Websecurity - Веб безпека

У лютому, 04.02.2009, я знайшов Insufficient Anti-automation та Brute Force уразливості в TAK cms (це українська CMS). Дані уразливості я виявив на сайті www.infobezpeka.com, де використовується даний движок. Враховуючи, що мені не вдалося виявити жодних контактних даних розробника TAK cms, то сподіваюся, що власники даного сайта повідомили йому про дані уразливості.

Insufficient Anti-automation:

http://site/about/contacts/
http://site/register/getpassword/

На даних сторінках відсутній захист від автоматизованих запитів (капча).

Brute Force:

http://site/auth/
http://site/admin/

В формах логіна відсутній захист від Brute Force атак.

Уразливі всі версії TAK cms.

У січні, 04.01.2010, вийшла нова версія WordPress 2.9.1.

WordPress 2.9.1 це багфікс випуск 2.9 серії. В якому розробники виправили різноманітні баги.

А вже в лютому, 15.02.2010, вийшла нова версія WordPress 2.9.2.

WordPress 2.9.2 це секюріті випуск 2.9 серії. В якому виправлена Information Leakage уразливість, що дозволяла (через некоректну перевірку прав користувачів) зареєстрованим користувачам читати видалені пости (в Trash), навіть якщо вони і не були авторами даних постів.

Зазначу, що раніше я вже писав про Brute Force та Insufficient Authorization уразливості в WordPress, до яких вразлива також остання версія WP 2.9.2.

Вивлений витік інформації в Apache.

Уразливі версії: Apache 2.2.

За певних умов можливо одержати вміст пам’яті, що стосується попередніх запитів до сервера.

• Vulnerability in Apache (деталі)

В даній добірці уразливості в веб додатках:

• POC - Sun Java System Acccess Manager & Identity Manager Users Enumeration (деталі)
• Amiro.CMS Multiple XSS (деталі)
• Amiro.CMS root folder disclosure (деталі)
• Cisco ACE Application Control Engine Device Manager and Application Networking Manager Vulnerabilities (деталі)
• Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine (деталі)
• Boxalino - Directory Traversal Vulnerability (деталі)
• curl vulnerability (деталі)
• New mapserver packages fix serveral vulnerabilities (деталі)
• Remote File Disclosure in Vivvo CMS 4.1.5.1 (деталі)
• Remote Authentication Bypass - Swann DVR4 SecuraNet (possibly DVR9 as well) (деталі)

Учора, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі WeBAM. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі версії WeBAM 1.x.

За останній час на сайті я зробив декілька оновлень. На найбільш важливі я зверну вашу увагу.

1. Оновив мій Посібник з безпеки. Його оновленням я періодично займаюся, додаю нову інформацію в посібник (хоча й повільно, але потроху цим займаюся).

2. Відкрив розділ Дослідження Уанета, в якому розповідається про мої секюріті дослідження Уанета та наводяться всі опубліковані звіти про їх результати. Що повинно полегшити процес ознайомлення з даними секюріті дослідженнями.

3. Навів перелік задач веб проекту, які я поставив перед своїм проектом (як в 2006 році, так і в подальші роки).

До задач мого веб проекту відносяться наступні:

1. Проведення соціального секюріті аудиту - інформування власників веб сайтів та розробників веб додатків про уразливості на їхніх сайтах та веб додатках.
2. Запропонування аудиту безпеки клієнтам.
3. Розробка онлайнового посібника з безпеки.
4. Запропонування тестування з веб безпеки, для перевірки знань з даної сфери.
5. Створення українського багтраку уразливостей та експлотів в веб додатках.
6. Випуск MustLive Security Pack.
7. Запропонування корисних онлайнових секюріті інструментів, таких як Генератор XSS та SQL Injection ASCII Encoder.
8. Запропонування корисних секюріті програми.
9. Публікація статей на тему безпеки, в тому числі моїх статей, доповідей та інтерв’ю різним журналам та ЗМІ.
10. Проведення секюріті досліджень Уанета (зокрема хакерської активності) та інших секюріті досліджень, та публікація звітів про їх результати.

28.09.2009

У лютому, 04.02.2009, я знайшов Insufficient Anti-automation та Brute Force уразливості на секюріті сайті http://www.infobezpeka.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

18.03.2010

Insufficient Anti-automation:

http://www.infobezpeka.com/about/contacts/
http://www.infobezpeka.com/register/getpassword/

На даних сторінках відсутній захист від автоматизованих запитів (капча).

Brute Force:

http://www.infobezpeka.com/auth/
http://www.infobezpeka.com/admin/

В формах логіна відсутній захист від Brute Force атак.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Gazelle CMS 1.0 Remote Arbitrary Shell Upload Vulnerability (деталі)
• THOMSON ST585 (user.ini) Arbitrary Download Vulnerability (деталі)
• MyWeight 1.0 Remote Shell Upload Vulnerability (деталі)
• DS CMS 1.0 (nFileId) Remote SQL Injection Vulnerability (деталі)
• PHP Competition System <= 0.84 (competition) SQL Injection Vuln (деталі)
• Ignition 1.2 (comment) Remote Code Injection Vulnerability (деталі)
• AJ Auction Pro OOPD 2.x (store.php id) SQL Injection Exploit (деталі)
• BaBB 2.8 Remote Code Injection Exploit (деталі)
• PHP-Lance 1.52 Multiple Local File Inclusion Vulnerabilities (деталі)
• KDE Konqueror 4.1.3 ‘link href’ Memory Leak Exploit (деталі)

Раніше на сайті www.linksmile.com я знайшов Insufficient Anti-automation та Denial of Service уразливості у веб додатку CaptchaSecurityImages. Це скрипт капчі, що використовується на багатьох веб сайтах та движках. Про що найближчим часом сповіщу розробника.

Insufficient Anti-automation уразливість я знайшов 06.10.2007, під час проведення мого проекта Month of Bugs in Captchas, а Denial of Service уразливість я знайшов 17.09.2009. В 2007 році, коли я виявив першу уразливість, то я не знав, що це поширений веб додаток (я вирішив, що це власний скрипт на linksmile.com), лише коли в 2009 році знайшов другу уразливість, я виявив, що цей веб додаток використовується на багатьох сайтах.

Insufficient Anti-automation:

В капчі піддаються маніпуляції параметри characters, width і height. Вони можуть бути задані таким чином, що дозволять легший обхід капчі через напівавтоматизований або автоматизований (з використанням OCR) методи. А в деяких системах також можливе використання session reusing with constant captcha bypass method.

http://site/CaptchaSecurityImages.php?width=150&height=100&characters=2

Таким чином можна задати два символи та збільшити розмір капчі.

DoS:

http://site/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ikt.hneu.edu.ua (хакером SALDIRAY) - 03.03.2010, зараз сайт вже виправлений адмінами
• http://dpks.dp.ua (хакером MulTiHaCkeR)
• http://www.virtlibrary.dp.ua (хакерами Google і Leon)
• http://www.offshoreservice.com.ua (хакером SarBoT511) - 04.03.2010, був похаканий форум сайта, що вже виправлений адмінами
• http://www.santel.com.ua (хакером bejo6)