Архів за Квітень, 2010

DNS Rebinding атаки

22:42 30.04.2010

Продовжуючи розпочату традицію, після попереднього відео про виконання довільного коду через phpBB, пропоную новий відео секюріті мануал. Цього разу відео про DNS Rebinding атаки. Рекомендую подивитися всім хто цікавиться цією темою.

DNS Rebinding with Robert RSnake Hansen

В даному відео ролику RSnake розповіє про DNS Rebinding атаки. Про те як працює DNS, як відбувається DNS Rebinding в браузерах, яким чином на це можна вплинути і для яких атак це може бути використано. Рекомендую подивитися дане відео для розуміння DNS Rebinding атак.

Уразливість в Mango

20:04 30.04.2010

13.02.2010

У липні, 05.07.2009, я знайшов Cross-Site Scripting уразливість в системі Mango (це блог движок на ColdFusion). Уразливість виявив на сайті http://cfug.org.ua, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

30.04.2010

XSS:

http://site/archives.cfm/search/?term=%3Cbody%20onload=alert(document.cookie)%3E

Уразливі Mango 1.4.1 та попередні версії.

В Mango 1.4.2 дана уразливість була виправлена. Причому розробники її виправили ще до того, як я їм повідомив про уразливість - коли 13.02.2010 я дійшов до того, щоб оприлюднити дану разливість, я виявив, що вона вже виправлена в останній версії Mango, яка вийшла 02.02.2010.

Цікаві записи на тему веб безпеки

17:35 30.04.2010

Враховуючи, що в цьому році я вже не маю часу робити окремі записі про цікаві записи на секюріті блогах, як я це робив раніше, то я вирішив зробити добірку цікавих сеюріті записів. Подібіно до добірок цікавих новин на тему безпеки (що я почав роботи в цьому році) та добірок статей на тему web security.

Зазначу, що в попередні роки я декілька разів робив подібні добірки, і зараз повертаюся до даної практики. Тому пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Effects of DNS Rebinding On IE’s Trust Zones, RSnake розповідає про те, як DNS Rebinding може вплинути на зони контенту в IE.

В своєму записі Man in the Middle, RSnake розповідає про MITM атаки.

В своєму записі How to tell when you are SE0wN3d?, Jeremiah розповідає при виявлення факту SEO-взлому на сайті. Я вже розповідав про подібний випадок на www.peremoga.gov.ua, який я виявив нещодавно.

Обхід систем для пошуку вірусів на веб сайтах

22:44 29.04.2010

В продовження мого дослідження систем для пошуку вірусів на веб сайтах та статті Безпечний пошук, розповів вам про обхід даних систем. Даний метод обходу систем для пошуку вірусів на веб сайтах я придумав декілька днів тому.

Обмірковуючи тему захисту від вірусів на сайтах я виявив, що можливий обхід систем для пошуку вірусів на веб сайтах, зокрема тих, що вбудовані в пошукові системи. Це можливо через використання клоакінга, коли аналізується User Agent, і якщо це пошукова системи, то шкідливий код не виводиться, якщо ж браузер - то виводиться. Подібне можна реалізувати в шкідливих скриптах (Perl, PHP та інших), розміщенних на інфікованих сайтах, або на сайтах зловмисників, на які посилаються інші сайти, зокрема в тегах script та iframe.

Зазначу, що використання методики клоакінга я вже зустрічав в шкідливих скриптах при їх дослідженні в останні роки. Зокрема я стикався з перевірками на реферер (подібний підхід може застосовуватися і для User Agent). І дана методика захисту шкідливого коду від систем для пошуку вірусів створює серйозний виклик даним системам.

Даний метод може бути використанний проти більшості зі згаданих систем, якщо вони мають власний User Agent, відмінний від User Agent браузера. Особливо проти систем для пошуку вірусів, що вбудовані в пошуковці, бо боти пошуковців мають відповідні User Agent. Але цей метод не спрацює проти моєї системи WebVDS, тому що вона використовує User Agent браузера і тому виглядає як звичайний браузер користувача.

Квітневий вівторок патчів від Microsoft

19:05 29.04.2010

В квітні місяці Microsoft випустила 11 патчів. Що більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетеней по безпеці, що закривають більше двадцяти уразливостей. Серед даних патчів 5 критичних, 5 важливих і 1 патч середньої важливості.

Дані патчі стосуються таких продуктів Microsoft як Windows 2000, XP, Vista, 7, Server 2003, Server 2008, Office XP, 2003, 2007 та Exchange Server 2000, 2003, 2007, 2010.

