Архів за Жовтень, 2010

Просунуті методи SQL Smuggling

22:45 30.10.2010

В попередніх статтях я розповідав про SQL Smuggling атаки та про нові методи SQL Smuggling. SQL Smuggling - це техніка проведення SQL Injection атак з обходом захисних систем.

Серед нових методів SQL Smuggling, що з’явилися після публікації раніше згаданої статті про дану методику атак, я виділив два методи, які були розроблені секюріті дослідниками. Це використання специфічного кодування в SQL запиті (розроблена в 2007) та обрізання рядку в MySQL (розроблена в 2008).

За останні роки я розробив багато власних методів атак на веб додатки з метою обходу як вбудованих у веб додаток захистних фільтрів, так і встановлених на сервері IDS, IPS та WAF систем. І багато прикладів подібних атак я наводив в новинах. Зокрема я розробив і методи, що можуть використовуватися при проведенні SQL Injection атак. Тому дані методи можна віднести до SQL Smuggling атак.

Серед моїх власних методів SQL Smuggling я виділю наступні:

1. Переведення GET запиту в POST. Деякі захисні системі захищають лише від атак через GET запити, тому їх можна обійти через POST запити.

2. Використання blind SQL Injection замість звичайного SQL Injection. Деякі захисні системи захищають лише від атак, що відносяться до звичайних SQLi, але не від blind SQLi, тому їх можна обійти при переведенні звичайних ін’єкцій в сліпі ін’єкції.

3. Використання Encoded SQL Injection - нового класу SQLi, що я розробив в 2009 році.

Більш детально про використання Encoded SQL Injection уразливостей я розповім в окремій статті.

XSS та SQL Injection в CMS WebManager-Pro

19:15 30.10.2010

28.07.2010

У липні, 02.07.2010, а також додатково сьогодні, я знайшов Cross-Site Scripting та SQL Injection уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

30.10.2010

XSS:

http://site/index.php?word[]=%22%20onMouseOver=alert(document.cookie)%20

Дана уразливість може використовуватися разом з MouseOverJacking.

SQL Injection (Authentication Bypass):

На сторінці http://site/admin/ при відключенних mq:
' or 1='1В полі Логин.

Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Безпека сайтів про безпеку 19

15:24 30.10.2010

20.10.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17 та 18.

Ось нова добірка уразливих секюріті сайтів:

Всім security проектам та сайтам секюріті конференцій слід приділяти більше уваги безпеці власних веб сайтів.

30.10.2010

Ще одна добірка уразливих секюріті сайтів:

Секюріті проектам та компаніям варто більше слідкувати за безпекою власних сайтів.

Цікаві записи на тему веб безпеки

22:32 29.10.2010

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу записи на тему Гугла, який в останній час почав активно позиціонувати себе як секюріті компанія та пропонувати послуги безпеки для клієнтів.

В своєму записі Google Redirects Help Phishers Again, RSnake в черговий раз навів приклад, коли редиректори Гулга використовувалися для фішинга. Я сам багато разів зустрічав в емайл листах використиння редиректорів пошукових систем для фішинга, в тому числі редиректорів Гугла і Яндекса.

В своєму записі Phishing Through Google (Yet Again), RSnake знову розповів про чергове використання редиректорів Гулга для фішинга. І те, що з роками Гугл почав виправляти деякі відкриті редиректори на своїх сайтах, це ще не значить, що вони виправили всі редиректори (до того ж з часом з’являються нові).

Тому їм ще є куди покращувати безпеку своїх сайтів, в тому числі стосовно Redirector уразливостей. Про атаки через відкриті та закриті редиректори, я раніше писав в своїх статтях.

В своєму записі Phishing With Google Wave, RSnake розповідає про фішинг атаку через Google Wave. На початку цього року Гугл випустив свою нову розробку Wave, в якій одразу ж знайшли уразливості, які в тому числі можна було використати для фішинг атак на користувачів Wave.

Новини: Лабораторія Касперського, сумський хакер та діяльність МВС у Миколаєві

19:27 29.10.2010

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, хакери зламали американський сайт “Лабораторії Касперського”.

