Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://megatona.net - інфекція була виявлена 07.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://worber.at.ua - інфекція була виявлена 29.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://volans.com.ua - інфекція була виявлена 09.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://j1c.pp.ua - інфекція була виявлена 05.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://5backs.at.ua - інфекція була виявлена 08.12.2010. Зараз сайт не входить до переліку підозрілих.

28.05.2010

У жовтні, 24.10.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.bay.ru (інтернет магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливість на vch.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.01.2011

XSS:

http://www.bay.ru/search?query=%3Cimg%20src=''%20onerror=%22javascript:alert(document.cookie)%22%3E
http://www.bay.ru/search?min_price=%22%3E%3Cimg%20src=%22%22%20onerror=%22javascript:alert(document.cookie)%22%3E
http://www.bay.ru/search?max_price=%22%3E%3Cimg%20src=%22%22%20onerror=%22javascript:alert(document.cookie)%22%3E

Insufficient Anti-automation:

В формі реєстрації (https://www.bay.ru/customer/signup, що зараз змінила адресу на https://www.bay.ru/account/register) немає захисту від автоматизованих запитів (капчі).

Якщо XSS уразливості вже виправлені, то IAA уразливість досі не виправлена.

В статті CrimeWare: новий виток противостояния розповідається про CrimeWare. Це фінансові шкідливі програми, тобто віруси, що призначені для викрадення фінансових даних користувачів.

Дана стаття присвячена аналізу ситуації, що склалася останнім часом в області атак шкідливих програм на клієнтів фінансових організацій. В ній описанна ситуація з протистоянням фінансових шкідливі програми як з антивірусною індустрєю, так і з фінансовим сектором. Піднямаються питання атак кіберкриміналу, технологічних можливостей антивірусної індустрії, захисту клієнтів фінансовими організаціями, пошуку ефективного рішення та державної підтримки.

Географія розподілу шкідливих хостингів, що займаються поширенням фінансових шкідливих програм достатньо широка. Серед 10 країн, на хостінгах яких найбільше розповсюджувалися фінансові віруси в першому кварталі 2010 року, є наступні: Бразилія, США, Китай, Росія, Німеччина, Франція, Іспанія, Великобританія, Південна Корея та Нідерланди.

Враховуючи дірявість e-commerce сайтів, включаючи сайти, що працюють з кредитними картами, в тому числі тих, що ховаються за секюріті логотипами, то дана тема є достатньо актуальною.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, сайт Google піддався дефейсу.

Нещодавно бангладешський сайт Googlе піддався дефейсу. На минулому тижні хакер зумів захопити управління над доменом google.com.bd і тим самим продемонстрував дефейс відвідувачам цього ресурсу.

За повідомленням ain.ua, Нацбанк України вперше дозволив випустити електронні гроші.

Наприкінці листопада Національний Банк України затвердив правила системи електронних грошей MoneXy і “Максі”. Відповідні дозволи одержали банки-власники систем - “Контракт” і “VAB Банк”. Тепер вони зможуть здійснювати випуск електронних грошей та інші операції у своїх системах відповідно до вимог Положення про електронні гроші в Україні, затвердженими Правлінням Нацбанку України №178 від 25.06.2008.

Це перший випадок коли електронним платіжним системам (в даному випадку двом системам) надали офіційні дозволи на роботу в Україні. Але враховуючі дірявість сайта банку Контракт, як і проблеми з безпекою на сайтах самої системи MoneXy, то незважаючи на наявність офіційних дозволів, користувачам цих систем потрібно бути обережними.

За повідомленням hackzona.com.ua, зламати WiFi-пароль можна за допомогою Amazon Web Services.

Німецький фахівець з інформаційної безпеки розробив спеціальне програмне забезпечення, яке використовуючи обчислювальні ресурси хмарного сервісу Amazon може взламувати паролі бездротових WiFi-мереж.

Про використання хмарних технологій (в тому числі й від Amazon) для хакінгу я вже писав.

05.11.2010

У липні, 07.07.2010, я знайшов Cross-Site Scripting, Brute Force та Full path disclosure уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на сайті www.br-ua.com та інших сайтах на даному движку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MC Content Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.01.2011

XSS:

http://site/cms/’;alert(document.cookie);/*

Brute Force:

http://site/admin/

Full path disclosure:

http://site/cms/1/

http://site/ru/cms/1

http://site/en/cms/1

Уразливі потенційно всі версії MC Content Manager (MC Content Manager v.10.1.1 та попередні версії).

