Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://prylad.com.ua (хакером SecurityBus) - 04.12.2010, зараз сайт вже виправлений адмінами
• http://online-urist.com.ua (хакером A13D77) - 11.12.2010, зараз сайт вже виправлений адмінами
• http://www.foundryua.org (хакером DaiLexXwOw)
• http://mamico.com.ua (хакером Bo-NoRh) - 10.12.2010, зараз сайт вже виправлений адмінами
• http://www.poltava-region.org.ua (хакерами з Albania HackerZ SpeciaL) - 13.12.2010, взломаний сайт Полтавської обласної організації Партії регіонів, зараз сайт вже виправлений адмінами

Розповідаючи про свою музику, я вже писав про вихід мого альбому My own Rave World, що я офіційно розмістив в себе на сайті в вересні.

І з понеділка я почав розміщувати свою музику на SoundCloud. Так що можете послухати мої композиції (як з цього, так і з інших альбомів) та прокоментувати їх на даному сайті.

Можете послухати безпосередньо у браузері мою композицію MustLive - Mad Song:

В даній добірці уразливості в веб додатках:

• Remote Help 0.0.7 Httpd DoS (Format String) (деталі)
• New lxr-cvs packages fix cross-site scripting (деталі)
• Harris Stratex StarMAX subscriber station running config CSRF exploit (деталі)
• e107 CMS Multiple Vulnerabilities (деталі)
• XSS vulnerability in MAXdev (деталі)
• IBM Lotus 6.x names.nsf Cross Site Scripting Vulnerability (деталі)
• IBM Lotus 6.x HTTP Response Splitting Vulnerability (деталі)
• Nagios XI users.php SQL Injection (деталі)
• MoinMoin vulnerabilities (деталі)
• SAP MaxDB Malformed Handshake Request Remote Code Execution Vulnerability (деталі)

Виявлене цілочисленне переповнення в PHP.

Уразливі версії: PHP 5.3.

Цілочисленне переповнення в NumberFormatter::getSymbol.

• PHP 5.3.3 NumberFormatter::getSymbol Integer Overflow (деталі)

В минулому місяці, 30.11.2010, вийшла нова версія WordPress 3.0.2.

WordPress 3.0.2 це багфікс та секюріті випуск 3.0 серії. В якому розробники виправили різноманітні баги та деякі уразливості. Зокрема виправили одну SQL Injection дірку, яку можна було використати при відповідних умовах (при наявності необхідних прав на сайті та при відключених mq), а також виправили XSS уразливість, про яку я писав.

Зате розробники не виправили інші виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

08.10.2009

У лютому, 13.02.2009, я знайшов SQL Injection уразливість на http://moral.gov.ua - сайті Національної експертної комісії України з питань захисту суспільної моралі. Про що найближчим часом сповіщу адміністрацію сайта.

Зазначу, що мати дірки на сайті - це аморально. А мати дірки в себе на сайті для комісії по захисту моралі - це вдвічі аморально.

Детальна інформація про уразливість з’явиться пізніше.

14.12.2010

SQL Injection:

http://moral.gov.ua/index.php?content_id=-1%20or%20version()=4.1

Дана уразливість вже виправлена - шляхом заміни движка. Адміни змінили один дірявий дижок на інший дірявий . Тобто продовжили свою аморальну діяльність.

В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

В якості приклада таких уразливостей наведу Cross-Site Request Forgery уразливість на http://www.banner.kiev.ua, що мені відома ще з 2006 року. Стосовно CSRF дірок на www.banner.kiev.ua я вже писав раніше. Я вже неодноразово писав про уразливості на даному сайті, але більшість з них досі не виправлена адмінами банерної системи, бо вони не слідкують за безпекою власного сайта.

Банери в УБС коштують гроші, тому вони є еквівалентом фінансових одиниць. Бо банери можна монетизувати. З однієї сторони вони можуть знадобитися нападнику, щоб відкручувати рекламу і при цьому не витрачати кошти на купівлю баннерів. А з іншої сторони за них можна купити товари чи сервіси у партнерів УБС, а також їх можна продати на вторинному ринку.

Business Logic Flaw (через CSRF):

Можна викрасти покази користувача через CSRF-атаку. Це можна зробити через POST запит на сторінці http://www.banner.kiev.ua/transfer?x=site_id, або через GET:

http://www.banner.kiev.ua/?a=do_transfer&x=site_id&n=1&to_site_id=your_site_id&format_id=1&value=1000

Цим запитом ви переведете з рахунку сайта site_id жертви на рахунок свого сайта your_site_id 1000 банерів формату 468×60.

Для надійності атаки потрібно знати, що у користувача є необхідна кількість показів, або можна переводити невелику кількість показів (наприклад, 1000). При бажанні можна зробити серверний скрипт, що буде перевіряти стан власного рахунку нападника, і через XSS уразливість - яких море на www.banner.kiev.ua, про що я неодноразово писав - проводити атаки для переведення показів. При цьому зв’язуючись з серверним скриптом нападника, щоб перевірити стан рахунку, і при необхідності корегувати кількість показів для переведення (або через XSS визначити кількість показів на рахунку і одразу забрати всі). Таким чином можна забрати з рахунку користувача всі покази до останнього.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://megamir.org.ua - інфекція була виявлена 09.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 13 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://med.odessa.ua - інфекція була виявлена 10.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://obrazovanie.odessa.ua - інфекція була виявлена 07.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://s41.org.ua - інфекція була виявлена 25.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://night.kharkov.ua - інфекція була виявлена 16.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Численні пошкодження пам’яті, переповнення буфера, виконання коду, обхід захисту, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2010-74 (деталі)
• Mozilla Foundation Security Advisory 2010-75 (деталі)
• Mozilla Foundation Security Advisory 2010-76 (деталі)
• Mozilla Foundation Security Advisory 2010-77 (деталі)
• Mozilla Foundation Security Advisory 2010-78 (деталі)
• Mozilla Foundation Security Advisory 2010-79 (деталі)
• Mozilla Foundation Security Advisory 2010-80 (деталі)
• Mozilla Foundation Security Advisory 2010-81 (деталі)
• Mozilla Foundation Security Advisory 2010-82 (деталі)
• Mozilla Foundation Security Advisory 2010-83 (деталі)
• Mozilla Foundation Security Advisory 2010-84 (деталі)
• Firefox 3.6.13 pseudo-URL SOP check bug (CVE-2010-3774) (деталі)

В даній добірці уразливості в веб додатках:

• Juniper SA Series Cross Site Scripting Issue (деталі)
• New mapserver packages fix arbitrary code execution (деталі)
• XSS vulnerability in eazyCMS (деталі)
• XSS vulnerability in CMSimple (деталі)
• XSS vulnerability in CMSimple (деталі)
• Hewlett-Packard OVPI helpmanager Servlet Remote Code Execution Vulnerability (деталі)
• HP Performance Insight, Remote Execution of Arbitrary Commands (деталі)
• phpMyAdmin 3.3.5 / 2.11.10 <= Cross Site Scripting (XSS) Vulnerability (деталі)
• Apache CouchDB Cross Site Request Forgery Attack (деталі)
• Vulnerability httpdx v1.5.3 (деталі)