Websecurity - Веб безпека

Одним з найбільш критичних витоків інформації є витоки паролів. Коли на сайті розміщується в тестовому вигляді інформація про логіни і паролі - до адмінки сайта чи хостінга, до FTP чи до MySQL або іншої СУБД. За звичай подібна інформація розміщується у txt-файлі. І при цьому власник сайта думає, що ніхто цього файла не знайде .

З подібніми витоками інформації мені доводилося стикатися неодноразово. І про один такий випадок, що я виявив нещодавно, я зараз розповім.

Як можна побачити на сайті airbrush.atmosphereart.com.ua - на сайті в “непримітному” файлі p.txt розміщені логіни та паролі доступу до адмінки хостінга, FTP та MySQL. І доступ до файлу не захищений паролем, як це варто було зробити, якщо вже адмін вирішив розмістити таку важливу інформацію в Інтернеті.

Таких витоків інформації (Information Leakage) не варто допускати. Зазначу, що наведена в файлі інформація є застарілою і жоден з цих паролей не працює. Але тим не менше, логіни цілком могли залишитися тими самими. І тому нападники можуть скористатися цими логінами, щоб підібрати до них паролі. Тому не варто робити витоків навіть застарілої інформації (зокрема про логіни і паролі), бо деяка частина інформації може бути все ще актуальною.

15.07.2010

В липні, 06.07.2008, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на проекті http://online.htmlvalidator.com (що також доступний на домені http://www.onlinewebcheck.com). Про що найближчим часом сповіщу адміністрацію проекту.

Подібно до уразливостей на www.w3.org, дану Abuse of Functionality уразливість можна використати для проведення атак на інші сайти.

Детальна інформація про уразливості з’явиться пізніше.

08.12.2010

Abuse of Functionality:

http://online.htmlvalidator.com/php/onlinevallite.php?url=http://site

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сайт.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Обмеження на один запит в 5 секунд з одного IP не вирішує задачу.

XSS:

http://online.htmlvalidator.com/php/onlinevallite.php?url=http://htmlvalidator.com/?%22%20style=%22-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml%23xss')

Якщо XSS уразливість вже виправлена, то Abuse of Functionality та IAA уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kyivobljust.gov.ua - інфікований державний сайт - інфекція була виявлена 04.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://hostelukraine.com - інфекція була виявлена 04.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://hostelsinlviv.com - інфекція була виявлена 05.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mediastar.net.ua - інфекція була виявлена 29.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mobile-shop.kiev.ua - інфекція була виявлена 29.11.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт kyivobljust.gov.ua також хостить в себе Укртелеком.

Виявлена можливість проведення DoS атак проти libcurl і cURL. Через дану уразливість можна атакувати додатки, які використовують libcurl, наприклад, PHP.

Уразливі продукти: libcurl 7.19, cURL 7.19.

Вичерпання ресурсів при декомпресії gzip.

• Vulnerability in cURL (деталі)

17.04.2010

У жовтні, 09.10.2009, я знайшов Cross-Site Scripting уразливість на проекті http://rapidlibrary.com (пошуковець файлів на файлообміннику RapidShare). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

07.12.2010

XSS:

• alert(document.cookie) (IE)
• alert(document.cookie) (Mozilla)
• цікавий (Mozilla)

Дана уразливість досі не виправлена.

Раніше я вже згадував про вихід початкової версії Google Chrome, Google Chrome 1.0, Google Chrome 2.0 та Google Chrome 8.0. А зараз я розповім про інші основні версії Chrome в переліку дат виходу всіх основних версій даного браузера.

Дати виходу головних версій Google Chrome:

Google Chrome 0.x - 02.09.2008
Google Chrome 1.0 - 11.12.2008
Google Chrome 2.0 - 22.05.2009
Google Chrome 3.0 - 16.09.2009
Google Chrome 4.0 - 25.01.2010
Google Chrome 4.1 - 17.03.2010
Google Chrome 5.0 - 25.05.2010
Google Chrome 6.0 - 02.09.2010
Google Chrome 7.0 - 21.10.2010
Google Chrome 8.0 - 03.12.2010

Кожна наступна версія браузера, окрім виправлення багів, також покращувала рівень його безпеки. І окрім безпосереднього виправлення дірок в Chrome, в нових версіях додався новий секюріті функціонал. Зокрема, як я вже писав раніше, в Chrome 8.0 з’явився переглядач PDF-файлів, що використовує технологію “пісочниці”, що підвищує безпеку перегляду PDF-файлів.

