Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Apple Webkit і Safari.

Уразливі версії: Apple Safari 4.1, Safari 5.0.

Витоки інформації, міжсайтовий доступ, численні переповнення буфера й ушкодження пам’яті.

• Apple Webkit SVG ForeignObject Rendering Layout Remote Code Execution Vulnerability (деталі)
• Apple Webkit SVG First-Letter Style Remote Code Execution Vulnerability (деталі)
• About the security content of Safari 5.0.1 and Safari 4.1.1 (деталі)

Додаткова інформація.

• Apple Webkit Button First-Letter Style Rendering Remote Code Execution Vulnerability (деталі)
• Apple Webkit SVG Floating Text Element Remote Code Execution Vulnerability (деталі)
• Apple WebKit RTL LineBox Overflow Remote Code Execution Vulnerability (деталі)
• Apple Webkit Rendering Counter Remote Code Execution Vulnerability (деталі)
• Apple Webkit Anchor Tag Mouse Click Event Dispatch Remote Code Execution Vulnerability (деталі)

18.12.2009

У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на проекті http://www.4post.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.08.2010

Insufficient Anti-automation:

На сайті (зокрема в формі коментарів на сторінках нових) використувується вразлива капча. Що має постійні значення капчі та передбачуваний алгоритм їх генерації.

http://www.4post.com.ua/ico_cod.html?cod=pRVtZxvX
1474
http://www.4post.com.ua/ico_cod.html?cod=pRVtZxvY
1475

Можливий автоматизований метод атаки з використанням тієї ж самої капчі, або з використанням передбачуваного алгоритму генерації капч.

Abuse of Functionality:

http://www.4post.com.ua/search.html?word=%%%

При даному запиті доступ до сайта (в даному браузері) блокується - що вирішується видаленням кукіса PHPSESSID. Це можна використати для проведення CSRF атак на користувачів сайта, для блокування їх доступу до сайта.

Дані уразливості досі не виправлені.

Раніше я вже розповідав про численні небезпеки для дірявого сайта - це можливість закриття сайта в зв’язку з різними причинами, в тому числі пов’язаними з порушенням законодавства, а також можливість притягнення до відповідальності (по кримінальому кодексу) в таких випадках. Зокрема можливе закриття сайтів через розміщення персональних даних.

Іншою небезпекою для дірявого сайта є Black SEO. В статті SEO при дірявому сайті, як допомога зловмисникам я розповідав про одну сторону даної проблеми. Що вкладаючи в SEO при ігноруванні проблем безпеки власного сайта (не вкладаючи в безпеку), власник сайта лише допомагає зловмисникам. А зараз розповім про іншу сторону даної проблеми.

При дірявому сайті black SEO-шніки можуть використати ваш сайт для власник потреб. Тобто вони почнуть заробляти на вашому сайті. І при цьому вищезгаданий аспект вкладання в SEO також дасться в знаки - якщо ви добре розкрутите свій дірявий сайт (піднімите PR і тИЦ), то black SEO від цього буде тільки краще , бо вони зможуть одразу почати більше заробляти на вашому сайті (ніж на менш розкрученому). З цього випливає, що розкручені сайти (з високими PR і тИЦ) є в більшій мірі потенційними цілями black SEO-шніків, ніж не розкручені сайти (але використати для заробітку можна будь-який сайт, тому всім власникам веб сайтів слід враховувати фактор black SEO і завжди слідкувати за безпекою власних сайтів).

Якщо ваш сайт взломають black SEO-шніки, то вони почнуть продавати лінки на ньому, щоб заробляти на цьому гроші. І при цьому гроші за продаж лінок підуть не вам, а зловмисникам (тобто ваш сайт буде приносити прибуток іншим людям). І якщо на одну маленьку лінку ви можете не звернути увагу, то на численні лінки на сайті ви маєте звернути увагу - якщо одна лінка може не сильно заважати, то якщо увесь сайт буде переповнений продажними лінками, то це вже буде заважати (не кажучи вже, що це зіпсує зовнішній вигляд сайта). До того ж black SEO можуть розмістити на сайті лінки на небажані ресурси, наприклад, на порно сайти, що може погіршити імідж сайта (а то і призвести до скандалу чи інших проблем у власника сайту). Зокрема адмінам державних сайтів потрібно не допускати розміщення лінок на порно сайти, або розміщення порнографії на сайті чи на великому екрані, що керується з сайта, як це мало місце в Індонезії.

Однією з тенденцій в діяльності black SEO є те, що вони почали використовувати веб брокерів (таких як SAPE) для розміщення лінок на сайті. Як це мало місце на сайтах www.peremoga.gov.ua та bestmaster.com.ua. Таким чином вони намагаються закосити під легальне розміщення лінок (неначе це адмін сам розміщує лінки) і при цьому автоматизувати даний процес.

