Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.som.com.ua (хакерами з Black HaT Group) - 06.10.2010, зараз сайт вже виправлений адмінами
• http://www.elitmoda.com.ua (хакерами з AHG) - 18.09.2010, зараз сайт закритий
• http://www.miu.edu.ua (хакером Real_Karizma) - 01.10.2010, зараз сайт вже виправлений адмінами
• http://www.karo-fx.com (хакерами з AHG) - 10.2010, зараз сайт вже виправлений адмінами
• http://hotel-palace-del-mar.od.ua (хакером UAH) - 26.09.2010, зараз сайт вже виправлений адмінами

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, хакери атакували Укртелеком.

Сервери найбільшої в Україні телекомунікаційної компанії “Укртелеком” 8 жовтня піддалися DDoS-атаці. Про це заявили представники “Укртелекому” в офіційному повідомленні на сайті провайдера. Сама атака почалася опівдні і призвела до погіршення якості обслуговування абонентів провайдера.

За повідомленням www.gazeta.ru, через вірусну атаку на Twitter було заражено близько 500 тисяч аккаунтів. Як зазначається, австралійський школяр випадково почав хакерську атаку на Twitter. Після публікації Пірсом Делфіном коду для використання XSS уразливості на Twitter, дана XSS була використана для створення двох XSS хробаків. Причому уразливість використовувала техніку MouseOverJacking.

Атака відбулася 21 вересня. У результаті вірусної атаки на популярному сервісі микроблогів Twіtter було заражено близько 500 тисяч аккаунтів користувачів.

За повідомленням hackua.com, президент України ратифікував конвенцію про кіберзлочинність. Президент України Віктор Янукович підписав Закон “Про внесення змін до Закону України «Про ратифікацію Конвенції про кіберзлочинність”.

Відповідний закон Верховна Рада ухвалила 21 вересня. Даним законом передбачено, що в Україні органом, на який покладаються повноваження щодо створення та функціонування цілодобової контактної мережі для надання невідкладної допомоги при розслідуванні злочинів, пов’язаних з комп’ютерними системами і даними, переслідуванні осіб, які звинувачуються у скоєні таких злочинів, а також збирання доказів у електронній формі, є Міністерство внутрішніх справ України. Крім того, у законі зазначено, що цілодобовий контактний пункт з питань протидії кіберзлочинності буде створений на базі Міністерства внутрішніх справ в межах його штатної чисельності.

В 2009 році в МВС України вже був створений відділ по боротьбі з кіберзлочинністю. Після підписання нового закону, діяльність МВС в цій сфері повністю закріплена законодавчо.

В даній добірці уразливості в веб додатках:

• Vulnerability Note VU#261869 - XSS vulnerabilities in multiple SSL VPN software (деталі)
• Stored XSS vulnerability in Pixie (деталі)
• XSS vulnerability in Pixie (деталі)
• XSS vulnerability in FestOS (деталі)
• Monkey HTTPd improper input validation vulnerability (деталі)
• XSRF (CSRF) in Pixie (деталі)
• XSS vulnerability in FestOS (деталі)
• XSRF (CSRF) in Pixie (деталі)
• XSS vulnerability in WebPress (деталі)
• APC Switched Rack PDU XSS Vulnerability (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, витік інформації.

• Internet Explorer Uninitialized Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS10-071 - Critical Cumulative Security Update for Internet Explorer (2360131) (деталі)

В 2009 році вийшов фільм Kaзка про талант, головну роль в якому виконав мій друг Сергій Кравець. Це український фільм.

В даному короткометражному художньому фільмі розповідається про талант до хакерства. Головний герой - програміст, що займається розробкою секюріті програмного забезпечення. Але із-за несправедливості, що його оточує, із-за неможливості заробити гроші на своїй діяльності, він починає займатися хакерством (в кримінальному значенні цього слова). Тобто починає займатися кіберзлочинами. Бо життя його змусило.

Так що можете подивитися цей українській художній фільм на тему хакерів .

02.02.2010

У червні, 28.06.2009, я знайшов SQL Injection уразливість на http://www.danielbank.kiev.ua - сайті комерційного банку Daniel. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливість на сайті ПриватБанку.

Детальна інформація про уразливість з’явиться пізніше.

13.10.2010

SQL Injection:

http://www.danielbank.kiev.ua/index.php?action=coop&id=-1%20or%20version()=4

Дана уразливість досі не виправлена.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Microsoft Internet Explorer, пропоную новий відео секюріті мануал. Цього разу відео про використання HTTP Parameter Pollution. Рекомендую подивитися всім хто цікавиться цією темою.

HTTP Parameter Pollution - Yahoo! Mail classic attack

В відео показаний процес атаки на сайт Yahoo! Mail з використанням HTTP Parameter Pollution. Про даний метод атак на веб додатки, розроблений в 2009 році, я згадував раніше. Рекомендую подивитися дане відео для розуміння сучасних векторів атак на веб додатки.

Існує такий онлайн-сервіс від Qualys як SSL Server Test. Що дозволяє тестувати SSL сервери та веде БД перевірених серверів.

За допомогою даного сайта можна подивитися базу даних публічних SSL серверів (Public SSL Server Database), з числа тих серверів, що були протестовані. А також можна перевірити конфігурацію веб сервера з підтримкою SSL, як власного, так і будь-якого іншого сервера (SSL Server Test).

При тестуванні сервера оцінюються такі показники як Certificate, Protocol Support, Key Exchange і Cipher Strength. Після чого серверу виставляється загальний рейтинг.

Можете ознайомитися з роботою сервіса на прикладі сайта www.ssllabs.com:

https://www.ssllabs.com/ssldb/analyze.html?d=www.ssllabs.com

P.S.

Сервіс хороший. Але має Insufficient Anti-automation уразливість. І хоча запити на перевірку сервера кешуються, але на сайті є можливість очистки кешу для перевіреного сервера (тому кешування легко обходиться і сам сайт може бути перенавантажений запитами на перевірку серверів).

В даній добірці уразливості в веб додатках:

• HP-UX Running VRTSweb, Remote Execution of Arbitrary Code, Increase of Privilege (деталі)
• Symantec Multiple Products VRTSweb.exe Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in Gekko Web Builder (деталі)
• XSS vulnerability in Pligg search module (деталі)
• XSS vulnerability in Taggon CMS (деталі)
• XSS vulnerability in WebPress (деталі)
• XSS vulnerability in WebPress (деталі)
• XSS vulnerability in phpwcms (деталі)
• Zabbix Agent : Bypass of EnableRemoteCommands=0 (деталі)
• Zabbix Server : Multiple remote vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://astimondoro.com.ua - інфекція була виявлена 12.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://astra.kharkov.com - інфекція була виявлена 17.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://astra.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://freebooks.net.ua - інфекція була виявлена 08.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 33 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://monolitgroup.com.ua - інфекція була виявлена 29.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.