Витоки інформації на сайтах трапляються часто, такі як витоки повного шляху (Full path disclosure), витоки паролів та інші випадки витоків важливої інформації. В даній статті (запланованої в 2009) я розповім про витоки інформації через статистику відвідувань.

Системи статистики відвідувань можуть бути з обмеженим доступом (по логіну і паролю), а можуть бути і відкриті. От останні й представляють загрозу і про них буде йти мова. Тому що до відкритих систем статистики можуть дістатися усі бажаючі, в тому числі й нападники, які використають статистичну інформацію для своїх цілей.

Серед популярних статистичних систем є така система як Webalizer. Яку часто розміщують на сайті в публічному доступі (не обмеживши до неї доступ лише адміністаторам сайта). Що призводить до витоків інформації про сайт - сам багато разів знаходив Webalizer на різних сайтах . Зокрема раніше я писав про уразливості в XAMPP, серед яких є й стандартний і легковгадуємий шлях до Webalizer (доступ до якого не обмежений).

Використовуючи наступний дорк можна знайти сайти з незахищеним Webalizer, що були проіндексовані Гуглом:

intitle:”Usage Statistics for” - до 557000 сайтів. Серед них до 17100 державних сайтів, в тому числі до 2040 американських gov-сайтів.

Необмежений доступ до систем статистики відвідувань та витік інформації про неї може призвести до:

• Витоку реальних статистичних даних (які можуть не співпадати з офіційно декларуємими).
• Витоку даних про джерела трафіку.
• Витоку даних про структуру сайта, в тому числі про приховані ресурси (які також можуть бути не захищені паролем).
• В самих системах статистики відвідувань можуть бути уразливості.
• В самих прихованих ресурсах, інформація про які витікає через систему статистики відвідувань, можуть бути уразливості.

Тому варто обмежувати доступ до статистики відвібувань, щоб не допускати витоків інформації.

Нещодавно, 06.01.2011, вийшли PHP 5.3.5 та 5.2.17. В яких виправлена одна критична уразливість. Даний реліз направлений на покращення стабільності та безпеки 5.2.x та 5.3.x гілок PHP.

В PHP 5.3.5 та 5.2.17 зроблене наступне секюріті виправлення:

• Виправлена DoS уразливість (баг #53632), що виникала при конвертаціїї з типу string в double та могла привести до підвисання систем, що використовують x87 FPU регістри. Дана проблема торкається тільки x86 32-бітних систем.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• Lexmark Multiple Laser printer FTP Remote Denial of Services (деталі)
• Lexmark Multiple Laser Printer Remote Stack Overflow (деталі)
• XSS vulnerability in SantaFox search module (деталі)
• XSRF (CSRF) in SantaFox (деталі)
• HP Insight Control Server Migration for Windows, Remote Cross Site Scripting (XSS) (деталі)
• Member Management System v 4.0 XSS vuln (деталі)
• NetArtMEDIA Car Portal v2.0 XSS vuln (деталі)
• SpringSource tc Server unauthenticated remote access to JMX interface (деталі)
• PowerStore™ 3 XSS vuln (деталі)
• HP Performance Manager, Remote Unauthorized Access, Cross Site Scripting (XSS), Denial of Service (DoS) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.babolat.ua (хакером C37HUN)
• http://dom-ivanov.at.ua (хакером BACKDOOR)
• http://videofoto.sumy.ua (хакером sr1_0d0nk)
• http://tube.ua (хакерами з UAH-CREW)
• http://www.games4xbox.comua.net (хакером Reyoscuro) - 17.12.2010, зараз сайт не працює (на сайті є лише реклама самого хостера і немає контенту), сторінка з дефейсом все ще окремо зберігається на сайті, а на головній сторінці встановлений редирект на Ютюб

Виявлені численні уразливості в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Можливі обхід захисту від XSS, обхід open_basedir(), DoS при обробці zip-архівів, DoS в функції filter_var(), читання довільної пам’яті в функції mb_strcut, DoS в функції NumberFormatter::getSymbol, DoS в функції zend_strtod.

• PHP vulnerabilities (деталі)