Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Підвищення привілеїв, DoS, міжсайтовий скриптінг.

• Apache Tomcat Manager XSS vulnerability (деталі)
• Apache Tomcat DoS vulnerability (деталі)
• Oracle JVM bug causes denial of service in Apache Tomcat (деталі)
• Apache Tomcat Local bypass of security manger file permissions (деталі)

11.12.2010

У липні, 25.07.2010, я знайшов Insufficient Anti-automation уразливісті в reCAPTCHA плагіні для Drupal. Яку я виявив під час секюріті аудиту на одному сайті. Вона пов’язана з уразливістю в стандартній капчі Drupal. Про що найближчим часом повідомлю розробникам.

В проекті MoBiC я вже писав про обхід reCaptcha. Це новий метод обходу reCaptcha для Drupal. Також раніше я вже писав про уразливості в Drupal.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

16.02.2011

Insufficient Anti-automation:

В різних формах в Drupal використовується уразливий капча-плагін reCAPTCHA. Вразливим є Captcha модуль, тому окрім reCAPTCHA також можуть бути вразливими й інші капча-плагіни (при цьому даний експлоіт трохи відрізняється від експлоіта для стандартного Captcha модуля для Drupal).

Для обходу капчі потрібно вказати коректне значення captcha_sid, при цьому можна навіть не відповідати на саму капчу (captcha_response), або вказати довільну відповідь. Даний метод обходу капч описаний в мене в проекті Month of Bugs in Captchas. Атака можлива доки активне дане значення captcha_sid.

Уразливості мають місце на сторінках з формами: http://site/contact, http://site/user/1/contact, http://site/user/password та http://site/user/register. Інші форми, де використовується reCAPTCHA, також будуть уразливими.

Експлоіт:

Drupal reCAPTCHA bypass.html

Уразливі всі версії reCAPTCHA плагіна для Captcha модуля версій до 6.x-2.3 та 7.x-1.0.

У листопаді місяці відбувся масовий взлом сайтів на сервері Delta-X. Дана компанія займається розробкою сайтів, а також надає хостінг своїм клієнтам. Нещодавно я вже розповідав про три інші масові взломи.

Був взломаний сервер компанії Delta-X, що розміщений в Дата-центрі Укртелекому. Взлом відбувся перед згаданим масовим взломом сайтів на сервері X-HOST. В цьому випадку було дефейснуто набагато більше сайтів ніж в попередніх випадках.

