Архів за Січень, 2011

Уразливості в плагінах для WordPress №26

23:52 31.01.2011

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Featured Post With Thumbnail, RSS Feed Reader For WordPress та Recip.ly Plugin. Для котрих з’явилися експлоіти. WP Featured Post With Thumbnail - це плагін для виведення рекомендованих записів, RSS Feed Reader For WordPress - це плагін для виведення RSS фідів у вигляді HTML, Recip.ly Plugin - це плагін для роботи з рецептами.

  • WordPress WP Featured Post With Thumbnail 3.0 Cross Site Scripting (деталі)
  • WordPress RSS Feed Reader For WordPress 0.1 Cross Site Scripting (деталі)
  • WordPress Recip.ly Plugin 1.1.7 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Класифікація уразливостей WASC TC v2.0

22:44 31.01.2011

На початку 2010 року вийшла друга версія класифікації Web Application Security Consortium Threat Classification - WASC TC v2.0. Вона є продовженням WASC TC v1.0 і має значні відмінності від першої версії класифікації.

Серед нововведень другої версії класифікації виділю наступні. По-перше, в ній додані нові класи уразливостей. По-друге, з’явилися ідентифікатори класів уразливостей (що є зручним для посилання на WASC TC). По-третє, в новій версії класифікації немає категорій уразливостей, а є два різновиди: Атаки та Слабкості.

За новою версією класифікації WASC TC існують наступні класи уразливостей:

Атаки (Attacks):

Abuse of Functionality (WASC-42)
Brute Force (WASC-11)
Buffer Overflow (WASC-07)
Content Spoofing (WASC-12)
Credential/Session Prediction (WASC-18)
Cross-Site Scripting (WASC-08)
Cross-Site Request Forgery (WASC-09)
Denial of Service (WASC-10)
Fingerprinting (WASC-45)
Format String (WASC-06)
HTTP Request Splitting (WASC-24)
HTTP Response Splitting (WASC-25)
HTTP Request Smuggling (WASC-26)
HTTP Response Smuggling (WASC-27)
Integer Overflows (WASC-03)
LDAP Injection (WASC-29)
Mail Command Injection (WASC-30)
Null Byte Injection (WASC-28)
OS Commanding (WASC-31)
Path Traversal (WASC-33)
Predictable Resource Location (WASC-34)
Remote File Inclusion (WASC-05)
Routing Detour (WASC-32)
SOAP Array Abuse (WASC-35)
SSI Injection (WASC-36)
Session Fixation (WASC-37)
SQL Injection (WASC-19)
URL Redirector Abuse (WASC-38)
XPath Injection (WASC-39)
XML Attribute Blowup (WASC-41)
XML External Entities (XXE) (WASC-43)
XML Entity Expansion (WASC-44)
XML Injection (WASC-23)
XQuery Injection (WASC-46)

Слабкості (Weaknesses):

Application Misconfiguration (WASC-15)
Directory Indexing (WASC-16)
Improper Filesystem Permissions (WASC-17)
Improper Input Handling (WASC-20)
Improper Output Handling (WASC-22)
Information Leakage (WASC-13)
Insecure Indexing (WASC-48)
Insufficient Anti-automation (WASC-21)
Insufficient Authentication (WASC-01)
Insufficient Authorization (WASC-02)
Insufficient Password Recovery (WASC-49)
Insufficient Process Validation (WASC-40)
Insufficient Session Expiration (WASC-47)
Insufficient Transport Layer Protection (WASC-04)
Server Misconfiguration (WASC-14)

Виконання коду в Microsoft IIS

19:01 31.01.2011

Виявлена можливість виконання коду в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 6 під Windows XP та Windows 2003 Server.

Файли з папок з розширенням .asp обробляються як ASP-сценарії незалежно від розширення файлу.