Американський сайт “Лабораторії Касперського” був взломаний невідомими зловмисниками, тому що при зверненні до нього він почав поширювати шкідливе програмне забезпечення.

Згідно з повідомленнями користувачів на форумі компанії, взлом стався 17.10.2010 і шкідливе програмне забезпечення було присутнє на сайті щонайменше три з половиною години. Торік сайт Лабораторії Касперського (основний сайт ЛК) вже взламували.

За повідомленням sbu.gov.ua, на Сумщині за матеріалами СБУ засуджено хакера.

Набув чинності вирок суду за кримінальною справою, порушеною СБУ стосовно громадянина України, який несанкціоновано втручався в роботу одного з провідних інформаційних порталів на Сумщині. У квітні 2010 року житель обласного центру незаконно проникнув до серверу інформаційного порталу, створеного та функціонуючого за підтримки органів місцевої влади, та отримав повний доступ до всіх файлів сайту, у тому числі, конфіденційних.

За повідомленням internetua.com, у Миколаєві затримали людей, що поширювали порно в Інтернеті.

На миколаївських редакторів і адмінів порносайтів заведена кримінальна справа. Про що повідомив відділ по зв’язках із громадськістю УМВС України в Миколаївській області.

Уразливості на www.rccc.org

16:15 29.10.2010

22.02.2010

У липні, 06.07.2009, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://www.rccc.org. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.10.2010

XSS (Remote XSS Include):

http://www.rccc.org/common/group.asp?url=javascript:alert(document.cookie)

Redirector (Remote HTML Include):

http://www.rccc.org/common/group.asp?url=http://websecurity.com.ua

Дані уразливості вже виправлені шляхом видалення уразливого веб додатку.

Добірка уразливостей

22:39 28.10.2010

В даній добірці уразливості в веб додатках:

Похакані сайти №118

19:21 28.10.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://vipconsulting.com.ua (хакером NET MAN) - 22.10.2010, зараз сайт вже виправлений адмінами
  • http://www.videojournal.dp.ua (хакерами з Black HaT Group)
  • http://peswe.com (хакером Z0ne) - 24.10.2010, був похаканий форум сайта, що вже виправлений адмінами
  • http://domkofe-saeco.com (хакером NuLSKip) - 10.2010 - сайт був взломаний та інфікований, але зараз вже виправлений адмінами
  • http://yogadance.com.ua (хакером GothX)

Уразливість на kinozalka.com

15:07 28.10.2010

10.02.2010

У червні, 29.06.2009, я знайшов Cross-Site Scripting уразливість на проекті http://kinozalka.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

28.10.2010

XSS:

На cторінках сайта http://kinozalka.com в блоці “У нас искали” через поле Referer. Це persistent XSS уразливість.

Referer: http://www.google.com/search?q=xss"><script>alert(document.cookie)</script>

Дана уразливість не була виправлена адміном. І як я сьогодні виявив, він закрив свій сайт і зараз даний домен використовується PPC-шниками для заробляння на кліках.

Цікавий хак державного сайта

22:43 27.10.2010

Про цікаву ситуацію с одним державним сайтом повідомив мені один мій активний читач. Даний випадок я оцінюю як цікавий хак державного сайта.

За адресою http://www.build.gov.ua знаходиться сайт Державного комітету України по будівництву й архітектурі. Так от, зараз там знаходиться версія сайта http://mastershin.com.ua (який є інтернет магазином). Чому на державному домені знаходиться сайт інтернет магазину - це питання до державних органів, що відповідають за сайт, та до власників даного онлайн магазину.

Чи причетні вони до цього взлому, чи ні, але в будь-якому разі він має місце. І в даний момент контроль над сайтом http://www.build.gov.ua здійснюється “на користь” компанії “Мастер шин”, що є власником даного інтернет магазину.

Я не виключаю, що можливим мотивом цього взлому був black SEO. Про декілька випадків black SEO атак на сайти в Уанеті я вже в цьому році розповідав.