Websecurity - Веб безпека

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових сайтів, де я знайшов уразливості.

Це діряві gov-сайти: www.library.kiama.nsw.gov.au, www.doe.gov.my, www.visualarts.qld.gov.au, blog.educacao.mg.gov.br, organismos.chubut.gov.ar. І найближчим часом напишу про нові сайти.

28.09.2009

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Підміна сертифікатів, пошкодження пам’яті при розборі зображень.

• Vulnerabilities in PHP (деталі)

27.04.2010

Додаткова інформація.

• PHP <=5.3 - preg_match() full path disclosure (деталі)
• PHP <=5.3 - mysqli_real_escape_string() full path disclosure (деталі)
• Vulnerability in gd (деталі)

В даній добірці уразливості в веб додатках:

• SSL certificate spoofing vulnerability in cURL and libcurl (деталі)
• Serena Dimensions CM Desktop Client does not validate the server SSL certificate (деталі)
• Blaze Apps Multiple Vulnerabilities (деталі)
• ezContents CMS Multiple Vulnerabilities (деталі)
• Vulnerabilities in Roundcube Webmail (деталі)
• Multiple Vulnerabilities in XOOPS 2.4.3 and earlier (деталі)
• Zenoss Multiple Admin CSRF (деталі)
• GnuTLS vulnerabilities (деталі)
• vBulletin nulled (validator.php) files/directories disclosure (деталі)
• Insufficient User Input Validation in VP-ASP 6.50 Demo Code (деталі)

У квітні, 20.04.2010, я знайшов Full path disclosure, Redirector, Cross-Site Scripting та Insufficient Anti-automation уразливості на секюріті проекті http://vs-db.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.umvs-kherson.gov.ua (як і uit.umvs-kherson.gov.ua) - інфікований державний сайт - інфекція була виявлена 16.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 10 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://emarket.ua - інфекція була виявлена 30.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://www.dovidka.lutsk.ua - інфекція була виявлена 24.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://papovs.at.ua - інфекція була виявлена 24.04.2010. Зараз сайт не входить до переліку підозрілих.
• http://orthodox.lutsk.ua - інфекція була виявлена 24.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Зазначу, що я вже повідомляв про уразливість на http://uit.umvs-kherson.gov.ua.

В цьому місяці відкрився секюріті проект vs-db.info - Vulnerable Sites Database. Метою даного проекту є оприлюднення уразливостей на веб сайтах (Full disclosure). При цьому автори надають анонси уразливостей всім бажаючим безпосередньо в себе на сайті, а деталі доступні у вигляді Бази Даних (в різних форматах). З травня дана БД буде доступна лише зареєстрованих користувачам та участникам проекту.

Зазначу, що я прийняв участь у даному проекті й почав надсилати в їхню БД знайдені мною уразливі сайти. Я вже відправив їм 11 дірявих сайтів, про які я писав в новинах раніше, в тому числі 10 gov-сайтів.

А також 4 нових дірявих gov-сайтів: www.umvspz.gov.ua, archivesoutside.records.nsw.gov.au, enewsletter.catawbacountync.gov, www.homologacao.php.ba.gov.br. І найближчим часом напишу про нові сайти.

В даній добірці експлоіти в веб додатках:

• Joomla Component com_jreservation 1.5 (pid) Blind SQL Injection Exploit (деталі)
• Nephp Publisher Enterprise 4.5 (Auth Bypass) SQL Injection Vulnerability (деталі)
• FMyClone 2.3 Multiple SQL Injection Vulnerabilities (деталі)
• CF Shopkart 5.3x (itemid) Remote SQL Injection Vulnerability (деталі)
• OpenSiteAdmin 0.9.7b (pageHeader.php path) RFI Vulnerability (деталі)
• Mambo Component com_koesubmit 1.0.0 RFI Vulnerability (деталі)
• Xerver HTTP Server <= 2.50 SP6 Remote Denial of Service Vulnerability (деталі)
• ClearSite 4.50 (cs_base_path) Remote File Inclusion Vulnerability (деталі)
• Zainu (album_id) Remote SQL Injection Vulnerability (деталі)
• FanUpdate 2.2.1 (show-cat.php listingid) SQL Injection Vuln (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням ain.ua, у Twitter з’явилася система перевірки лінок. Сервисі скорочення посилань, що використовуються в мікроблогах, є одним зі способів поширення шкідливого програмного забезпечення. Таке коротке посилання може вести на заражений чи фішинговий сайт. Тому адміністрація Twitter сьогодні повідомила про появу нового інструмента перевірки зовнішніх лінок. Метою цього інструмента є захист від фішинга і поширення вірусів.

Про атаки через редиректори та про небезпеки сервісів редирекції я писав неодноразово. Зокрема я писав про розповсюдження шкідливого ПЗ через TinyURL. Подивимося, чи зможе новий сервіс Twitter (як і нова ініциатива TinyURL) впоратися з перевіркою лінок, враховучи ефективність існуючих систем пошуку вірусів на веб сайтах. Подивимося, чи зроблять вони свою технологію, чи використають вже існуючі від інших компаній.

За повідомленням hackzona.com.ua, компанії втрачають $2 мільйони в рік через кібератаки. Symantec опублікував результати свого глобального дослідження корпоративної безпеки.

Дослідження показало, що 42% компаній вважають забезпечення безпеки одним з ключових завдань. Результати не стали сюрпризом, оскільки за останні 12 місяців кібератакам піддалися до 75% організацій. Подібні атаки обходяться компаніям в середньому по $2 мільйони в рік.

За повідомленням www.theregister.co.uk, thousands of sites loaded with potent malware cocktail. Компанія ScanSafe, що розробила сервіс подібний до моєї системи Web VDS, виявила тисячі нових інфікованих сайтів.

За повідомленням компанії, що була торік куплена Cisco, кіберзлочинці розмістили на приблизно 2000 легітимних веб сайтах коктейл зі шкідливих кодів, що заражає відвідувачів даних сайтів. Подібне трапляється щодня, але ScanSafe відзначає, що цього разу використовувалися просунуті методи приховування шкідливих файлів, які значно ускладнили їх виявлення адмінами сайтів чи anti-malware програмами.

В своїй презентації Essential PHP Security, Arne Blankerts розповів про основну безпеку PHP. Це доповідь з конференці ZendCon 2009.

В даній добірці уразливості в веб додатках:

• Re: Another SQL injection in ProFTPd with mod_mysql (probably postgres as well) (деталі)
• Re: Re: Another SQL injection in ProFTPd with mod_mysql (probably postgres as well) (деталі)
• New phpldapadmin packages fix remote file inclusion (деталі)
• New horde3 packages fix cross-site scripting (деталі)
• Directory traversal in the webadmin of Unreal Tournament 3 1.3 (деталі)
• XSS Vulnerability in Active Calendar 1.2.0 (деталі)
• OpenSSL vulnerabilities (деталі)
• XSS Vulnerability in Drupal’s Node Blocks contributed module (6.x-1.3 and 5.x-1.1) (деталі)
• Local file inclusion/execution and multiple CSRF vulnerabilities in LetoDMS (formerly MyDMS) (деталі)
• Cross Site Identification (CSID) attack. Description and demonstration. (деталі)