Websecurity - Веб безпека

В своїй статті Кількість похаканих сайтів в Інтернеті в 2008 році я розповів про свою методику пошуку взломаних сайтів. Яку я використовую з липня 2008 для виявлення похаканих сайтів в Уанеті для дослідження хакерської активності.

Також тоді я навів деякі статистичні дані. З тих пір я запланував провести дослідження взломаних сайтів в різних країнах та оприлюдними його дані. І от лише зараз дійшов до цього.

Взломи сайтів вцілому в Інтернеті:

intitle:”hacked by” - до 514000 сайтів зараз є похаканими.

Звичайно в даних результатах є також новинні сайти, що пишуть про взломи сайтів, але чимало й безпосередньо похаканих сайтів.

Взломи сайтів в Україні:

intitle:”hacked by” - до 511 сайтів зараз є похаканими.

Взломи сайтів в Росії:

intitle:”hacked by” - до 10100 сайтів зараз є похаканими.

Взломи сайтів в США:

intitle:”hacked by” - до 205000 сайтів зараз є похаканими.

В результатах по США є набагато більше новинних сайтів чи форумів, де згадуються випадки взломів сайтів, ніж по Україні і Росії. Але й в результах по США є чимало безпосередньо взломаних сайтів. Тому якщо припустити, що серед результатів пошуку по США 20% будуть безпосередньо похакані сайти, то виходить, що в даній країні 41000 сайтів зараз є похаканими.

Кількість взломаних сайтів буде залежати від загальної кількості сайтів в даній країні (а також від того, наскільки її жителі слідкують за безпекою власних сайтів). Тому кількісні показники взломаних сайтів в Україні, Росії і США співвідносяться з кількістю сайтів в даних сегментах Мережі. Також треба враховувати, що дані Гугла про кількість сайтів за пошуковим запитом є приблизними.

12.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://fgs.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Це та сама студія, що розробила дірявий сайт moral.gov.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.12.2010

SQL Injection:

http://fgs.kiev.ua/index.php?content_id=-1%20or%20version()=4.1

Дана уразливість досі не виправлена.

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після banner.kiev.ua в якості приклада таких уразливостей наведу Cross-Site Request Forgery уразливість на http://www.prospero.ru - сайті рекламного інтернета брокера, що мені відома ще з 2006 року. Стосовно численних уразливостей на www.prospero.ru я неодноразово повідомляв адмінам брокера (і про деякі з них писав в новинах), як повідомив їм про багато десятків уразливостей, так і звертав їх увагу, що дірок на сайті ще є дуже багато - як на www.prospero.ru, так і на інших сайтах даної компанії. Але адміни брокера продовжили не слідкувати за безпекою всіх своїх сайтів (так само як це вони робили в 2005-2006 роках).

Business Logic Flaw (через CSRF):

Можна викрасти гроші користувача через CSRF-атаку. Це можна зробити через POST запит на сторінці http://www.prospero.ru/balance.php, або через GET:

http://www.prospero.ru/balance.php?money_out=1&pay_type=webmoney_rus&webmoney_rus_summa=1000&money_out_type=usually&r_purse=R

Цим запитом ви переведете з рахунку жертви суму 1000 р. на свій R-гаманець в системі WebMoney. В параметрі money_out_type задається тип виведення - звичайний (usually) та експрес (express). У різних типів виведення різні комісії та швидкість виведення коштів.

Окрім Business Logic уразливості на http://www.prospero.ru, точно така ж сама Business Logic дірка була на сайті http://procontext.ru - сервісі контекстної реклами. Це був один з проектів Prospero, який вони закрили з першого грудня.

Продовжуючи розпочату традицію, після попереднього відео про основи веб безпеки, пропоную нове відео на веб секюріті тематику. Цього разу відео про безпеку веб шлюзу. Рекомендую подивитися всім хто цікавиться цією темою.

Web Gateway Security

В відео розповідається про надання послуги безпеки веб шлюзу з використанням хмарних (cloud) технологій, зокрема на прикладі Trend Micro Smart Protection Network. Секюріті продукт Secure Web Gateway від Trend Micro використовує дану хмарну технологію і має численні переваги над традиційними рішеннями. Про подібні хмарні продукти від Google та Zscaler я вже писав раніше.

Рекомендую подивитися дане відео для розуміння сучасної ситуації з безпекою в Інтернет.

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2007.

Виконання коду в Document Conversions Launcher Service при обробці запиту SOAP.

• Microsoft Security Bulletin MS10-104 - Important Vulnerability in Microsoft SharePoint Could Allow Remote Code Execution (2455005) (деталі)

В даній добірці уразливості в веб додатках:

• HP Project and Portfolio Management Center (PPMC), Remote Cross Site Scripting (XSS) (деталі)
• Joomla! Component com_bc Cross Script Scripting (XSS) Vulnerability (деталі)
• Joomla! Component com_bcaccount Persistent Cross Script Scripting (XSS) Vulnerability (деталі)
• BlastChat Chat Client Component version 3.3 <= Cross Script Scripting (XSS) Vulnerability (деталі)
• Novell Netware NWFTPD RMD/RNFR/DELE Argument Parsing Remote Code Execution Vulnerabilities (деталі)
• {PRL} Novell Netware FTP Remote Stack Overflow (деталі)
• FCKEditor.NET File Upload Code Execution (деталі)
• ApPHP Calendar XSS - CSRF (деталі)
• XSS vulnerability in Amiro.CMS FAQ (деталі)
• HP SOA Registry Foundation, Remote Unauthorized Access to Data, Cross Site Scripting (XSS), Privilege Escalation (деталі)

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості на проекті http://exwp.com (обмінник веб грошей). Про даний обмінник, адміністрація якого не слідкує за безпекою сайта, я вже писав. Всім користувачам Інтернет варто бути обережними з дірявими обмінниками.

Останній раз стосовно обмінників веб грошей я писав про уразливості на www.vrschange.com.

Insufficient Anti-automation:

http://exwp.com/guestbook/index.html?mailto=EX00;file=guestbook/guest/1274704418_EX00.html;

При заході на сторінку перевіряється реферер. В даній формі немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відпраника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://exwp.com/env/

Витік повного шляху на сервері та іншої інформації.

XSS (з використанням методів обходу ModSecurity):

http://exwp.com/env/?%3Cxss%3E

Нещодавно, 08.12.2010, майже одразу за виходом версії 3.0.2, вийшла нова версія WordPress 3.0.3.

WordPress 3.0.3 це секюріті випуск 3.0 серії. В якому розробники виправили одну уразливість. Була виправлена Insufficient Authorization уразливість, яка при відповідних умовах дозволяла користувачам з правами Author і Contributor некоректно редагувати, публікувати та видаляти записи. Атака можлива лише на ті сайти де увімкнена віддалена публікація.

Як і в попередній версії, розробники так і не виправили виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Міжсайтовий доступ до даних, численні пошкодження пам’яті.

• Microsoft Internet Explorer CSS Style Table Layout Uninitialized Memory Vulnerability (деталі)
• Microsoft Internet Explorer HTML Object Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS10-090 - Critical Cumulative Security Update for Internet Explorer (2416400) (деталі)

08.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайті www.allo.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в eSitesBuilder.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2010

XSS:

http://site/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/console/forget.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/console/forget.php

Через даний функціонал можна визначати логіни користувачів.

Уразливі потенційно всі версії eSitesBuilder.