Добірка уразливостей

15:10 29.04.2010

В даній добірці уразливості в веб додатках:

  • HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
  • eWebeditor Directory Traversal Vulnerability (деталі)
  • Trend Micro OfficeScan CGI Parsing Buffer Overflows (деталі)
  • Trend Micro OfficeScan “cgiRecvFile.exe” Buffer Overflow (деталі)
  • Kayako SupportSuite Multiple Persistent Cross Site Scripting (Current Versions) (деталі)
  • Vulnerability in iBoutique v4.0 (деталі)
  • New dokuwiki packages fix several vulnerabilities (деталі)
  • IdeaCMS v1.0 (fck) Remote Arbitrary File Upload (деталі)
  • Certain HP LaserJet Printers, HP Color LaserJet Printers, and HP Digital Senders, Remote Unauthorized Access to Files (деталі)
  • djbdns misformats some long response packets; patch and example attack (деталі)

Похакані сайти №94

22:45 28.04.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.peremoga.gov.ua (Black SEO) - 27.11.2009 - похаканий державний сайт, про що я вже розповідав детально, зараз я вже виправив сайт
  • http://www.220v.net.ua (хакерами з Albanian Cyber Warriors) - 24.04.2010, зараз сайт вже виправлений адмінами
  • http://kvs.gov.ua (хакером Nitrojen26 з Ashiyane Digital Secyrity Team) - похаканий державний сайт - взломаний розділ сайта, причому окрім Nitrojen26 сайт був взломаний і іншими хакерами
  • http://av.ved.bz (хакером PURGATORY-VX) - 19.04.2010, зараз сайт вже виправлений адмінами
  • http://rnl.lviv.ua (хакером GHoST61) - 23.04.2010, зараз сайт вже виправлений адмінами

Уразливості на shareua.com

19:09 28.04.2010

19.10.2009

У лютому, 16.02.2009, я знайшов SQL DB Structure Extaction, SQL Injection та Cross-Site Scripting уразливості на сайті http://shareua.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.04.2010

SQL DB Structure Extaction:

http://shareua.com/files/show/1/%27

SQL Injection:

http://shareua.com/files/show/1/1%27%20or%20%40%40version%3D5%23

XSS / HTML Injection:

http://shareua.com/files/show/1/%27%3Ch1%3EHacked%3C%2Fh1%3E

Дані уразливості вже виправлені.

Добірка експлоітів

15:20 28.04.2010

В даній добірці експлоіти в веб додатках:

  • FSphp 0.2.1 Multiple Remote File Inclusion Vulnerabilities (деталі)
  • Joomla com_jbudgetsmagic (bid) Remote SQL Injection Vulnerability (деталі)
  • DDL CMS 1.0 Multiple Remote File Inclusion Vulnerabilities (деталі)
  • Joomla com_surveymanager (stype) SQL Injection Vulnerability (деталі)
  • BigAnt Server <= 2.50 SP6 Local (ZIP File) Buffer Overflow PoC #2 (деталі)
  • Joomla com_mytube (user_id) Blind SQL Injection Exploit (деталі)
  • Joomla com_jinc (newsid) Blind SQL Injection Vulnerability (деталі)
  • WX Guest Book 1.1.208 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
  • Loggix Project <= 9.4.5 Multiple Remote File Inclusion Vulnerabilities (деталі)
  • ProdLer <= 2.0 (prodler.class.php sPath) RFI Vulnerability (деталі)

Захищений сайт www.peremoga.gov.ua

23:59 27.04.2010

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після минулорічного відхакання сайта laguna.net.ua (який був взломаний іноземний хакером), я захистив новий сайт. Цього разу я захистив державний сайт http://www.peremoga.gov.ua.

Після того як 01.11.2009 я виявив, що він дірявий (але тоді зловмисної активності на сайті я не побачив) і враховуючи те, що найближчим часом відбудеться 65 річниця перемоги в Великій Вітчизняній Війні, я нещодавно ще раз відвідав даний сайт. І виявив, що black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

При цьому, що цікаво, вони не напряму розміщували лінки, як це за звичай роблять black SEO (з того що я раніше бачив на взломаних сайтах), а розміщували їх через SAPE. Тобто через веб брокера (через php-скрипт) розміщували лінки на взломаному державному сайті. Цікаво як брокер допустив gov-сайт в свою систему і нічого при цьому не запідозрив. В даному випадку вони самі отримували прибуток (тому можуть вважатися спільниками), тому й не звертали жодної уваги на державний статус даного сайта.

Як я виявив, сайт www.peremoga.gov.ua був взломаний багато разів. Всього я виявив на сервері 12 файлів з шелами та іншими інструментами, якими користувалися зловмисники (різні black SEO та нехороші хакери в період з 2007 по 2010). Але я виправив дану ситуацію і прибрав дані нехороші лінки. Як і згадані шел-скрипти. Тому стан сайта зараз відновлений, але його адмінам потрібно серйозно зайнятися безпекою даного сайта.