  • Microsoft IIS 6 parsing directory “x.asp” Vulnerability (деталі)

Добірка уразливостей

15:22 31.01.2011

В даній добірці уразливості в веб додатках:

  • IBM BladeCenter Management Module - DoS vulnerability (деталі)
  • SQL injection vulnerability in Entrans (деталі)
  • XSS vulnerability in Entrans (деталі)
  • SQL injection vulnerability in e107 (деталі)
  • Unauthenticated Filesystem Access in iomega Home Media Network Hard Drive (деталі)
  • 2.6.6 <= phpMyFAQ <= 2.6.8 XSS (деталі)
  • XSS vulnerability in Pluck (деталі)
  • XSS vulnerability in GetSimple CMS (деталі)
  • Various XSS and information disclosure flaws within 3Com iMC (Intelligent Management Center) (деталі)
  • Unauthenticated File Retrieval (traversal) within 3Com iMC (Intelligent Management Center) (деталі)

Уразливості в плагінах для WordPress №25

23:54 29.01.2011

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Uploader, x7Host’s Videox7 UGC та WP Publication Archive. Для котрих з’явилися експлоіти. WordPress Uploader - це плагін для завантаження файлів, x7Host’s Videox7 UGC - це плагін для розміщення відео на сайті, WP Publication Archive - це плагін для завантаження та управління публікаціями.

  • WordPress Uploader 1.0.0 Cross Site Scripting (деталі)
  • WordPress x7Host’s Videox7 UGC Plugin 2.5.3.2 Cross Site Scripting (деталі)
  • WordPress WP Publication Archive 2.0.1 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Класифікація уразливостей WASC TC v1.0

22:42 29.01.2011

Існує така класифікація уразливостей як Web Application Security Consortium Threat Classification (WASC TC). У 2004 році вийшла перша версія класифікації - WASC TC v1.0. Про яку я зараз детально розповім (зазначу, що в 2010 році вийшла TC v2.0).

Дану класифікацію я використовую в своїй діяльності з 2006 року. На її основі я розробив власну класифікацію уразливостей для проведення аудита безпеки (це моя розширена версіїя WASC TC), а також я згадував про дану класифікацію в своїх доповідях на конференціях.

За класифікацією WASC TC існують наступні класи уразливостей:

1. Аутентифікація (Authentication)
1.1. Підбор (Brute Force)
1.2. Недостатня аутентифікація (Insufficient Authentication)
1.3. Небезпечне відновлення паролів (Weak Password Recovery Validation)
2. Авторизація (Authorization)
2.1. Передбачуване значення ідентифікатора сесії (Credential/Session Prediction)
2.2. Недостатня авторизація (Insufficient Authorization)
2.3. Відсутність таймаута сесії (Insufficient Session Expiration)
2.4. Фіксація сесії (Session Fixation)
3. Атаки на клієнтів (Client-side Attacks)
3.1. Підміна вмісту (Content Spoofing)
3.2. Міжсайтове виконання сценаріїв (Cross-Site Scripting)
3.3. Розщеплення HTTP-запиту (HTTP Response Splitting)
4. Виконання коду (Command Execution)
4.1. Переповнення буфера (Buffer Overflow)
4.2. Атака на функції форматування рядків (Format String Attack)
4.3. Впровадження операторів LDAP (LDAP Injection)
4.4. Виконання команд ОС (OS Commanding)
4.5. Впровадження операторів SQL (SQL Injection)
4.6. Впровадження серверних розширень (SSI Injection)
4.7. Впровадження операторів XPath (XPath Injection)
5. Недостатній захист інформації (Information Disclosure)
5.1. Індексування директорій (Directory Indexing)
5.2. Ідентифікація додатків (Web Server/Application Fingerprinting)
5.3. Витік інформації (Information Leakage)
5.4. Зворотний шлях у директоріях (Path Traversal)
5.5. Передбачуване розташування ресурсів (Predictable Resource Location)
6. Логічні атаки (Logical Attacks)
6.1. Зловживання функціональними можливостями (Abuse of Functionality)
6.2. Відмова в обслуговуванні (Denial of Service)
6.3. Недостатня протидія автоматизації (Insufficient Anti-automation)
6.4. Недостатня перевірка процесу (Insufficient Process Validation)

Цікаві записи на тему веб безпеки

19:22 29.01.2011

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі XSS Evades IP Filtering, RSnake розповідає про використання XSS для обходу обмежень по IP. З однієї сторони для простих речей вистачить і CSRF, але для більш складних речей потрібно використовувати CSRF через XSS атаку (і про такі речі я вже розповідав). До того ж, через XSS уразливості можна обходити і захисти проти CSRF-атак, на що я наголошую вже на протязі багатьох років.

