Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gazeta.ua - інфекція була виявлена 27.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://nightclubbing.com.ua - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://crisis-coming.org.ua - інфекція була виявлена 22.03.2010. Зараз сайт входить до переліку підозрілих.
• http://private-school.sumy.ua - інфекція була виявлена 23.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mixon.ua - інфекція була виявлена 20.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 38 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• ZTE ZXDSL 831 II Modem Arbitrary Configuration Access Vulnerability (деталі)
• Best Dating Script Arbitrary Shell Upload Vulnerability (деталі)
• CBAuthority - ClickBank Affiliate Management SQL Injection Vulnerability (деталі)
• PHP Email Manager (remove.php ID) SQL Injection Vulnerability (деталі)
• Ultimate Fade-in slideshow 1.51 Shell Upload Vulnerability (деталі)
• ProSysInfo TFTP Server TFTPDWIN 0.4.2 Remote BOF Exploit (деталі)
• phpfreeBB 1.0 Remote BLIND SQL Injection Vulnerability (деталі)
• asaher pro 1.0.4 Remote Database Backup Vulnerability (деталі)
• Ed Charkow’s Supercharged Linking Blind SQL Injection Exploit (деталі)
• RunCms v.2M1 /modules/forum/post.php - ‘forum’ remote semi-blind SQL Injection Exploit (деталі)

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі ArcManager. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/libs/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/libs/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі всі версії ArcManager.

Виявлені численні уразливості безпеки в Apache mod_security.

Уразливі версії: Apache mod_security 2.5.

Можливі DoS та обхід захисту.

Зазначу, що обхід захисту - це звичайна справа для WAF (ще з 2006 року я регулярно обхожу WAF, в тому числі ModSecurity), тому не обов’язкого про це писати окремі advisory. А от DoS уразливість - це вже цікаво.

• Vulnerabilities in Apache mod_security (деталі)

Українській хакер Dementor за останній час взломам декілька сайтів, в тому числі в Уанеті. Про що повідомив в себе на форумі й виклав скріншоти взломів.

Серед взломаних сайтів два україньских та два російських:

• www.chilli.net.ua
• finnews.ru
• orichi.info
• shai.dp.ua

Він явно вирішив створити конкуренцію турецьким та азербайджанським хакерам , що активно взламують сайти в Уанеті. Як я вже зазначав раніше, в останні роки найбільше взламують сайти в Уанеті саме турки, і в 2010 році ця тенденція продовжується.

В даній добірці уразливості в веб додатках:

• CA ARCserve Backup LDBserver Vulnerability (деталі)
• CA ARCserve Backup RPC “handle_t” Argument Vulnerability (деталі)
• RunCms v.2M1 /modules/forum/post.php - ‘forum’ remote semi-blind SQL Injection Exploit (деталі)
• SharePoint 2007 ASP.NET Source Code Disclosure (деталі)
• Oracle eBusiness Suite - Multiple Vulnerabilities Allow Remote Takeover (деталі)
• Oracle Database Buffer Overflow in SYS.OLAPIMPL_T.ODCITABLESTART (деталі)
• SQL Injection in Oracle Enterprise Manager (TARGET Parameter) (деталі)
• Oracle Application Server Portal 10g Cross Site Scripting Vulnerability (деталі)
• Oracle Forms Cross site Scripting in (iFcgi60.exe / f60servlet) (деталі)
• Code Execution vulnerability in PHP168 v6.0 rc (деталі)

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі TooFAST. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше.

DoS:

http://site/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі TooFAST 1.5 та попередні версії.

Капчі повинні захищати веб сайти від автоматизованих запитів. Але як я показав в своєму проекті Month of Bugs in Captchas, вони з цим погано справляються, через численні Insufficient Anti-automation уразливості, що дозволяють обходити капчі. Окрім цього, капчі можуть призвести до DoS атак на сайти.

DoS атаки через капчі можуть відбуватися через SQL Injection уразливості (що також дозволяють проводити DoS атаки) та Denial of Service уразливості. Капчі, як і будь-які веб додатки, можуть мати різні уразливості, зокрема SQL Injection та Denial of Service, що можуть призвести до DoS атак. І раніше я вже писав про подібні уразливості в капчі для Nucleus, CapCC для WordPress та CaptchaSecurityImages.

