Архів за Березень, 2010

Уразливості в HoloCMS

23:53 25.03.2010

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі HoloCMS. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC. Останній варіант атаки можливий через некоректну реалізацію захисту в системі від даного методу обходу капчі (тільки в версіях 1.x).

DoS:

http://site/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі HoloCMS 1.3.1, 3.1 та попередні версії.

А також вразливі наступні системи: GunCMS та PhoenixCMS PHP Edition, Baboh Emulator, CoreCMS, Holograph Emulator, Holograph Emulator - Craigs Edition, 0niCMS, AJ-CMS, HoloCMS v3.2.0 Synergy, HoloCMSrW, Mir та Alexx Hotel, які або включають в себе HoloCMS, або є її новими версіями, або зроблені на основі HoloCMS.

Новини: Касперський і Google AdSense, ФБР і українські хакери та Mozilla

22:44 25.03.2010

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.xakep.ru, Антивірус Касперського признав в Google AdSense трояна. Наприкінці січня користувачі антивірусних продуктів “Лабораторії Касперського” зіштовхнулися з незвичайною проблемою: через помилку, допущеної в нових антивірусних базах, антивіруси компанії “знайшли” в системі Google AdSense трояна.

Таким чином, багато користувачів даних антивірусів, що заходили на сайти з розміщеними рекламними блоками контекстної реклами Google, одержували повідомлення про виявлення троянських кодів Trojan.JS.Redirector.ar. Проблема явно була пов’язана з кодом JS-файла, що відповідає за видачу рекламного блоку Google.

Зазначу, що якщо б Антивірус Касперського використовував не свої бази для пошуку вірусів на сторінках, а мою систему Web Virus Detection System, то такої проблеми не сталося би. Тому що в своїй WebVDS я найпершим додав JS-код Google AdSense до білого спику. Це одна з особливостей системи WebVDS (і дану функцію я реалізував в ній ще в травні 2008 року). Так що Касперському і в 2010 році є куди покращувати свої антивіруси, зокрема в плані виявлення вірусів на веб сайтах.

Так що, якщо б моя Web VDS була тоді повністю розроблена, то і Касперський, й інші розробники антивірусних та інших секюріті продуктів могли нею скористатися. А так, це ще одна втрачена Head Technology нагода, до раніше згаданої нагоди з Яндексом.

За повідомленням ain.ua, ФБР зайнялося українськими хакерами. Федеральне бюро розслідувань планує почати тісне співробітництво з українськими і російськими правоохоронними органами і допомагати їм у розкритті злочинів. Особливу увагу ФБР приділять розслідуванням в Україні, тому що ця країна обігнала навіть Росію по вихідному потоку спама і шкідливих програм.

Джеффрі Трой, глава відділу ФБР по боротьбі з кіберзлочинами повідомив, що “інтернет-злочинність не має кордонів, тому міжнародне співробітництво подібного роду дуже важливе”.

За повідомленням ain.ua, Mozilla захистить користувачів від Flash. Компанія Mozilla планує ізолювати плагіни Firefox, що використовують технологію Flash. Це зроблено для того, щоб такі плагіни не заважали роботі інших вкладок (подібно до технології, що використовується в браузері Chrome).

Якщо плагін з Flash припинить працювати, то на працездатність інших вкладок, відкритих у браузері, це не вплине. Крім Flash, Mozilla планує зробити окремим запуск плагіна Microsoft Silverlight.

Уразливості на brodyaga.com

19:27 25.03.2010

29.09.2009

У лютому, 05.02.2009, я знайшов Cross-Site Scripting, Denial of Service та SQL Injection уразливості на проекті http://brodyaga.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.03.2010

Раніше сайт працював на домені brodyaga.com, а зараз лише на www.brodyaga.com.

XSS:

DoS (через SQL Injection):

http://www.brodyaga.com/pages/search.php?T1=%25

SQL Injection:

http://www.brodyaga.com/pages/viewstory.php?id=-1%20or%20version()=4.1

Дані уразливості досі не виправлені.

Добірка експлоітів

15:14 25.03.2010

В даній добірці експлоіти в веб додатках:

  • Moa Gallery 1.1.0 (gallery_id) Remote SQL Injection Vulnerability (деталі)
  • Lanai Core 0.6 Remote File Disclosure / Info Disclosure Vulns (деталі)
  • Cuteflow 2.10.3 edituser.php Security Bypass Vulnerability (деталі)
  • PHP Dir Submit (aid) Remote SQL Injection Vulnerability (деталі)
  • Arcade Trade Script 1.0b (Auth Bypass) Insecure Cookie Handling Vuln (деталі)
  • Geeklog <= 1.6.0sr1 Remote Arbitrary File Upload Vulnerability (деталі)
  • Joomla Component com_jtips 1.0.x (season) bSQL Injection Vuln (деталі)
  • Huawei SmartAX MT880 Multiple XSRF Vulnerabilities (деталі)
  • Joomla Component com_ninjamonial 1.x (testimID) SQL injection Vuln (деталі)
  • NaviCopa Web Server 3.01 Remote Buffer Overflow Exploit (деталі)

Уразливості в NoCMS

23:58 24.03.2010

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі NoCMS (в обох версіях для роботи з Ascent та Mangos). Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі всі версії NoCMS.

