Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://poligrafist.com.ua - інфекція була виявлена 13.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://atur.com.ua - інфекція була виявлена 19.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://host1gb.kiev.ua - інфекція була виявлена 08.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://sss.1gb.ua - інфекція була виявлена 19.03.2010. Зараз сайт не входить до переліку підозрілих.
• http://tandem.dp.ua - інфекція була виявлена 19.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти poligrafist.com.ua та tandem.dp.ua також хостить в себе Укртелеком.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in OpenSSL (деталі)
• pragmaMx CMS Blind SQL/XPath Injection vulnerability (деталі)
• XSS Vulnerability in JpGraph 3.0.6 (деталі)
• Kayako SupportSuite version 3.60.04 (деталі)
• Oracle exploit for CTXSYS.DRVXTABC.CREATE_TABLES and others (деталі)
• HTML Injection in Oracle WebLogic Server Console (деталі)
• CVE-2009-1979 (Oracle RDBMS) (деталі)
• Vulnerabilities in JpGraph (деталі)
• LiveZilla - XSS Vulnerability (деталі)
• DBHCMS Web Content Management System v1.1.4 RFI Vulnerability (деталі)

Як я вже розповідав стосовно систем пошуку вірусів на веб сайтах, існують як окремі системи, так і системи пошуку вірусів вбудовані в пошукові системи. Розглянемо дані системи.

Серед пошуковців функцію захисту користувачів системи від небезпечних сайтів мають наступні:

• Google (власна технологія).
• Yahoo (технологія SearchScan від McAfee).
• Яндекс (технологія від Sophos та власна технологія).

Дані пошукові системи - Google, Yahoo та Яндекс (що додав дану функцію в 2009 році) - відмічують шкідливі сайти в результатах пошуку, якщо система пошуку вірусів в даних пошукових системах виявила шкідливий код на веб сайтах, що виводяться в результатах пошуку. Таким чином пошуковці турбуються про користувачів власних систем.

Результатами впровадження даних систем є:

• Збільшення безпеки користувачів даних пошукових систем. Ефективність різних систем різна, що видно з мого тестування систем пошуку вірусів на веб сайтах, але рівень безпеки користувачів всіх зазначених систем збільшується.
• Блокування сайтів в пошукових системах, якщо вони були інфіковані. Що буде турбувати власників сайтів з точки зору SEO та отримання відвідувачів з даних пошукових систем.

Так що пошукові системи та їхні користувачі безумовно виграють від наявності захисту від шкідливих сайтів в рамках пошукових систем. Питання лише в тому, хто наступний з пошуковців запропонує подібну функцію і головне, щоб захист був ефективний.

Виявлені можливості обходу захисту в Imperva SecureSphere WAF.

Уразливі версії: Imperva SecureSphere 7.0.

Можливий обхід фільтрів Web Application Firewall, що дозволяє проводити SQL Injection, Cross-Site Scripting та інші атаки на веб додатки, що захищаються SecureSphere. Як я вже зазначав стосовно Apache mod_security, обхід WAF - це звичайна справа (ще з 2006 року я регулярно обхожу різні WAF).

• Imperva SecureSphere Web Application Firewall and Database Firewall Bypass Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• Kolibri+ Webserver 2 (GET Request) Remote SEH Overwrite Exploit (деталі)
• Kolibri+ Webserver 2 Directory Traversal Vulnerability (деталі)
• FtpXQ FTP Server 3.0 Remote Denial of Service Exploit (auth) (деталі)
• Techlogica HTTP Server 1.03 Arbitrary File Disclosure Exploit (деталі)
• Neufbox NB4-R1.5.10-MAIN Persistent XSS Vulnerability (деталі)
• httpdx Web Server 1.4 (Host Header) Remote Format String DoS Exploit (деталі)
• Aurora CMS 1.0.2 (install.plugin.php) Remote File Inclusion Vulnerability (деталі)
• Bs Counter 2.5.3 (page) Remote SQL Injection Vulnerability (деталі)
• Cerberus FTP Server 3.0.3 Remote Denial of Service Exploit (деталі)
• Apple Safari IPhone (using tel:) Remote Crash Exploit (деталі)

Торік в Києві пройшла конференція CodeCamp 2009, на якій я виступив з доповідями. А цього року проводиться конференція CodeCamp 2010, яка проходить в Києві на цих вихідних, 17 та 18 квітня.