SQL Injection уразливості в капчах.

Існує капча для Nucleus. В даній капчі для Nucleus є Full path disclosure, SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Insufficient Anti-automation уразливості. Зокрема через SQL Injection можна провести DoS атаку.

DoS (через SQL Injection):

В проекті MoBiC я розповідав як провести Insufficient Anti-automation атаку через дану SQL ін’єкцію. Для проведення DoS атаки замість раніше наведеного потрібно використати наступний код (чим більший benchmark, тим довше триває атака):

<input type="hidden" name="code" value="1" />
<input type="hidden" name="myid" value="-1 and benchmark(10000000,md5(now()))" />

CapCC - це капча плагін для WordPress. В плагіні CapCC є Insufficient Anti-automation, Cross-Site Request Forgery і SQL Injection уразливості. Зокрема через SQL Injection можна провести DoS атаку.

DoS (через SQL Injection):

Для атаки потрібно відправити POST запит, як показано в моєму експлоіті (чим більший benchmark, тим довше триває атака):

CapCC SQL Injection.html

Всі капчі, що мають SQL Injection уразливості, можуть бути атаковані. Відповідно до класифікації SQL Injection, уразливість в капчі для Nucleus - це Reflected SQL Injection, а уразливість в CapCC - це Persistent SQL Injection.

Denial of Service уразливості в капчах.

CaptchaSecurityImages - це скрипт капчі, що використовується на багатьох веб сайтах та движках. В CaptchaSecurityImages є Insufficient Anti-automation та Denial of Service уразливості. Зокрема через Denial of Service можна провести DoS атаку.

DoS:

http://site/CaptchaSecurityImages.php?width=1000&height=9000

Якщо вказати великі значення width і height, то можна створити велике навантаження на сервер.

Всі капчі, що дозволяють через передані параметри вказувати розміри зображення, можуть бути атаковані. Відповідно до класифікації DoS уразливостей - це DoS перенавантаження.

26.08.2009

У січні, 06.01.2009, я знайшов SQL Injection уразливості, а сьогодні ще Full path disclosure, SQL Injection та Cross-Site Scripting уразливості на http://www.agrocombank.kiev.ua - сайті Агрокомбанка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про нові уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше.

20.03.2010

SQL Injection:

http://www.agrocombank.kiev.ua/modules.php?op=modload&name=News&file=article&sid=-1%20or%20version()%3E4
http://www.agrocombank.kiev.ua/modules.php?op=modload&name=AStatic&file=index&sid=-1%20or%20version()%3E4

Раніше на сайті використовувався PHP-Nuke, в якому я і знайшов ці дві уразливості. Але потім на сайті змінили движок на новий, в якому я знайшов нові уразливості.

Full path disclosure:

http://www.agrocombank.kiev.ua/agrocombank/search/’/

SQL Injection:

http://www.agrocombank.kiev.ua/agrocombank/search/'%20and%20version()%3E5--%20/

XSS:

http://www.agrocombank.kiev.ua/agrocombank/search/'1%3Cbody%20onload=alert(document.cookie)%3E/

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Adobe JRun 4 (logfile) Directory Traversal Vulnerability (auth) (деталі)
• Joomla Component MisterEstate Blind SQL Injection Exploit (деталі)
• Infinity <= 2.x.x options[style_dir] Local File Disclosure Vulnerability (деталі)
• E Cms <= 1.0 (index.php s) Remote SQL Injection Vulnerability (деталі)
• Autonomous LAN party <= 0.98.3 Remote File Inclusion Vulnerability (деталі)
• 2WIRE Gateway (Auth Bypass & Password Reset) Vulnerabilities #2 (деталі)
• ZTE ZXDSL 831 II Modem Arbitrary Add Admin User Vulnerability (деталі)
• Safari 4.0.2 (WebKit Parsing of Floating Point Numbers) BOF PoC (деталі)
• Traidnt UP 2.0 Remote SQL Injection Exploit (деталі)
• KDE Konqueror 4.1.3 ‘iframe src’ Memory Leak Exploit (деталі)