Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Lotus Sametime User Enumeration Vulnerability (деталі)
• Openpresse 1.01 Local File Include Vulnerability (деталі)
• Openplanning 1.00 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• Openfoncier 2.00 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• Apple Safari local file theft vulnerability (деталі)
• Apple Safari SVG Set.targetElement() Memory Corruption Vulnerability (деталі)
• Apple WebKit attr() Invalid Attribute Memory Corruption Vulnerability (деталі)
• Apple WebKit dir Attribute Freeing Dangling Object Pointer Vulnerability (деталі)
• XSS vulnerability in Zikula Application Framework (деталі)
• XSS vulnerability in Zikula Application Framework (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Copy attack
• Covert channel
• Cross Application Scripting
• DNS cache poisoning
• Dangling pointer

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, у Рязані затримано творця шкідливого ПЗ. Детективами Управління “К” МВС Росії припинено діяльність зловмисника, який створив і поширював в мережі Інтернет шкідливу програму, що дозволяє розсилати масові спам-повідомлення на популярних електронних ресурсах - соціальних мережах, форумах та поштових ресурсах. Крім даної програми, даний діяч розробив і багато іншого шкідливого ПЗ.

За повідомленням www.theregister.co.uk, Researcher shows how to strike back at web assailants. Французький секюріті дослідник виявив численні уразливості в різних хакерських додатках, які використовуються при взломах сайтів, поширенні вірусів на веб сайтах та інших атаках.

Дані уразливості, за інформацією дослідника, можна використати для атаки на самих зловмисників, що атакували дані сайти. Інформацію про дані уразливості він оприлюднив на конференції SyScan (за для власного піару), але з часом він планує опублікувати детальну інформацію про них.

За повідомленням www.mobus.com, сервіс Google використовується для поширення вірусів. Зловмисники в Інтернеті почали використовувати популярний сервіс “Google Групи” для поширення шкідливих програм. На комп’ютери жертв можуть, зокрема, проникнути модифікації сімейства троянців Trojan.Fakealert.

Про поширення вірусів через сервіси Гугла, зокрема через їхній блогхостінг, я вже писав раніше в записі Інфіковані google.com, yahoo.com та blogspot.com.

04.12.2009

У квітні, 17.04.2009, я знайшов Cross-Site Scripting уразливість на проекті http://video.i.ua (відео хостінг). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів i.ua я писав про уразливість на board.i.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.07.2010

XSS:

Це Strictly social XSS. Атака спрацює при кліку на “Мне 18″.

• alert(document.cookie)

Дану уразливість виправили, але погано, тому при невеликій модифікації коду, вона знову працює.

XSS:

• alert(document.cookie)
• цікавий

Виявленна можливість виконання коду в центрі довідки і підтримки Microsoft Windows. Про виконання коду в Microsoft Internet Explorer я вже писав раніше.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP та Windows 2003 Server.

Впровадження коду через URL. Виконання коду відбувається через XSS уразливість в центрі довідки і підтримки Windows. Про подібні атаки я писав неодноразово, зокрема про Code Execution через XSS та Міжбраузерний Code Execution через XSS.

• Microsoft Security Bulletin MS10-042 - Critical Vulnerability in Help and Support Center Could Allow Remote Code Execution (2229593) (деталі)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один сервіс (що дещо відрізняється від попередніх). Це DNS-BH – Malware Domain Blocklist.

Даний сервіс призначений для захисту від вірусів на веб сайтах. Захист відбувається через блокування доменів зі шкідливим кодом. На сайті розміщується інформація про шкідливі домени у вигляді списків, які потрібно використи для їх блокування.

Веб сервіс DNS-BH – Malware Domain Blocklist відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а список шкідливих сайтів. Списки формуються за інформацією від інших сервісів, які безпосередньо виявляють віруси на сайтах (такі як сервіси Google, Symantec та інші). За допомогою даного сервісу можна дізнатися перелік інфікованих веб сайтів та перевірити наявність будь-якого сайту в списку шкідливих доменів. А також використати даний список для блокування зазначених доменів.

Щоб скористатися даним сервісом, потрібно зайти на сайт та викачати список шкідливих сайтів. Що доступний у вигляді записів на сайті та текстових файлів.

В даній добірці уразливості в веб додатках:

• New cacti packages fix missing input sanitising (деталі)
• Apache ActiveMQ is prone to source code disclosure vulnerability (деталі)
• Opencourrier 2.03beta (RFI/LFI) Multiple File Include Vulnerability (деталі)
• OpenCominterne 1.01 Local File Include Vulnerability (деталі)
• In-portal 5.0.3 Remote Arbitrary File Upload Exploit (деталі)
• IWD Group SQL Injection Vulnerabilities (деталі)
• Apple Safari & Quicktime Denial of Service (деталі)
• Multiple Vendor WebKit Error Handling Use After Free Vulnerability (деталі)
• Apple Safari Remote Memory Corruption Vulnerability (деталі)
• Apple Safari cross-domain XML theft vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.zelenazona.com.ua (хакером xpanda) - 09.07.2010, зараз сайт вже виправлений адмінами
• http://www.vodokanal.mk.ua (хакером KaBuS) - 08.07.2010, зараз сайт вже виправлений адмінами
• http://freereporter.com.ua (хакером ATesS) - 06.07.2010, зараз сайт вже виправлений адмінами
• http://lookmy.info (хакером TekZ)
• http://www.aagu.org.ua (хакерами з Albanian Hacking Crew) - 24.06.2010, зараз сайт не працює

Ще минулого місяця я написав про уразливості на lookmy.info, як на початку цього місяця їх вже похакали. Тим самим показавши серйозність дірок на даному сайті.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду через SQL Injection, пропоную новий відео секюріті мануал. Цього разу відео про десктопний фішинг. Рекомендую подивитися всім хто цікавиться цією темою.

Desktop Phishing - The New Art of Phishing

В даному відео ролику розповідається про відмінності між класичним і десктоп фішінгом. Та демонструється проведення фішинг атаки (на прикладі сайта paypal.com).

Суть атаки зводиться до заміни hosts файла в Windows системі жертви (в якому задається IP адреса сервера нападника для відповідних доменів). Про використання даного методу я вже раніше розповідав. Рекомендую подивитися дане відео для розуміння векторів атак з використанням десктопного фішингу.

01.06.2010

У жовтні, 26.10.2009, я знайшов Cross-Site Scripting уразливості в SimpGB (причому це persistent XSS). Дані уразливості я виявив на одному сайті, де використовується даний веб додаток. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в SimpGB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

14.07.2010

XSS:

Це persistent XSS в трьох функціоналах веб додатку.

POST запит на сторінках:

http://site/guestbook.php?lang=en&mode=new&layout=default
http://site/guestbook.php?lang=en&mode=new&layout=default&quote=1
http://site/admin/usered.php?lang=en&mode=comment&input_entrynr=1&entrylang=en

<script>alert(document.cookie)</script>В полі АВТОР (Name).

[swf width=1 height=1]http://site/flash.swf[/swf]В полі ТЕКСТ (Text).

Атака можлива на старих версіях флеш плеєра, де була менш жорстка політика безпеки і можна було виконати JS-код з флешек з зовнішніх ресурсів. В 9 і наступних версіях флеш плеєра атака спрацює лише якщо swf-файл буде на тому самому домені.

Уразливі SimpGB V1.37.3 та попередні версії. Як я перевірив, в SimpGB v1.49.01 вже немає першої уразливості, але все ще є XSS через Flash.