і якщо ви скажете їм про дірки використовуючи відповідальне оприлюднення, вони продовжать робити те саме. На початку 2006 я бачив ту саму ситуацію і я вирішив, що потрібен інший метод оприлюднення (який буде використовувати сайт для розміщення публічних оприлюднень, щоб зробити стимули для власників сайтів виправляти дірки).

І після того як я відкрив мій сайт 18.07.2006, я почав використовувати цей новий метод оприлюднення уразливостей на веб сайтах та веб додатках. Ось так народився advanced responsible disclosure. І я назвав дану роботу по знаходженню уразливостей на веб сайтах та інформуванню їхніх адмінів як соціальний секюріті аудит.

Наскільки відповідальне оприлюднення працює.

Дана политика оприлюднення працює, як і взагалі соціальний секюріті аудит, хоча не завжди, але все ж працює. Є деякі позитивні ефекти моєї роботи, на яку я витратив чимало часу з початку 2005 року. За більше 5 років, що я займаюся веб безпекою, в тому числі витративши чимало часу на соціальний секюріті аудит, є позитивні зрушення і деяке покращення безпеки сайтів, хоча дуже невеликі в маштабах всього Інтернета.

Так що є сенс в advanced responsible disclosure і я рекомендую використовувати його при оприлюдненні дірок на веб сайтах та у веб додатках. І у випадку коли адмін веб сайту (розробник веб додатку) дуже ламерить, тоді responsible full disclosure може бути використаний, про який я розповідав раніше (або у випадку, якщо уразливість дуже маленька). Стандартний full disclosure краще використовувати тільки в рідких і тяжких випадках.

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Відмова при обробці запитів XML-RPC.

• New php5 packages fix null pointer dereference (деталі)

В даній добірці уразливості в веб додатках:

• PSAtr v1.2 Sql Injection (деталі)
• Trigger Abuse of MDSYS.SDO_TOPO_DROP_FTBL in Oracle 10g R1 and R2 (деталі)
• Oracle Secure Backup exec_qr() Command Injection Vulnerability (деталі)
• Oracle TimesTen evtdump Remote Format String Vulnerability (деталі)
• Oracle Secure Backup 10g Remote Code Execution (деталі)
• Oracle Secure Backup 10g Remote Code Execution (деталі)
• New mahara packages fix several vulnerabilities (деталі)
• SAP SAPDB Multiple XSS (деталі)
• Re: Wowd search client multiple variable xss (solution) (деталі)
• New vulnerability in Xerox Fiery Webtools (деталі)