Архів за Липень, 2010

Новини: російський кібершахрай, уразливості Windows XP та фальшиві банки

22:49 24.07.2010

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, кібершахрай присвоїв за допомогою інтернет-аукціонів більше 10 мільйонів рублів. Співробітники управління “К” МВС Росії припинили діяльність чоловіка, який протягом трьох років здійснював шахрайські дії на інтернет-аукціонах і тематичних форумах для колекціонерів. Про це повідомила прес-секретар управління “К” МВС РФ Ірина Зубарєва.

За її словами, від дій зловмисника постраждали сотні людей, які проживають як в Росії, так і в країнах СНД. Затриманий розробив хитру схему обману користувачів через Інтернет.

За повідомленням www.3dnews.ru, зловмисниками частіше експлуатуються уразливості Windows XP. Корпорація Microsoft обнародувала черговий звіт Security Intelligence Report (SIR), що висвітлює ситуацію з інформаційною безпекою в Інтернеті в другій половині 2009 року. Представлені в документі дані базуються на аналізі статистичних відомостей, зібраних за допомогою різних програмних засобів захисту ПК більш ніж з 500 мільйонів комп’ютерів по усьому світі, а також за допомогою онлайнових сервісів Windows Live Hotmail і Bing.

Відповідно до звіту, у другому півріччі 2009 року фахівцями Microsoft було виявлено 126 мільйонів зразків шкідливих додатків. Це на 8,9% більше, ніж у першому півріччі минулого року. Проводячи порівняльний аналіз проведених хакерами спроб взлому продуктів корпорації, експерти прийшли до висновку, що 55,3% всіх атак у вивченій вибірці довелося на експлуатування уразливостей Windows XP.

За повідомленням ain.ua, фальшиві банки - основні “автори” фишинга. Темпи електронного фишингу ростуть в усьому світі.

За даними СРР, кількість шкідливих листів за рік склало понад 3,7 млрд. При цьому більше половини повідомлень, що містили фрагменти шкідливого коду, шкідливе ПЗ чи підроблені лінки, довелося на підроблені листи від банківських структур. Даний механізм використовується для одержання незаконного доступу до даних про кредитні карти і банківські рахунки для взлому сервісів онлайн-банкінга.

Четверта річниця роботи проекту

18:38 24.07.2010

На цьому тижні був дуже заклопотаний робою, тому лише сьогодні згадав про чергову річницю :-) . Про яку вам і повідомляю.

Нещодавно, 18.07.2010, моєму веб проекту виповнилося чотири роки! Чотири роки тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно пройшло чотири роки з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю 8-) .

За четвертий рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною була випущена нова версія MustLive Security Pack та нові версії SQL Shell, оновлені Посібник з безпеки та Тестування. Та запроваджені нові цікаві розділи і корисні сервіси на сайті, зокрема зроблений анонс Web Virus Detection System (що був розроблений ще в 2008 році). А також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Добірка уразливостей

15:24 24.07.2010

В даній добірці уразливості в веб додатках:

  • 3Com OfficeConnect Firewall/Router multiple remote Vulnerabilities (деталі)
  • New mediawiki packages fix cross-site request forgery (деталі)
  • XSS in ecoCMS (деталі)
  • XSRF (CSRF) in Zikula Application Framework (деталі)
  • McKesson Horizon Clinical Infrastructure (HCI) version 7.6/7.8/10.0/10.1 hardcoded passwords (деталі)
  • XSS in eliteCMS (деталі)
  • XSS in Acuity CMS (деталі)
  • XSRF (CSRF) in eliteCMS (деталі)
  • NolaPro Enterprise multiple vulnerabilities (деталі)
  • Microsoft Security Bulletin MS09-061 - Critical Vulnerabilities in the Microsoft .NET Common Language Runtime Could Allow Remote Code Execution (974378) (деталі)

Цікаве чтиво на тему web security

22:41 23.07.2010

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

Антивірус для сайтів Free Trust Seal

19:24 23.07.2010

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Free Trust Seal.