Похакані сайти №89

22:46 24.03.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.kurash.com.ua (хакером RoAd_KiLlEr) - 13.03.2010, зараз сайт вже виправлений адмінами
  • http://librkorec.rv.ua (хакером SALDIRAY)
  • http://antivirus2010.org.ua (хакером ZH4RK) - 15.03.2010, зараз сайт не працює
  • http://www.acmagistral.com.ua (хакером TimeLord)
  • http://parktrade.com.ua (хакером DaNG3R)

Захоплення Linux-сервера через SQL Injection

19:31 24.03.2010

Продовжуючи розпочату традицію, після попереднього відео про підбір паролів до FTP, пропоную новий відео секюріті мануал. Цього разу відео про захоплення Linux-сервера через SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

Rooting a linux box via MySQL Injection

В даному відео ролику демонструється використання SQL Injection уразливості на сайті, що використовує MySQL, для захоплення сервера на Linux. Раніше я вже наводив відео про захоплення сервера на Windows XP через SQL Injection, а в даному випадку атакується Linux-сервер.

Для цього на сервер через SQL ін’єкцію заливається аплоадер, через який заливається шел і експлоіт (для підняття прав на сервері до root). Після чого додається новий акаунт адміністратора в систему та через PuTTY під’єднується до сервера. Рекомендую подивитися дане відео для розуміння SQL Injection атак.

Добірка уразливостей

15:26 24.03.2010

В даній добірці уразливості в веб додатках:

  • Motorola Wimax Modem CPEi300 Multiple Vulnerabilities (деталі)
  • Wowd search client multiple variable xss (деталі)
  • Oracle Containers For Java Directory Traversal (OC4J) Oracle Application Server 10g (10.1.3.1.0) Oracle HTTP Server (деталі)
  • Advisory: Oracle EBusiness Suite Sensitive Information Disclosure Vulnerability (деталі)
  • Oracle Secure Backup Administration Server login.php Command Injection Vulnerability (деталі)
  • Oracle Database 10g R2 Summary Advisor Arbitrary File Rewrite Vulnerability (деталі)
  • Oracle Secure Backup Administration Server login.php Command Injection Vulnerability (деталі)
  • Vulnerabilities in Mura CMS (деталі)
  • com_jumi / jumi 2.0.5 for joomla 1.5 backdoored (деталі)
  • CubeCart 4 Session Management Bypass (деталі)

Уразливості в MiniManager for Project MANGOS

23:57 23.03.2010

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі MiniManager for Project MANGOS. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/libs/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/libs/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі MiniManager for Project MANGOS 0.15 та попередні версії.

А також вразливі наступні системи: Land of Legends Manager (LoL Manager), який зроблений на основі MiniManager for Project MANGOS та WoWCrackz MaNGOS, який зроблений на основі MiniManager for Project MANGOS.

Web Virus Detection System

22:49 23.03.2010

Як я вже давно планував, розповім про мою систему Web VDS. В 2008 році я розробив Web Virus Detection System - систему виявлення вірусів на веб сайтах. Над системою я працював декілька місяців і довів її розробку до рівня бета версії. Вже на той час вона мала чимало можливостей і могла з деякою ефективнісю знаходити віруси на сторінках веб сайтів (хоча ефективність треба було покращувати і було багато планів по розробці системи).

В якості фінансового спонсора, для початку, а в подальшому і компанії, що прикладе свої ресурси для розробки і просування системи, виступала Head Technology. Тобто це мав бути наш спільний проект. Хоча спочатку ідея зацікавила компанію і план робіт був затверджений, але коли я довів розробку до стадії бета версії, Head Technology передумали приймати участь в даному проекті й, відповідно, не стали його фінансувати. Тому я доробив деякий функціонал системи і заморозив проект.

Мабуть вони Гугла злякалися, з яким потрібно було конкурувати :-) . Або були інші причини (в тому числі ті, що вони мені назвали). Але проект був закритий, так і стартувавши. На той момент конкурентів в нас було не багато - в 2008 році лише два пошуковці Google та Yahoo надавали подібну інформацію і невелика кількість компаній займалися даною сферою. Зазначу, що на відміну від Гугла та інших сервісів, які демонструють стан зараженості веб сайтів, що лише заявляють інфікований сайт чи ні, моя Web VDS окрім остаточного висновку, також видавала оцінку зараженості (Infected score).

Цікаві події в даній сфері почали розгортатися в 2009 році. З кінця травня 2009 року Яндекс має подібний функціонал в своєму пошуковці - він вирішив не відставати від Гугла і Яху. А пізніше й інші компанії почали виходити на цей ринок (про що я розповів згодом).

Зазначу, що Яндекс, як і інші пошуковці, були одними з потенційних клієнтів для моєї системи (в мене було багато потенційних клієнтів, кого може зацікавити подібний функціонал). Тому, якщо б в 2008 році Web VDS була повністю розроблена, то можна було б Яндексу запропонувати наші послуги ;-) . А так Head Technology впустила дану нагоду, як й інші нагоди в цій сфері, що мали місце в останні роки (тому що зараз дана тема стала дуже актуальною).