Websecurity - Веб безпека

Виявлена можливість впровадження коду в розширення Yoono для Mozilla Firefox.

Уразливі версії: Yoono 6.1.

Можливе впровадження коду через події для тега img.

• Yoono Firefox Extension - Privileged Code Injection (деталі)

29.05.2010

У жовтні, 26.10.2009, я знайшов Full path disclosure та Cross-Site Scripting уразливості в SimpNews. Дані уразливості я виявив на www.boesch-it.de - офіційному сайті веб додатку. Про що найближчим часом повідомлю розробникам. Які також є розробниками SimpGB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

09.07.2010

Full path disclosure:

http://site/simpnews/news.php?lang=1&layout=layout2&sortorder=0&category=1

XSS:

http://site/simpnews/news.php?layout=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/simpnews/news.php?lang=en&layout=layout2&sortorder=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі SimpNews V2.47.03 та попередні версії. В версії SimpNews V2.48.01 дані уразливості були виправлені.

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках (зокрема форумах), що приводять до витоку інформації про версію системи.

IPB

В IPB на кожній сторінці форуму виводиться версія системи (Powered by Invision Power Board v1.3).

phpBB

В phpBB версію системи можна дізнатися в файлах http://site/docs/CHANGELOG.html, http://site/docs/INSTALL.html та http://site/docs/README.html (phpBB 2.0.13).

vBulletin

В vBulletin на кожній сторінці форуму виводиться версія системи (Powered by vBulletin Version 3.8.2).

SMF

В SMF на кожній сторінці форуму виводиться версія системи (Powered by SMF 1.1.11).

YaBB

В YaBB на кожній сторінці форуму виводиться версія системи (Powered by YaBB 2.4).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://karpaty-travel.com (хакерами з 1923Turk-Grup)
• http://www.koruna.ua (хакерем LAMER) - 30.06.2010, зараз сайт вже виправлений адмінами
• http://pricol.org (хакером Underworld)
• http://www.skvo.com.ua (хакером Wx) - 20.06.2010, зараз сайт не працює (на реконструкції)
• http://full-race.com.ua (хакером ExcalibuR) - 09.06.2010, зараз сайт не працює

В даній добірці уразливості в веб додатках:

• phion airlock Web Application Firewall: Remote Denial of Service via Management Interface (unauthenticated) and Command Execution (деталі)
• Ziggurat CMS Multiple Vulnerabilities (деталі)
• 60cycleCMS (DOCUMENT_ROOT) Multiple Local File Inclusion Vulnerability (деталі)
• Openscrutin 1.03 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• Apache OFBiz Multiple XSS Vulnerabilities (деталі)
• Unisys Business Information Server Stack Buffer Overflow (деталі)
• User Invoices Persistent XSS Vulnerability in CactuShop (деталі)
• e107 Content Management Plugin Script Insertion Vulnerability (деталі)
• IP address spoofing in e107 (деталі)
• Trustwave’s SpiderLabs Security Advisory TWSL2009-002 - Multiple vulnerabilities in Cisco ASA Web VPN (деталі)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Browser Defender від PC Tools. І це ще один конкурент моїй Web VDS.

Компанія PC Tools є відомим розробником антивірусних продуктів і вона також пропонує продукти і сервіси для захисту від вірусів на веб сайтах. Зокрема PC Tools пропонує власний сервіс Browser Defender для захисту від вірусів на веб сайтах. Який доступний як у вигляді плагіна для браузерів Firefox та Internet Explorer, так і у вигляді онлайн сервіса. Плагін представляє собою тулбар.

Веб сервіс Browser Defender подібний сервісам McAfee SiteAdvisor, Norton Safe Web від Symantec та іншим сервісам. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися Browser Defender, потрібно зайти на даний сайт і вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://www.browserdefender.com/site/site.com/

Можете подитивитися на роботу сервіса на прикладі www.browserdefender.com:

http://www.browserdefender.com/site/www.browserdefender.com/

Зазначу, що на момент написання запису, даний сервіс працював погано, і якщо зайти за іншою адресою для перевірки сайта, то замість інформації про сайт виводилося повідомлення про помилку з Full path disclosure .

Можливий обхід аутентифікації в Microsoft IIS.

Уразливі версії: Microsoft IIS 5.1 для Windows 2000 Server.

Можливо одержати доступ до папки, що вимагає аутентифікацію використовуючи лінку типу “http://victim.com/SecretFolder:$I30:$Index_Allocation/”.

• IIS5.1 Directory Authentication Bypass by using “:$I30:$Index_Allocation” (деталі)

30.11.2009

У квітні, 10.04.2009, я знайшов Cross-Site Scripting та SQL Injection уразливості на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України, що також доступний за адресою http://www.fisu.gov.ua. Це при тому, що з 2007 року вони так і не виправили ще одну SQL Injection уразливість. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.szru.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

07.07.2010

XSS:

• alert(document.cookie)
• цікавий

Це ще один приклад XSS атак через помилки при запитах до БД.

SQL Injection:

http://www.szru.gov.ua/cms/ua%20where%201=1–%20/

Через дану уразливість зокрема можна проводити DoS атаки.

Дані уразливості досі не виправлені.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Haute Secure. І це ще один конкурент моїй Web VDS.

Компанія Haute Secure пропонує власний сервіс для захисту від вірусів на веб сайтах. Яким зокрема користується браузер Opera. А також компанія випускає плагін для браузерів та пропонує сервіс моніторинга сайтів. А в квітні 2009 року даного розробника сервіса для пошуку вірусів на сайтах, плагіна та сервіса моніторинга сайтів купила компанія TRUSTe.

Даним сервісом компанії можна користуватися через її веб сайт. Він подібний сервісам McAfee SiteAdvisor та Norton Safe Web від Symantec. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися сервісом Haute Secure, потрібно зайти на сторінку Haute Secure Site info чи Haute Secure Site info для Opera та вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://hautesecure.com/siteinfo.aspx?i=http://site.com

Можете подитивитися на роботу сервіса на прикладі hautesecure.com:

http://hautesecure.com/siteinfo.aspx?i=http://hautesecure.com

Зазначу, що в Haute Secure недостатньо велика база перевірених сайтів - вона значно менша ніж у Safe Browsing Гугла.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.is.svitonline.com/stasart/ - інфекція була виявлена 03.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ms.km.ua - інфекція була виявлена 12.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://www.is.svitonline.com/santino/ - інфекція була виявлена 27.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://babai.com.ua - інфекція була виявлена 28.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://zveryuga.com.ua - інфекція була виявлена 07.2010. Зараз сайт входить до переліку підозрілих.