Якщо раніше black SEO вручну розміщували лінки, або використовували власні скрипти, то зараз вони почали активно працювати через брокерів. В цьому році я виявив вже два випадки використання брокерів для блексео діяльності.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, хакери влаштували показ порно в парламенті Індонезії.

Скандальний інцидент стався у вівторок, 3 серпня, в парламенті Індонезії, в Джакарті: на великому екрані, де зазвичай відображається хід парламентських голосувань, несподівано з’‘явилися порнографічні знімки. Незважаючи на спроби співробітників служби безпеки індонезійського парламенту прибрати зображення з екрану, трансляція порно тривала близько 15 хвилин.

За повідомленням news.zn.ua, енергосистема США погано захищена від взлому. Уразливості, виявлені в комп’ютерній системі, що відповідальна за керування енергосистемою США, можуть стати причиною крадіжки інформації і несанкціонованого перерозподілу і відключення потужності, говориться в попередженні, опублікованому Департаментом енергетики США.

За повідомленням hackzona.com.ua, Google допоможе хакерам знаходити жертв. Фахівець з комп’ютерної безпеки Семі Камкар придумав спосіб, який дозволяє знаходити розташування користувача без його відома.

Ідея атаки досить проста. Для цього потрібно дізнатися MAC-адресу та скористатися сервісом геолокації Google.

В даній добірці уразливості в веб додатках:

• Insight Control Suite For Linux (ICE-LX) Cross Site Request Forgery (CSRF), Remote Execution of Arbitrary Code, Denial of Service (DoS), and Other Vulnerabilities (деталі)
• SDS Parent Connect SQL Injection (деталі)
• XSRF (CSRF) in ocPortal (деталі)
• XSS vulnerability in LiSK CMS (деталі)
• Smart Douran CMS Remote File Download (деталі)
• Clear Text Storage of Password in CS-MARS v6.0.4 and Earlier (деталі)
• PHP-Calendar “description” and “lastaction” Cross Site Scripting Vulnerabilities (деталі)
• PHP-Calendar “description” and “lastaction” Cross Site Scripting Vulnerabilities (деталі)
• XSS vulnerability in LiSK CMS (деталі)
• NetCache URL DoS - Argentinian ISP (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.alushta.crimea.ua (хакерами з KDG-crew) - причому спочатку сайт був взломаний 27.07.2010 KDG-crew, а вже 28.07.2010 взломаний VHZ. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.shinshila.com (хакерами з AHG CREW)
• http://www.antique.com.ua (хакером Aykanksk35) - 07.2010, зараз сайт вже виправлений адмінами
• http://elies.com.ua (хакерами з Und3rGr0unD W4rri0rZ)
• http://www.rnzknd.net (хакерами з AHG CREW)

В своєму записі Detecting Malice eBook, RSnake розповів про свою нову книгу. В минулому році він випустив книгу “Визначення злого наміру”, яка була випущена як e-book (тобто вона доступна у вигляді електронної книги).

В книзі розповідається про те, як визначити злі наміри і дії відвідувачів на сайті (та як убезпечити свій сайт). В ній Роберт Хенсен aka RSnake ділиться своїм досвідом в забезпеченні безпеки веб сайтів.

10.06.2010

У листопаді, 04.11.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Dataface Web Application Framework. Які виявив на сайті http://xataface.com, де використовується даний движок. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.08.2010

XSS:

http://site/admin.php?-table=pages&-search=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&-action=search_index

Full path disclosure:

http://site

Змінна DATAFACE_PATH в тілі кожної сторінки сайта.

Уразлива версія Dataface 1.0. Після мого повідомлення дані уразливості були виправлені розробником в останній версії системи.

Продовжуючи розпочату традицію, після попереднього відео про сліпу SQL ін’єкцію, пропоную новий відео секюріті мануал. Цього разу відео про використання BeEF і PHProxy для MITM атак. Рекомендую подивитися всім хто цікавиться цією темою.

BeEF and PHProxy for web MITM with content modification

В даному відео ролику розповідається про інструменти BeEF і PHProxy. Та домонструється процес їх використання для проведення MITM-атак для підробки сайтів (що може бути використано, наприклад, для фішинга).

Рекомендую подивитися дане відео для розуміння векторів атак з використанням BeEF і PHProxy.

Виявлена можливість виконання коду через ярлики в Microsoft Windows. В цей понеділок Microsoft випустила опис даної уразливості та патч для неї, причому патч позачерговий, тому що він вийшов до офіційного вівторка патчів, який відбудеться на наступному тижні. Microsoft проводить вівторки патчів в другий вівторок кожного місяця.

Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Виконання коду відбувається при відображенні іконки ярлика. Дана уразливість може використовуватися не тільки локально, але й віддалено. В тому числі атака може вібдуватися через Інтернет, коли користувач відвідає спеціально створений сайт в Internet Explorer або Windows Explorer.

• Microsoft Security Bulletin MS10-046 - Critical Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198) (деталі)