Всього було взломано 1155 сайтів на сервері української компанії Delta-X (IP 195.64.184.39). Це наступні сайти: www.kievcopy.com.ua, gps2simtv.com.ua, chudo-chado.kiev.ua, www.carbon-styling.com.ua, www.magisteriy.org, www.edemsami.org, www.nuskine.info, www.budizdorov.com.ua, www.produkty.dn.ua, reklama.produkty.dn.ua, www.trojka.com.ua, www.vizza.com.ua, www.tourista.com.ua, gallery.tourista.com.ua, tracker.tourista.com.ua, www.mafia-cartel.com, forum.mafia-cartel.com, test.tourista.com.ua, gallery.mafia-cartel.com, test.mafia-cartel.com, odessa.mafia-cartel.com, old.mafia-cartel.com, www.adv-news.com.ua, www.itc-news.com.ua, www.motor-news.com.ua, www.ski-world.com.ua, www.seo-news.kiev.ua, forum.ski-world.com.ua, gallery.ski-world.com.ua, www.stroi-news.com.ua, www.travel-news.com.ua, www.dinamit.in.ua, collab.dinamit.in.ua, test.dinamit.in.ua, bookmarks.dinamit.in.ua, connect.dinamit.in.ua, blog.dinamit.in.ua, www.tanzor.in.ua, www.club-news.com.ua, crm.web-promo.com.ua, qigong.web-promo.com.ua, stat.web-promo.com.ua, blog.web-promo.com.ua, www.ua-tour.com.ua, www.dukeline.com.ua, blog.dukeline.com.ua, www.ark-seo.com.ua, www.sports-news.com.ua, www.tecktonikdance.in.ua, www.radojuva.com.ua, www.seo-consult.com.ua, www.gidin.com.ua, www.olga-eksaurova.in.ua, blog.vinichenko.kiev.ua, www.ua-flashmob.com, www.ksenia.kiev.ua, www.easy-analytics.com.ua, www.mygoogle.name, www.stopfarming.com, my.cat-baloo.com, www.revange.org.ua, www.geo-ecology.org.ua, www.playpsp.info, www.terra-fun.ru, www.vedananda.com, www.cat-baloo.com, www.shrimanohara.com, www.parfumy.lviv.ua, www.vinichenko.kiev.ua, www.kendo.dn.ua, forum.la2revial.com, vkohtakte.la2revial.com, www.kuzovservis.com.ua, www.tt.ks.ua, www.firefox-pro.net, cs.firefox-pro.net, dl.firefox-pro.net, www.injector-service.ks.ua, www.kievnotary.com.ua, www.photolife.kiev.ua, www.jcmedia.kiev.ua, www.vipremont.kiev.ua, www.sport-invest.com.ua, www.zarabotai.net, www.gorkusha.com, www.ukrainefoundry.com, www.smart-promo.org, www.balakleyaturizm.org.ua, www.tansky.com.ua, www.riyki.org.ua, www.fotootblesk.com, www.keks.org.ua, www.verina.in.ua, www.alicemalysheva.pp.ua, www.ukrcable.in.ua, www.basketball.lviv.ua, www.ng.kh.ua, www.metel.com.ua, a7.metel.com.ua, www.chisto.me, ebay.chisto.me, www.rotary.mk.ua, www.logostrada.com, www.unity-solution.com, www.vdgroup.com.ua, www.babyservice.pl.ua, www.ravprofile.com, www.toptrade.in.ua, www.lilynews.ru, www.bonesport.com, www.nonoworld.org, www.semeon.org.ua, www.luxphone.com.ua, www.svetik.od.ua, www.xtremelife.com.ua, www.fotognom.com, www.agriser.com.ua, www.sportfan.com.ua, www.mediapr.com.ua, www.orderpremarin.com, www.uo-europe.net.ua, www.myearth.org.ua, www.brm-lesa.com, www.z-studio.com.ua, www.z-studio.in.ua, www.z-studio.kiev.ua, www.goldenpack.com.ua, www.allfutures.net, www.edger.com.ua, www.autokuzov.biz.ua, www.gardinast.com, www.xn--80afru.com.ua, www.terrainfognita.com, help.automaniac.com.ua, www.kiu.kh.ua, testdrive.automaniac.com.ua, autonews.automaniac.com.ua, phone.automaniac.com.ua, vit.imaniac.com.ua, tost.funmaniac.com.ua, funnyvideo.funmaniac.com.ua, history.funmaniac.com.ua, drawing.funmaniac.com.ua, funnysms.funmaniac.com.ua, anekdot.funmaniac.com.ua, aforizm.funmaniac.com