Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yunona-tom.com (хакером isarock666)
• http://www.aktiva.ua (хакером SheKkoLik) - 06.06.2010, зараз сайт вже виправлений адмінами
• http://www.budlim.com (хакером ExcalibuR)
• http://psiham.org.ua (хакером FeniX) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://www.school29.poltava.ua (хакером Y0u_W3rY)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6, 7 і 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Міжсайтовий скриптінг, витік інформації, численні пошкодження пам’яті.

• Microsoft Internet Explorer Stylesheet Array Removal Remote Code Execution Vulnerability (деталі)
• Microsoft Security Bulletin MS10-035 - Critical Cumulative Security Update for Internet Explorer (982381) (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances (деталі)
• Pulse CMS Arbitrary File Writing Vulnerability (деталі)
• Instant CMS <= 1.1rc3 Admin (Auth Bypass) Vulnerability (деталі)
• Joomla component com_universal <= Remote File Inclusion Vulnerability exploit (деталі)
• Chance-i Techno Vision Security System - Directory Traversal File Download (деталі)
• Precidia Ether232 Memory Corruption (деталі)
• Aris AGX agXchange ESM Cross Site Scripting Vulnerability (деталі)
• There is a Permanent-type Cross-Site Vulnerability in “Personal Signature” in all version of Discuz! (деталі)
• Multiple Vulnerabilities in EASY Enterprise DMS (деталі)
• Interactivefx.ie CMS SQL Injection Vulnerability (деталі)

Нещодавно я розповідав про DoS атаку на користувачів Укртелекому. А зараз розповім про одну цікаву уразливість в Укртелекомі, про яку вже давно планував розповісти. Яка є передусім локальною уразливістю, але яка пов’язана з Інтернет послугою Укртелекому.

У березні, 22.03.2007, я знайшов Weak Password уразливість в Укртелекомі. Що має місце в послузі “ОГО” по доступу в Інтернет від Укртелекому. Дану уразливість я виявив одразу, як підписував договір з Укртелекомом (безпосередньо в їхньому центрі) і одразу про неї повідомив представикам компанії. На що вони забили , проігнорувавши мої аргументи.

Опис даної уразливості стосується абонентів Києва, в інших містах та регіонах України можуть деякі деталі відрізнятися, але суть буде та сама. Уразливість полягяє в тому, що легко можна дізнатися логін та пароль користувача для доступу в Інтернет, знаючи його номер телефону.

Weak Password:

Стандартна схема генерації логіну та паролю для користувачів “ОГО” (де xxxxxxx - це номер телефону користувача):

Логін: kv_xxxxxxx@dsl.ukrtel.net
Пароль: xxxxxxx

Дані логін й пароль видаються Укртелекомом і безпосередньо в їхньому центрі змінити це не можна. Як мені пояснили представники компанії, пароль (тільки пароль) можна змінити через їхній сайт, тому вони не переживають за дану уразливість. Але як я тоді перевірив, процес зміни паролю більш складний, ніж мені описували представники компанії. Та й мало хто буде цим займатися - змінювати свій пароль (тим паче, що процес ускладнений), як я їм пояснив. Але вони не дослухалися, тому й по сьогодні дана уразливість актуальна.

Це локальна уразливість. Віддалено використати її не вийде (щоб підключитися в Інтернет від іншої особи з іншим телефоном), бо при з’єднанні перевіряється не тільки логін і пароль, але й телефон з якого йде дзвінок. Хоча й тут є потенційний варіант. Можливості атаки з використанням даної уразливості:

1. При фізічному доступі до комп’ютера (наприклад, маючи акаунт або використавши чужий аккаунт, дізнавшись чи вгадавши пароль), коли для поточного акаунта немає збереженого паролю для Інтернет з’єднання. Тоді можна визначити логін і пароль по вищезгаданій схемі та отримати доступ до Інтернет.

2. При фізічному доступі до телефону (наприклад, прийшовши з ноутбуком, з власним ADSL-модемом, чи використавши модем даного користувача “ОГО”). Тоді можна отримати доступ до Інтернет.

3. Віддалений варіант (потенційний). Можна провести атаку на модемний пул Укртелекому, з використанням визначених логіну та паролю, та спеціального модему, що може вказувати довільний зворотній номер (тобто обманювати АОН). Це потрібно робити з телефону, що відноситься до тієї ж АТС, що і телефон жертви, за чий рахунок потрібно отримати доступ до Інтернет. Це потрібно для надійності, що атака спрацює.

12.05.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16 та 17.

Ось нова добірка уразливих секюріті сайтів:

• zillya.com
• codecamp.org.ua
• ua-hack.com

Всім security проектам слід приділяти більше уваги безпеці власних веб сайтів.

15.06.2010

Ще одна добірка уразливих секюріті сайтів:

• vs-db.info
• www.bezpeka.com
• cripo.com.ua
• www.securityhome.eu

Секюріті проектам варто більше слідкувати за безпекою власних сайтів.

25.11.2009

У березні, 25.03.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості на сайті http://www.shram.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.shram.kiev.ua. Я вже повідомляв адміну про численні уразливості на його сайті й зараз повідомлю про чергові дірки, яких на сайті вистачає .

Детальна інформація про уразливості з’явиться пізніше.