CodeCamp - це дводенна всеукраїнська конференція на тему сучасних технологій розробки програмного забезпечення та інформаційної безпеки. Детально про CodeCamp 2010 ви можете дізнатися на офіційному сайті.

На CodeCamp 2010 у неділю будуть представлені дві доповіді на тему безпеки:

• SaaS для моніторингу доступності, навантаження та безпеки інтернет серверів.
• Комплексные системы защиты информации: принципы построения и управления.

Успішного виступу даним доповідачам та всім доповідачам на конференції .

На початку квітня вийшло оновлення безпеки для Invision Power Board 3.0.5, що вийшла в грудні 2009 року. В даному оновленні виправлена невелика Information Leakage уразливість, яка стосується 3.0.x версій движка.

• Обновление безопасности в IP.Board 3.0.5 (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки в IP.Board останніх версій, а саме IPB 3.0.5. Була знайдена невелика уразливість, пов’язана з недостатньою перевіркою вхідних даних при редагування профілю. В останній версії дистрибютива IPB 3.0.5 дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• SonicWALL SSL-VPN Appliance Format String Vulnerability (деталі)
• SonicOS Format String Vulnerability (деталі)
• PHP-Calendar <= v1.1 'configfile' Remote and Local File Inclusion vulnerability (деталі)
• Simple PHP Blog <= 0.5.1 Local File Include vulnerability (деталі)
• Re: Powered By Dvbbs Version 7.1.0 Sp1 By Pass (деталі)
• Rumba XML XSS vulnerability (деталі)
• Ganeti path sanitization errors (деталі)
• Sun IDM Arbitrary Commands Execution Vulnerability (деталі)
• ClarkConnect XSS vulnerability (деталі)
• SQL-Ledger – several vulnerabilities (деталі)

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі GlobalWoW. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/acs/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/acs/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі GlobalWow 3.0.9 та попередні версії (та потенційно наступні версії).

А також вразливі наступні продукти: ArcEmu та WOW Emulator Server разом з якими може постачатися GlobalWow.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, ФБР розповіло про структуру кібербанд. ФБР представило типову структуру банди, що займається злочинами у сфері комп’ютерних технологій.

Заступник директора департаменту ФБР з кіберзлочинів Стівен Чабінскі заявив, що кібербанди починають нагадувати за своєю структурою високоорганізовані злочинні синдикати, тобто мафію. Він також зазначив, що боротьба зі злочинами у сфері високих технологій перетворилася в найважливішу задачу для ФБР.

Цікаво, звідки у ФБР інформація про внутрішню структуру кібербанд. Може вони власну банду створили і розповідають виходячи з власного досвіду. Або може вони свого агента впровадили в подібну банду.

За повідомленням ain.ua, Internet Explorer 8 краще всіх захищає від загроз. Компанія NSS Labs представила звіт про безпеку сучасних браузерів. Відповідно до цього звіту, Internet Explorer 8 краще інших справляється з захистом комп’ютера від онлайн-загроз.

Дана програма для веб-серфінга блокує в три рази більше небезпечних додатків і лінок, ніж інші програми - Chrome 4, Firefox 3.5 чи Opera 10. Зазначу, що торік я вже писав про те, що IE8 перемагає в серії тестів на безпеку (проведених ціє ж компанією NSS Labs). І як і того разу, в новому проплаченому Microsoft тесті нічого не змінилося .

Як раніше повідомляли онлайн ЗМІ, Касперьский заблокував Яндекс.Метрику. За повідомленням www.f1cd.ru, через деякий час проблема KIS 2010 з Яндекс.Метрикою була усунута.

Проблема полягала в тому, що Kaspersky Internet Security 2010 вважав сайти, на яких розміщений код Яндекс.Метрики шкідливими. Даний інцидент подібний до випадку з Google AdSense, коли Антивірус Касперського признав в Google AdSense трояна. Зазначу, що якщо б Касперський використовував в своїх антивірусах не власні бази для пошуку вірусів на сторінках, а мою систему Web Virus Detection System, то такої проблеми не сталося би.