.ua, www.gorodmariupol.com.ua, www.gorodmariupol.com, www.robomaniac.com.ua, www.dmvishnyak.com, health.sexmaniac.com.ua, fun.sexmaniac.com.ua, school.sexmaniac.com.ua, kitchen.sexmaniac.com.ua, sexgames.sexmaniac.com.ua, story.sexmaniac.com.ua, digital.technomaniac.com.ua, homes.technomaniac.com.ua, player.technomaniac.com.ua, notebooks.technomaniac.com.ua, mobile.technomaniac.com.ua, robots.technomaniac.com.ua, www.kukush.info, www.gt3000.com.ua, www.dnepr-parfum.dp.ua, www.temenos.org.ua, www.zamoksos.com, www.amrita-gold.com.ua, www.245mko.org.ua, www.xn--3-8sbake0ao9byb.com, ksusha.pasha.od.ua, dom.pasha.od.ua, www.pasha.od.ua, oruzhie.formanato.in.ua, www.formanato.in.ua, forum.formanato.in.ua, www.ukrfishing.com.ua, www.ukrfishing.com, www.compexpert.zp.ua, www.suvenir.zp.ua, www.ribalka.zp.ua, www.it-zp.com, www.formanato.com, www.perehvat.net, www.dmitriydenisov.com, www.it-ukraine.org, www.remontir.net, www.kneu-job.com.ua, www.stesha.com.ua, www.dynamis-calor.com.ua, www.esm.od.ua, www.gavrilov.org.ua, www.yugplast.com, www.prometej.com.ua, www.vts.kharkov.ua, www.miravtoshin.net.ua, www.edris.com.ua, www.bor-school6.com.ua, www.atlantium.biz, manager.shkafov.com.ua, www.hillel.od.ua, www.shcherbakova.org, www.morfi.us, uins.morfi.us, icq.morfi.us, www.im-pulse.com.ua, www.world-infinity.net, www.podia.org.ua, www.pro-gprs.info, www.webolla.com, www.papaclub.com.ua, www.t-brooklyn.com, www.automarket.lg.ua, www.nadom.org.ua, www.lukovnikov.com, www.ves.sebastopol.ua, blog.lukovnikov.com, www.dveri-market.com.ua, www.vidental.com.ua, www.matsiukvadym.com, www.tablichka.org.ua, www.art-chaos.org, www.kollazhi.com, www.dverka.in.ua, www.sofya.com.ua, www.papa-carlo.kiev.ua, www.lokons.com, www.xn--80aditupy.com, www.xn--80ardcpe.com, www.xn--80ajpsgcs.com, www.xn--80aqgckfs6c.com, www.xn--90aedoc8d.com, www.mozgus.in.ua, www.magicandle.org.ua, www.barry-callebaut.com.ua, www.alltuts.od.ua, www.rodnik.dn.ua, www.nata.tv, www.webbuilding.net.ua, www.ipsvit.com.ua, www.cito-news.com, www.lvivmaster.com.ua, 1.lvivmaster.com.ua, www.parfum.cn.ua, www.safirasushi.com.ua, www.autokasko.kiev.ua, www.ignis.com.ua, www.aromalife.com.ua, www.prhouse.in.ua, www.kip.biz.ua, www.ecoproject.com.ua, www.aerotech.dp.ua, www.urds.com.ua, www.urds.kiev.ua, www.forumkh.com, www.sinaer.kiev.ua, www.mavs.in.ua, www.nonstandart.com.ua, www.evrasiaplus.org.ua, www.daruyou.com.ua, www.sdv.org.ua, www.airbagtrade.com, maket.kornet.com.ua, www.logousb.ru, www.kornet.com.ua, www.tetis.in.ua, www.enisa.com.ua, dzhmel.kornet.com.ua, www.sumy-fenix.com.ua, www.mirasport.kiev.ua, www.otadoya.com.ua, www.boom-portal.com, www.gh.ks.ua, www.designtvoy.com, www.goldenparfum.com.ua, www.911credit.in.ua, www.sdttax.com, www.avon-cos.org.ua, www.runo.kiev.ua, banya.sumy-fenix.com.ua, www.schoolsystem.com.ua, www.mobihelp.org.ua, www.elektrokomp.com.ua, sauna.sumy-fenix.com.ua, www.pidko.com, www.big-portal.org.ua, www.unimodel.com.ua, www.meblimax.com.ua, www.advena.net.ua, www.tyservis.org.ua, www.simeyni-spravy.org.ua, www.prazdnik.in.ua, www.itukr.com, www.vfasad.od.ua, www.unitgame.net, www.ventfasad.crimea.ua, www.klinkof.com, www.perl-event.com.ua, www.eurodivan.com.ua, www.acsystems.com.ua, www.designerfinance.com.