Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player “DEMX” Chunk Parsing Vulnerability (деталі)
• Adobe Shockwave Player “pamm” Chunk Parsing Vulnerability (деталі)

19.02.2010

У липні, 12.07.2009, я знайшов Cross-Site Scripting (persistent) уразливості на проекті http://tadalist.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.11.2010

XSS:

При доданні ToDo запису в свій список (http://mustlive.tadalist.com/lists/) в полях Title, Items та Description можна було провести persistent XSS атаку.

Дані уразливості вже виправлені, але не всі. Атаку все ще можна провести через поле Title.

XSS:

• alert(document.cookie) (спрацює для усіх відвідувачів сайта)
• alert(document.cookie) (спрацює для залогіненого користувача - власника даного акаунта)
• Link Injection

За більше 12 років використання Інтернету мені довелося працювати з різними банерними системами, брокерами та партерськими програмами, що дозволяли заробляти гроші за розміщення реклами на своєму сайті. І неодноразово мені доводилося стикатися з кидалами. Шахраїв в Інтернеті повно , в тому числі й серед партнерок без них не обійшлося.

Розповідати про всі випадки, з якими я стикався, я не буду, лише про останні випадки. Зокрема я буду згадаувати про партнерки Рунета і Уанета, які займаються шахрайством, що буде актуально для моїх читачів, щоб люди не зв’язувалися з цими кидалами і враховували мій досвід роботи з даними партнерками.

Про кидал з adbroker.ru я вже писав. А зараз розповім про шахрайську партнерку dating.ru.

З даною партнеркою я працював з березня 2006 - розмістив їхні банери на одному своєму сайті. І одразу вони себе показали з некращої сторони - вони одразу почали зараховувати не всі кліки (так було в 2006 і так продовжилося й в 2010), вони зараховували лише 10% всіх кліків (що я знаю з аналізу своєї статистики та статистики, яку вони надають в акаунті користувача). Що вже визивало підозри, що вони навмисно це роблять, щоб менше платити партнерам та затягувати час виплати.

У них мінімальна сума для виведення $20. Враховуючи не дуже велику кількість відвідувачів на тому моєму сайті, де були розміщені їхні банери, та невилику кількість кліків по ним (невисокий CTR), а також вищезгадану поведінку партнерки, коли вони зараховували всього 10% кліків, та низьку ціну за клік, то процес накопичення затягнувся надовго. В липні цього року в мене на рахунку було $19 з копійками і у серпні я розраховував нарешті набрати $20. Коли я зайшов у жовтні, щоб перевірити свій рахунок і нарешті зробити перше виведення коштів, я виявив, що мій пароль не підходить і я не можу зайти в свій акаунт. І що мого акаунту взагалі немає в системі, й на мого листа з цього приводу вони з минулого місяця досі не відповіли. Тобто просто кинули свого партнера коли той набрав мінімальну суму для виведення.

Зазначу, що даний сайт достатьо дірявий. Про уразливість на bill.dating.ru я вже писав в 2006 році. Яку вони виправили після мого повідомлення, але при цьому забувши мені подякувати. До цієї дірки додам наступні.

Brute Force:

http://bill.dating.ru/aff/stat.php

Insufficient Anti-automation:

http://bill.dating.ru/reg.php

http://bill.dating.ru/lost_passwd/lost_password.php

Так що не тільки на партнерах вони економлять, по шахрайськи не виплачуючі їм зароблені гроші, але й на безпеці власного сайту вони також економлять.

В даній добірці уразливості в веб додатках:

• New lighttpd packages fix denial of service (деталі)
• MantisBT “Add Category” Script Insertion Vulnerability (деталі)
• ZeusCart Ecommerce Shopping Cart Software Cross-Site scripting Vulnerability (деталі)
• Novell ZENworks Asset Management docfiledownload Remote SQL Injection Vulnerability (деталі)
• SQL injection vulnerability in BXR (деталі)
• XSS vulnerability in Prado Portal (деталі)
• F2L-3000 files2links SQL Injection Vulnerability (деталі)
• XSS vulnerability in DT Centrepiece (деталі)
• XSS vulnerability in DiamondList (деталі)
• Cisco IOS XR Software SSH Denial of Service Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.galstyki.com (хакером Delp0rt3r)
• http://diplomik.net (хакером The KabuS) - 29.10.2010, зараз сайт вже виправлений адмінами
• http://clip.net.ua (хакерами з FR-CR3W)
• http://www.mia-fin.com.ua (хакером Brunei)
• http://www.tsarus.com.ua (хакерами з 1923TURK-GRUP) - 06.10.2010, зараз сайт вже виправлений адмінами

08.09.2010

У квітні, 18.04.2010, я знайшов Insufficient Anti-automation, Cross-Site Scripting, Denial of Service та Full path disclosure уразливості в PHPShop (це движок для онлайн магазинів). Дані уразливості я виявив на сайті bezpeka.kr.ua. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.11.2010

Insufficient Anti-automation:

http://site/users/register.html

На даній сторінці використовується уразлива капча.

PHPShop CAPTCHA bypass.html

http://site/users/sendpassword.html

На даній сторінці немає захисту від автоматизованих запитів (капчі).

XSS (з обходом капчі):

PHPShop XSS.html

DoS:

http://site/search/?words=.&p=all&cat=0

Full path disclosure:

http://site/page/’

Уразливі PHPShop 2.1 EE та попередні версії (й потенційно наступні версії).

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Denial-of-service attack
• Відмова сервісу
• Relay attack
• Replay attack
• Return-oriented programming

17.02.2010

У липні, 12.07.2009, я знайшов Cross-Site Scripting уразливість на проекті http://letitbit.net (файлообмінник). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

05.11.2010

XSS:

• alert(document.cookie)

Дану уразливість вже виправили. Але зробили це некоректно, тому при невеликій зміні коду, вона знову працює.

XSS:

• alert(document.cookie)
• цікавий

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zorya.dp.ua - інфекція була виявлена 28.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://coldcountry.org.ua - інфекція була виявлена 12.09.2010. Зараз сайт входить до переліку підозрілих.
• http://fm-tv.in.ua - інфекція була виявлена 03.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://de-luxe.net.ua - інфекція була виявлена 03.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://my.km.ua - інфекція була виявлена 14.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Виявлене переповнення буфера в Mozilla Firefox, Thunderbird і Seamonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Переповнення буфера при використанні document.write і DOM використовується для прихованого впровадження шкідливого коду. Дана уразливість активно використовувалася різними malware в жовтні 2010.

• Mozilla Foundation Security Advisory 2010-73 (деталі)