В своєму записі Schmoilito’s Way Is Hacking Via Local Apps, RSnake розповідає про використання MSXML для локальних атак, про які повідомив йому Schmoilito. Причому MSXML XHR може використовуватися не тільки для атаки на інтранет (на локальну мережу), але й для доступу до локальних файлів. Тому що Майкрософтський функціонал MSXML, що працює в браузері IE, дозволяє читати локальні файли.

В своєму записі MalaRIA Malicious RIA Proxy, RSnake розповідає про MalaRIA - Malicious RIA Proxy. Цей додаток розроблений Erlend Oftedal і являє собою проксі, що може використовуватися для атаки на сайти через Flash та Silverlight. Він може використовуватися для доступу з одного сайту до захищенного контенту на іншому сайті через флеш чи сільверлайт на машині клієнта.

RCE та CSRF уразливості в CMS WebManager-Pro

15:10 29.01.2011

19.11.2010

У серпні, 03.08.2010, я знайшов Remote Code Execution та Cross-Site Request Forgery уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

29.01.2011

RCE (Remote PHP Code Execution):

В cистемі можливе включення php тегів безпосередньо в поля для текста контенту. Таким чином на будь-яку сторінку (в полі “Текст”) можна включити php код, який виконається при відвіданні сторінки. Атаку можна провести при доступі до адмінки, або при CSRF-атаці на адміна.

PHP код задається наступним чином:

<?php include "/etc/passwd"; php?>
<?php include "script.php"; php?>

CSRF:

В edit_content.php не перевіряється джерело запиту, що дозволяє проводити CSRF атаки для зміни контенту будь-якої сторінки сайта. Що також може бути використано для проведення persistent XSS атак та для віддаленого виконання коду (RCE).

Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Тестування з веб безпеки

22:43 28.01.2011

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки.

В даній версії додав 10 нових запитань по восьомому розділу мого Посібника з безпеки. Тепер у тесті 65 запитань на web security тематику, які базуються на восьми розділах мого посібника.

Також сьогодні оновив друге тестування з веб безпеки, в якому ви можете перевірити рівень своїх хакерських знань. В даній версії додав 5 нових запитань.

Так що вдалого вам тестування ;-) .

Новини: кіберзагрози на 2011 рік, спецслужби та взлом сайта ChronoPay

19:20 28.01.2011

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.xakep.ru, McAfee склала список кіберзагроз на 2011 рік.

Експерти американської компанії по розробці антивірусного програмного забезпечення McAfee склали список найбільших кібернебезпек, з якими ризикують зіштовхнутися користувачі в 2011 році. У список увійшли:

  • Соціальні мережі, у які користувачі викладають величезну кількість особистої інформації.
  • Багатофункціональні мобільні пристрої, що одержали широке поширення в бізнесі-сфері.
  • Крім того, експерти пророкують значне збільшення атак на продукти компанії Apple - iPhone і iPad.
  • Також не варто скачувати на мобільні пристрої сумнівні додатки.
  • Ще одну небезпеку McAfee бачить у популярності WikiLeaks.

За повідомленням hackzona.com.ua, спецслужби дісталися до експерта з кібербезпеки.

ZDNet намагається дізнатися хоч що-небудь про нинішнє місцеперебування та стан відомого експерта з кібербезпеки Данча Данчева. Напарник Данчева по блогу Zero Day, що належить цьому виданню, Райан Нарайн повідомив, що не може вийти на зв’язок з колегою вже кілька місяців. В своєму останньому листі експерт заявив про те, що його, по всій видимості, переслідують болгарські спецслужби.

За повідомленням www.xakep.ru, взломаний сайт ChronoPay.

Наприкінці грудня сайт міжнародної процесінгової системи ChronoPay взломаний зловмисниками. Хакери розмістили на головній сторінці повідомлення про нібито викрадання баз даних з персональною інформацією про клієнтів ChronoPay, що мало місце, включаючи номера банківських карт. Скріншот повідомлення на взломаному сайті надається.