ua, www.zgconsult.com.ua, www.gashekstudio.com, www.whyyyyyyyyyyyyyy.com, www.watchmaster.org.ua, www.ezoterica.com.ua, www.lukinform.com.ua, www.lubotin.net, www.mostcity.org.ua, www.xn--80adrw4cxa.com, www.packardbell.dp.ua, forum.rcm-club.com, www.rcm-club.com, www.n-music.org.ua, www.onlilayn.pp.ua, s1.onlilayn.pp.ua, apple.onlilayn.pp.ua, blog.guitar-life.info, www.guitar-life.info, www.volt.kiev.ua, www.ecoparket.kiev.ua, www.timetravels.com.ua, www.oniks.org.ua, www.nash-gorodok.com, www.smsbablo.com, www.daleko.in.ua, www.l2win.org.ua, www.gelezko.com, www.flac-you.com, alternative.flac-you.com, partner.smsbablo.com, www.fenix.in.ua, www.chagovets.in.ua, www.justformen.com.ua, www.monopol.dn.ua, www.vanna-kiev.com, www.vysochanskiy.com, www.marmeladka.com.ua, www.donshina.com, www.vipshopping.in.ua, www.rosukrtrans.com.ua, www.polyart.com.ua, www.auction-free.com.ua, www.mus.in.ua, www.kafedra-yep.kh.ua, www.tondem.in.ua, forum.livespeed.ru, www.livespeed.ru, www.automnenie.com.ua, d1.fotolia.com.ua, www.dip-blog.ru, www.fotolia.com.ua, www.pes-fifa.org.ua, i.fotolia.com.ua, www.atlant-ltd.com.ua, www.an-adres.com.ua, www.mayner.in.ua, www.striganova.kiev.ua, www.kosivshop.com, www.perlina.org.ua, www.grail.org.ua, www.falling-up.org.ua, forum.falling-up.org.ua, www.freeride-m.com, www.fairy.kiev.ua, www.zhitomirgaz.com.ua, www.prioritet-kiev.com.ua, www.makci.lviv.ua, www.itpyramid.org.ua, www.filmonline.rv.ua, www.gurmannet.ru, www.toys-teremki.com.ua, www.hortica-tur.zp.ua, www.nilamop.com, www.rabotay-doma.com, www.marmelad.od.ua, www.seo-it.net, sushi.palad.kiev.ua, shop.palad.kiev.ua, www.palad.kiev.ua, study.palad.kiev.ua, www.eliteart.com.ua, www.ab-group.com.ua, no.oritoday.com, sk.oritoday.com, www.oritoday.com, www.stolyaro4ka.com.ua, www.eureka.od.ua, www.lokys.org.ua, www.baum.kiev.ua, www.shkafchik.kiev.ua, www.vendetta.com.ua, mrlasking.vendetta.com.ua, vaantour.vendetta.com.ua, bd.vendetta.com.ua, www.fotoforum.org.ua, www.ra3vitie.org, www.doors-dveri.kiev.ua, www.usamovara.com.ua, www.worldtechnics.com, www.velychkin.com.ua, www.levfoto.com, www.tribuna.in.ua, www.aqua-land.in.ua, sas.tribuna.in.ua, www.km777.org, www.ag.crimea.ua, www.loyd-trans.com.ua, www.rusmob.net, www.reviewsmobile.net, www.tricks-and-tips.ru, www.gosport.od.ua, www.my-anketa.com.ua, www.sesii.net, www.beauty-styles.com.ua, www.ec2012.com.ua, www.npk.dp.ua, www.vkpb.net.ua, www.virtulab.net, www.dnepropochta.dp.ua, www.dvernoj-master.kiev.ua, www.ftw.od.ua, www.ogo-design.com, www.tihvinka.kiev.ua, www.dostovalov.tv, www.dostovalov.com, www.pro.zp.ua, www.vip-accaunts.org.ua, www.disneys.com.ua, efidrin.vip-accaunts.org.ua, www.tehservis.com.ua, www.azsremont.org.ua, www.striptiz.kharkov.ua, www.arshidas.com, www.terebovlya-school.com, www.farazehn.net.ua, www.vip-chatroulette.com, www.macros-studio.com.ua, www.mirkamnya.com.ua, www.kitron.net.ua, www.bedrooms.com.ua, www.kidruk.com, www.azovchemservice.com.ua, www.primordial.org.ua, www.e-cigarka.com.ua, www.dvernojsait.com.ua, www.favoritefabric.org.ua, www.granitplus.in.ua, alliance.primordial.org.ua, www.bulldoggym.com.ua, www.gadphoto.in.ua, www.inhome.kharkov.ua, www.bestbookit.net, www.meb-lee.kiev.ua, www.auditexpert.od.ua, www.netpromo.