Але враховуючи дірки в Google Chrome, що знаходять регулярно, та багаторічну дірявість Гугла, про що неодноразово наголошував я та інші секюріті діячі, Гуглу є куди покращувати безпеку свого браузера та інших своїх додатків та веб сайтів.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, вірус Stuxnet - нова зброя терористів.

Вірус Stuxnet, що викликав проблеми в роботі іранської ядерної програми, раніше в цьому році продавався на “чорному ринку” і міг бути використаний терористами.

За повідомленням news.techlabs.by, російські хакери володіють 20% світового доходу кіберзлочинців.

У звіті російської компанії Group-IB говориться, що доходи російських хакерів складають не менш 20% світового обороту кіберзлочинців. Зростанню російського ринку онлайн-злочинів не можна не здивуватися - за минулий рік він збільшився майже в два рази. Ще більші показники виходять, якщо врахувати російських хакерів у міжнародних угрупованнях.

За повідомленням itua.info, у Британії кожен десятий сайт виконує розсилку спама.

Відповідно до результатів дослідження від Spam Rating, у Британії один з десяти сайтів є розповсюджувачем шкідливого спама. Дослідниками Spam Rating було проаналізовано більш 10000 сайтів і 150000 електронних листів. За їх інформацією, британський сегмент Мережі виявився одним із самих небезпечних в Інтернеті.

Про використання сайтів для розсилки спаму я детально написав в статті Розсилка спаму через сайти та створення спам-ботнетів.

14.04.2010

У жовтні, 05.10.2009, я знайшов Cross-Site Scripting уразливості (persistent та reflected) на проекті http://fileshare.in.ua (файлообмінник та хостінг файлів). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на fileshare.in.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.12.2010

XSS:

Це persistent XSS. При написанні відповіді на сторінці тікета (http://fileshare.in.ua/mailhistory.aspx?tid=70de0308f9ef11a5) або написанні повідомлення на сторінці http://fileshare.in.ua/mail.aspx, в тікеті спрацьовує XSS код (в полі Сообщение). Атака можлива доки тікет відкритий.

XSS:

• alert(document.cookie)
• цікавий

Це приклад атаки для Mozilla та Firefox до 3.0. Для інших браузерів використовується відповідний атакуюший код.

Дані уразливості досі не виправлені.

Компанія Google сьогодні повідомила про випуск стабільної версії браузера Chrome 8.

Розробники відзначають, що в новій версії веб-браузера з’явився новий переглядач PDF-файлів, що використовує технологію “пісочниці” (Sandbox). Процес виконується в ізольованому оточенні, тому навіть при відкритті шкідливого файлу небажаний програмний код не зможе зашкодити системі та іншим додаткам.

Також повідомляється, що Chrome 8 одержав підтримку онлайнового магазина Chrome Web Store - правда, поки доступ до цього сервісу неактивний.

Крім того, розробники усунули близько 800 виявлених помилок, підвищили загальну швидкодію і стабільність. Продуктивність браузера виросла майже в два рази в порівнянні з Chrome 7.

• Вышла восьмая версия Google Chrome (деталі)

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. На цей раз я знову наведу записи на тему безпеки Гугла. Який в останній час почав активно позиціонувати себе в якості секюріті компанії, як я зазначав раніше.

В своєму записі Google Gadgets Gaffe, RSnake розповідає про дірки в Google Gadgets. Що подібні до XSS уразливості в Google Apps, яка була виявлена раніше.

В своєму записі Google Safe-Browsing and Chrome Privacy Leak, RSnake розповідає про витоки приватності в сервісі Safe Browsing. Про даний сервіс Гугла, який представляє з себе онлайнову антивірусну систему, я вже розповідав раніше.

В своєму записі Google Buzz Security Flaw, RSnake розповідає про XSS уразливість в Google Buzz. На початку цього року Гугл випустив свою нову розробку Buzz, в якій одразу ж знайшли уразливості та проблеми приватності, які можна було використати для атак на користувачів Buzz.