Сервіс Free Trust Seal відрізняється від попередніх сервісів тим, що він не має власного сканеру вірусів на веб сайтах. Тому ні в реальному часі просканувати сайт він не може, ні видати кешовані дані про стан інфікованості сайта. Але він надає можливість використати інші сервіси для перевірки сайта (одразу декілька сервісів на одній сторінці), тому даний сервіс може застосовуватися для захисту від вірусів на веб сайтах.

Щоб скористатися Free Trust Seal, потрібно зайти на головну сторінку сайта http://freetrustseal.com (або http://asafesite.com) і вказати URL сайта у відповідному рядку, або напряму зайти на сторінку інформації про сайт (вказавши URL):

http://asafesite.com/check/?site=http://site.com

Можете подитивитися на роботу сервіса на прикладі freetrustseal.com:

http://asafesite.com/check/?site=http://freetrustseal.com

Нові уразливості на auction.ua

15:23 23.07.2010

09.12.2009

У квітні, 19.04.2009, я знайшов Full path disclosure та Information Leakage уразливості на сайті http://auction.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Уразливості я знайшов в партнерському скрипті від auction.ua, але вони наявні й на сайті самого аукціону auction.ua. Даний партнерському скрипт реалізований таким чином, що домен сайта (основний домен) або його піддомен може бути зроблений як аукціон на движку auction.ua. Таких сайтів чимало. І відповідно дірки, що наявні на даному сайті, фізично знаходяться на сервері auction.ua.

Раніше я вже писав про уразливості на auction.meta.ua та інших доменах проекту auction.ua.

Детальна інформація про уразливості з’явиться пізніше.

23.07.2010

Full path disclosure:

http://auction.ua/makethumb2.php?pic=..

Information Leakage:

http://auction.ua/makethumb2.php?pic=index.php&w=100
http://auction.ua/makethumb2.php?pic=index&w=100

Різні відповіді скрипта при вірному імені файла і/або директорії та невірному імені, дозволяють ідентифікувати файли та директорії на сервері.

Дані уразливості досі не виправлені.

Веб браузери: приватність та безпека

22:41 22.07.2010

В своїй презентації Web browser privacy and security, Ben Rothke розповідає про безпеку веб браузерів. Про стан приватності та безпеки в сучасних браузерах.

Переповнення буфера в IBM solidDB

19:27 22.07.2010

Виявлена можливість виконання коду через переповнення буфера в IBM solidDB.

Уразливі версії: IBM solidDB 6.5.

Переповнення буфера в службі TCP/1315.

  • IBM SolidDB solid.exe Handshake Request Username Field Remote Code Execution Vulnerability (деталі)

Добірка уразливостей

15:16 22.07.2010

В даній добірці уразливості в веб додатках:

  • Multiple Flaws in Huawei SmartAX MT880 [was: Multiple Flaws in Huawei D100] (деталі)
  • TaskFreak 0.6.2 SQL Injection Vulnerability (деталі)
  • vBulletin - Insecure Custom BBCode Tags (деталі)
  • Apache ActiveMQ XSS Vulnerability (деталі)
  • openjdk-6 vulnerabilities (деталі)
  • Openannuaire Openmairie Annuaire 2.00 (RFI/LFI) Multiple File Include Vulnerability (деталі)
  • Opencadastre 1.02 Local File Include Vulnerability (деталі)
  • Opencimetiere 2.01 Multiple Remote File Include Vulnerability (деталі)
  • Opencatalogue 1.024 Local File Include Vulnerability (деталі)
  • 2WIRE Gateway Authentication Bypass & Password Reset (деталі)

Похакані сайти №105

22:44 21.07.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.vjua.org (хакером man1ac з KDS) - 16.07.2010, зараз сайт вже виправлений адмінами
  • http://www.serafim.kiev.ua (хакерами з KDS) - 16.07.2010, зараз сайт закритий провайдером
  • http://www.metall.te.ua (хакером TheWayEnd) - 08.07.2010, зараз сайт не працює (вірогідно він закритий провайдером)
  • http://www.inzhir.yalta.ua (хакером ExcalibuR) - 11.07.2010, зараз сайт не працює (немає контенту)
  • http://dlh.com.ua (хакером ATesS) - 11.07.2010, зараз сайт не працює