15.06.2010

XSS:

• alert(document.cookie)
• цікавий
• html включення

Full path disclosure

http://www.shram.kiev.ua/top100/
http://www.shram.kiev.ua/top100/edit.php
http://www.shram.kiev.ua/news/

Якщо FPD вже виправлені, то XSS уразливість досі не виправлена.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://shaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 24.04.2010. Зараз сайт входить до переліку підозрілих.
• http://notforall.info - інфекція була виявлена 31.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://sushistudio.net - інфекція була виявлена 01.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://strawbale.ho.ua - інфекція була виявлена 14.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://daniluks.com - інфекція була виявлена 01.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як я розповідав раніше, в Internet Explorer 8 був доданий функціонал, відомий як XSS Filter, призначений для протидії XSS уразливостям (зокрема reflected XSS). І пізніше була виявлена уразливість в IE8, що дозволяла обхід XSS фільтра в Internet Explorer. Дана уразливість могла використовуватися для XSS атак на користувачів сайтів, причому навіть тих сайтів, де немає XSS дірок.

За повідомленням www.h-online.com, Microsoft to fix further vulnerabilities in IE 8 XSS filter. Microsoft зробила два виправлення свого XSS фільтру - в січневому та березновому патчах. Та планує випустити ще один патч в червні для виправлення останнього вектора атаки на XSS Filter (що був оприлюднений на конференції Black Hat Europe).

Також в березневому патчі Microsoft додала новий функціонал в свій XSS Filter. Який дозволяє за допомогою спеціальної відповіді сервера (що включає режим блокування в XSS Filter) заборонити відображення даної сторінки в браузері. З приводу даного функціоналу найближчим часом я напишу окремо.

Повідомляється також, що в Google Chrome 4 доданий власний антиXSS фільтр - XSS Auditor (аналог XSS Filter в IE8). Даний функціонал доданий в WebKit, тому окрім Google Chrome 4 він також буде доступний в Apple Safari. WebKit також підтримує X-XSS заголовки, тому окрім IE8, браузери Chrome та Safari також зможуть використати відповідні заголовки сервера (для протидії XSS атакам). Вищезгаданий блокуючий режим поки ще не підтримується WebKit, але його підтримку планують додати в майбутній версій.

В даній добірці уразливості в веб додатках:

• DX Studio Player Firefox plug-in command injection (деталі)
• CMS Openpage (index.php) SQL Injection Vulnerability (деталі)
• Zephyrus CMS (index.php) SQL Injection Vulnerability (деталі)
• “$referer” export lead to the cross-site flaws in all versions of Discuz! (деталі)
• Multiple Flaws in Huawei D100 (деталі)
• Pulse CMS Arbitrary File Deletion Vulnerability (деталі)
• OpenCMS OAMP Comments Module XSS (деталі)
• SpringSource Hyperic HQ multiple XSS vulnerabilities (деталі)
• Pulse CMS login.php Arbitrary File Writing Vulnerability (деталі)
• Motorola Timbuktu Pro PlughNTCommand Stack Based Buffer Overflow Vulnerability (деталі)

Нещодавно я писав про DoS в Firefox, Internet Explorer, Chrome та Opera та DoS атаки на поштові клієнти через обробники протоколів. Раніше я писав про атаки через різні протоколи, які відносяться до категорії DoS через обробники протоколів (DoS via protocol handlers).

Зараз повідомляю про DoS в різних браузерах через протоколи chrome, wmk і outlook. Атаки через поштові клієнти також можливі, про що я писав у відповідному записі. В травні, 26.05.2010, я виявив Denial of Service уразливості в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Вони відноситься до типу блокуючих DoS та DoS через споживання ресурсів. Дані атаки можна провести як з використанням JS, так і без нього (створивши сторінку з великою кількістю iframe).

DoS:

Chrome & Opera DoS Exploit.html

Даний експлоіт для протокола chrome працює в Google Chrome 1.0.154.48 та Opera 9.52.

В Chrome відбувається блокування браузера. А в Opera відбувається споживання ресурсів (процесора та пам’яті).

Firefox, IE, Chrome & Opera DoS Exploit4.html

Даний експлоіт для протокола wmk працює в Mozilla Firefox 3.0.19 (і окрім попередніх версій, він повинен працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Google Chrome 1.0.154.48 та Opera 9.52.

Для роботи експлоіта потрібен встановлений WebMoney Keeper Classic. У браузерах Firefox та IE відбувається блокування та перенавантаження системи від запуску WebMoney Keeper (також повинно працювати в IE8, але на комп’ютері з IE8 не було WebMoney Keeper, щоб це перевірити). В Chrome відбувається блокування браузера. А в Opera атака відбувається без блокування, лише споживання ресурсів (більш повільне ніж в інших браузерах).

Firefox, IE, Chrome & Opera DoS Exploit5.html

Даний експлоіт для протокола outlook працює в Mozilla Firefox 3.0.19 (і окрім попередніх версій, він повинен працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Google Chrome 1.0.154.48 та Opera 9.52.

Для роботи експлоіта потрібен встановлений Microsoft Outlook. У браузерах Firefox та IE відбувається блокування та перенавантаження системи від запуску Outlook (в IE8 не працює). В Firefox, якщо дозволити автоматичний запуск програми обробника даного протоколу, встановивши чекбокс, то замість блокування браузера, буде блокування та перенавантаження всієї системи (як це відбувається в IE). В Chrome відбувається блокування браузера. А в Opera атака відбувається без блокування, лише споживання ресурсів (більш повільне ніж в інших браузерах). Якщо на комп’ютері немає Outlook, то в Firefox відбудеться блокування браузера, а в IE та Opera - споживання ресурсів.