Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Виявлена можливість проведення DoS атаки через mod_proxy_ajp в Apache.
Уразливі версії: Apache 2.2.
Не звільняються ресурси при завершенні з’єднання клієнтом без відправлення даних.
В даній добірці уразливості в веб додатках:
Раніше в 2008 році я вже писав про Brute Force уразливість в WordPress, що була виявлена Kad ще в 2007 році. Як я нещодавно перевірив в WordPress 2.9.2 дана уразливість досі не виправлена. А також я виявив нові уразливості в WP.
У березні, 02.03.2010, я знайшов Brute Force та Insufficient Authorization уразливості в WordPress.
Brute Force:
В функції захисту сторінок/записів паролем немає захисту від підбору паролю (від Brute Force атак).
Insufficient Authorization:
На кожну сторінку/запис в WP можна поставити пароль і ці паролі можуть співпадати. Але функція доступу по паролю записує глобальний кукіс, що працює одразу для всього сайту. І таким чином, вказавши один раз пароль для однієї сторінки/запису, можна подивитися всі запаролені сторінки/записи (с таким самим паролем, навіть не знаючи, що пароль співпадає), бо при запиті до них, доступ автоматично буде наданий.
В даному випадку є дві побічні дії:
1. У випадку коли є декілька сторінок з одним паролем (наприклад, окремий розділ сайта), то ця функціональність буде зручною, бо можна ввести пароль один раз і отримати доступ одразу до всіх сторінок з цим паролем.
2. У випадку коли є різні сторінки з різними паролями, то це приведе до незручностей, коли буде запам’ятований лише останній пароль і до інших сторінок (з іншими паролями) протрібно буде весь час вводити паролі.
Уразливі WordPress 2.9.2 та попередні версії (всі 2.х версії). Перевірив в різних версіях WP, зокрема в 2.0.11 та 2.9.2.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Причому інфікований сайт http://defend-pc.com є секюріті проектом (псевдо секюріті), що пропонує послуги по захисту комп’ютера від вірусів та спамерів. Їм варто спочатку власний сайт захистити, а вже потім іншим пропонувати захист 
. Якщо ви пошукаєте інформацію в Інтернеті, то виясните, що подібні сайти - це поширений розвод на гроші інтернет-користувачів (даний сайт подібний defend-pc.ru). Ось такі сайти хостить в себе Укртелеком, окрім створення уразливостей на власних сайтах 
.
29.08.2009
У січні, 09.01.2009, я знайшов Full path disclosure, Insufficient Anti-automation та Cross-Site Scripting уразливості на проекті http://zhelem.com. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
09.03.2010
Full path disclosure:
http://zhelem.com/cgi-bin/nb/admin/index.php?lang=1
http://zhelem.com/cgi-bin/nb/admin/pwlost.php?lang=1
http://zhelem.com/cgi-bin/nb/admin/usered.php?lang=1&mode=comment&input_entrynr=44&entrylang=en
Insufficient Anti-automation:
http://zhelem.com/cgi-bin/nb/admin/usered.php?lang=en&mode=comment&input_entrynr=44&entrylang=en
Логін і пароль фіксовані та задані на сторінці.
XSS:
Дані уразливості досі не виправлені.
В даній добірці експлоіти в веб додатках:
У серпні, 18.08.2009, я виявив Cross-Site Request Forgery, Full path disclosure та Denial of Service уразливості в Mantis (MantisBT). Уразливості виявив на одному сайті, який використовує дану систему. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.
Давно хотів розповісти про цей аспект роботи з Google. Ще в 2007 році Гугл ввела систему захисту від автоматизованих запитів в своій пошуковій системі. І дана система захисту від автоматизованих запитів в Гуглі потребує покращення.
Звичайно подібна система дозволяє Гуглу боротися з різними програмами, які намагаються використовувати їх пошукову систему для власних пошуків. Як різними інтернет сервісами, так і вірусами та хробаками. Ті сайти, які потребуватимуть легально використовувати пошукові можливості Гугла, можуть отримати від компанії власний ключ Google Search API.
Але як я багато разів стикався за останні роки, зокрема при секюріті дослядженнях - при деяких запитах Гугл на рівному місці їх блокує. Причому з роками я стикався з цим все частіше . Гугл починає вважати людей, користувачів своєї пошукової системи, ботами. Були в мене випадки, коли запит спрацьовує спочатку нормально, а коли заходиш далі по результатам пошуку (під час досліджень), то Гугл починає блокувати. Зовсім в них неякісна система захисту від автоматизованих запитів. Так що їм треба покращувати свої алгоритми ідентифікації людини.
Ось приклад роботи даної системи від trovich.
Зазначу, що в 2009 році Google переробив дану систему. Вірогідно їм часто лунали скарги на роботу їх системи захисту від ботів, тому вони вірішили її виправити . Вони додали капчу (замість простого блокування), що дозволяє підтвердити те, що ти людина, і далі деякий час Гугл вже не турбує. І з того часу стало значно зручніше проводити секюріті дослідження в даному пошуковці.
10.11.2009
Виявлена можливість впровадження даних в SSL в Apache.
Уразливі версії: Apache 2.2.
Можливість підміни даних пов’язана з переузгодженням протоколу без перевстановлення з’єднання.
08.03.2010
Додаткова інформація.
Виявлена можливість впровадження даних в SSL в багатьох інших додатках окрім Apache.
* 
You are currently browsing the archives for Березень, 2010.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.