Websecurity - Веб безпека

23.06.2010

У листопаді, 20.11.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в IB Promotion Advanced Business Web Suite (це українська комерційна CMS). Які я виявив на сайті chr.com.ua. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.09.2010

XSS:

http://site/search/?qs=’;alert(document.cookie);//

Це DOM Based XSS.

Insufficient Anti-automation:

http://site/register/
http://site/lostpasswd/

На даних сторінках немає захисту від автоматизованих запитів.

Уразливі IB Promotion Advanced Business Web Suite v1.0, IB Pro CMS v1.0 та IB Pro CMS v2.0. IB Promotion Advanced Business Web Suite - це попередня назва системи IB Pro CMS.

Дані уразливості досі не виправлені (ні на сайті, де я їх знайшов, ні на офіційному сайті разробників, ні на демо сайті движка, де є тільки XSS уразливість).

Свої логи я регулярно досліджую і виявляю атаки (сотні атак щодня), які відбуваються на мій сайт. І з моменту запуску мого сайта в липні 2006 року, кількість щоденних атак постійно зростає. Зокрема відбуваються і RFI атаки. Хоча в мене на сайті немає і ніколи не було RFI дір , але такі атаки щоденно відбуваються.

За звичай для RFI атак (на PHP-додатки) використовуються скрипти, що розміщенні на інших сайтах. І це похакані сайти, які використовуються для атак на інші сайти (в тому числі й на мій). Нападники їх використовують для того, щоб не світити власними сайтами - вони взламують одні сайти, розміщують на них скрипти, а потім атакують інші сайти з використанням цих скриптів.

І в мене в логах таких похаканих сайтів увесь час є чимало. В основному це іноземні сайти, але сьогодні, досліджуючи логи, я виявив і українські сайти. Тому я вирішив почати використовувати свої логи як джерело похаканих сайтів в Уанеті . На додачу до інших джерел, що я використовую для дослідження безпеки Уанету, зокрема до розробленої мною в 2008 році методики пошуку похаканих сайтів.

Похакані сайти в Уанеті:

• http://injek.at.ua (хакером Casper_Kae) - 10.08.2010
• http://www.stomatformula.com.ua (хакером FeeLCoMz) - 04.09.2010

Файли, що використовуються для RFI атак:

http://injek.at.ua/e107id1.txt
http://www.stomatformula.com.ua/includes/domit/a

Виявлена проблема з перевіркою сертифікатів у багатьох браузерах.

Уразливі продукти: Microsoft Internet Explorer 6, 7 і 8 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server та Windows 7, Mozilla Firefox 3.6, Nokia QT 4.7.

Дозволено маски в сертифікатах по IP-адресам.

• Multiple Browser Wildcard Cerficate Validation Weakness (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Remote Command Execution vulnerabilities on Avaya Intuity Audix LX (plus some client-side bugs) (деталі)
• XSS vulnerability in Scribe CMS (деталі)
• XSS vulnerability in Scribe CMS (деталі)
• CMS RedAks 2.0 - SQL injection vulnerability (деталі)
• XSS vulnerability in Scribe CMS (деталі)
• Check Point Connectra R62 Login Script Injection Vulnerability (деталі)
• Stored XSS vulnerability in synType CMS comment text field (деталі)
• XSS vulnerability in the search module of synType CMS (деталі)
• CSRF in PHPWCMS 1.4.5 (деталі)
• Apple Safari 4.0.3 null pointer reference (деталі)

Виявлена можливість пошкодження пам’яті в Google Chrome.

Уразливі версії: Google Chrome 6.0.

Пошкодження пам’яті при обробці подій пов’язаних з фокусом.

• Google Chrome Focus Processing Memory Corruption Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://beesoft.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://skachat-besplatno.com.ua - інфекція була виявлена 14.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://goodgirlsbadguys.com - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://minus-mp3.ucoz.ua - інфекція була виявлена 28.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://grandlog.com.ua - інфекція була виявлена 06.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт skachat-besplatno.com.ua також хостить в себе Укртелеком.

19.05.2009

У травні, 17.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://cuckoosegg.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

07.09.2010

SQL Injection:

http://cuckoosegg.com/akmaagb/index.php?action=jump&id=-1%20union%20select%20version()

Full path disclosure:

http://cuckoosegg.com/akmaagb/config.inc.php

Information Leakage:

http://cuckoosegg.com/akmaagb/index.php

В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.

Дані уразливості досі не виправлені.

Зазначу, що в той же день, як знайшов уразливості, я лагідно похакав даний сайт, щоб безпосередньо на сайті повідомити адміна про дірки на його проекті. Але він проігнорував мої повідомлення і до сих пір їх не виправив.

В 2007 році в своїй доповіді Безпека Блогосфери (з якою я виступив на конференції BlogCamp 2007) я розповідав про ситуацію з безпекою сайтів, що надають можливість вести блоги (так звані блог-хостінги). З 2006 року і по поточний рік я знаходив чимало уразливостей на різноманітних блог-хостінгах, як українських, так і закордонних.

В себе в новинах я писав про уразливості на наступних блог-хостінгах:

• www.liveinternet.ru
• Blogspot (Blogger)
• Blogger
• Livejournal.com
• livejournal.com
• blog.i.ua
• blog.korrespondent.net
• mylivepage.com
• dnevnik.bigmir.net
• drevo.uaportal.com

Так що українським та закордонним блог-хостінгам є куди покращувати свою безпеку.

Виявлена Directory Traversal уразливість в libwww-perl (LWP).

Уразливі версії: libwww-perl 5.834.

Зворотний шлях у каталогах при збереженні файлів у lwp-download.

• Vulnerability in libwww-perl (деталі)

В даній добірці уразливості в веб додатках:

• War FTP Daemon Remote Denial Of Service Vulnerability (деталі)
• Stored XSS vulnerability in AneCMS blog module (деталі)
• Siemens Gigaset SE361 Wlan - Remote Reboot (деталі)
• Nakid CMS (fckeditor) Remote Arbitrary File Upload Exploit (деталі)
• New cacti packages fix SQL injection (деталі)
• Improper Authentication Mechanism in 3Com Wireless8760 Dual Radio 11a/b/g Poe Access Point (деталі)
• CMS RedAks 2.0 - Multiple Cross-site Scripting issues (деталі)
• Spring Framework execution of arbitrary code (деталі)
• Novell Access Manager Arbitrary File Upload Remote Code Execution Vulnerability (деталі)
• Apache Axis Session Fixation Vulnerability (деталі)