com.ua, www.web-zavod.com.ua, www.forexball.com.ua, www.duwman.com, www.goodmatras.kiev.ua, www.antares-vending.com.ua, www.squashit.info, www.krepim.com.ua, www.webface.com.ua, www.vk-vektor.com.ua, www.ekkomtech.com, www.edonlinepharmacy.net, www.webapteka.kiev.ua, www.duosim.kiev.ua, www.a-mur.kiev.ua, www.aleya.net.ua, www.pidkova-art.com, www.karsam-macro.com, www.bykovel.com.ua, www.velozp.com, www.driving-school.kiev.ua, www.stroy-s.com, www.myfilter.com.ua, www.snid.in.ua, forum.snid.in.ua, base64.mendart.com, www.mendart.com, blog.mendart.com, www.mp4-films.net, www.el-book.com.ua, www.plitochnik-master.kiev.ua, www.footballukraine.org.ua, www.voice-chat.org.ua, www.gangsteris.eu, www.zemleustriy7.com.ua, xan.diamondrew.net, www.oblik.org.ua, www.diamondrew.net, www.sevcard.com, www.nazarych.com, www.maestro.ag, sinagoga.maestro.ag, www.navigatorfc.com, www.edip.com.ua, www.grif.od.ua, www.vidminno.com, www.bpowdmet.com.ua, www.tiraz.kiev.ua, www.rembudua.com, www.toptop.org.ua, www.mayovskaya.com, www.darjangola.org.ua, www.gamesforbaby.org, www.standart.kharkov.ua, www.prikolno.org.ua, www.royalsecrets.com.ua, www.royalsecrets.ua, www.fortius.com.ua, www.victoriatravel.zp.ua, www.music-hall.in.ua, www.zap-bp.com.ua, www.remont-online.net, www.kingsua.com, www.magefast.com, www.konsol.dp.ua, test.konsol.dp.ua, www.govoryn.kiev.ua, www.joleean.com, www.agugu.com.ua, www.lelitka.com, www.realteh.com.ua, www.goldentime.kiev.ua, www.extra-shaiya.com, www.pylaev.com.ua, www.kill-your-time.com, www.tsl-kiev.org.ua, www.columbia.in.ua, www.boginya.zp.ua, www.viland-specavto.com.ua, www.donmc.com.ua, www.lovy.com.ua, www.bambuk.kiev.ua, www.cssecurity.com.ua, www.ris.in.ua, www.dimora.com.ua, www.partnerkatalog.com, www.artaplus.com.ua, www.bttrecker.org.ua, forum.bttrecker.org.ua, www.pochinu-comp.pp.ua, www.hvash.com, forum.hvash.com, www.umbrellaserver.com, www.hvash.com.ua, www.allprog.net, www.xms.net.ua, www.passat-cc.com.ua, www.alliance-design.com.ua, www.passat-club.com.ua, www.ugkh-slavutich.org.ua, test1.ugkh-slavutich.org.ua, www.shinnik.biz.ua, www.bring.com.ua, www.mobistyle.in.ua, www.brothers-hotel.in.ua, www.hermitage.com.ua, www.povorot.in.ua, www.innovations-ua.com, www.studiya-beauty-style.com.ua, www.php2w.org, www.biseriya.com, www.karandashart.com, www.avmelamed.net, www.musicmp3top.com, www.qwertypic.org.ua, www.dostavkavsego.kiev.ua, www.pozdravlenie.info, www.trutneva.com.ua, www.rolt.com.ua, www.naroboti.in.ua, www.baby-world.od.ua, www.sto-fenix.kiev.ua, test.unithost.org, www.stgym.org.ua, www.dneprdis.dp.ua, www.unithost.org, inquisitors.stgym.org.ua, www.bestplay.org.ua, www.medoviygorod.com, www.marriageweek.in.ua, www.polyaris.org.ua, www.vsbest.kiev.ua, www.xhtmlcss.org, www.lifelong-income.com, info.lifelong-income.com, cabinet.lifelong-income.com, www.ua-ua.com.ua, www.morgan-it.com.ua, www.mirinstrumentov.com.ua, www.kyibrosbud.com.ua, store.kyibrosbud.com.ua, portfolio.kyibrosbud.com.ua, www.rent-hous.com, www.podillya.kiev.ua, www.stokemarket.biz, www.winalite-lux.com, www.strikezone.com.ua, www.nt.dp.ua, www.giacint.kiev.ua, www.vostok-lift.com.ua, www.vostoklift.com.ua, www.wall-of-love.com, www.b-design.pp.ua, www.southafrica.pp.ua, www.tritonscave.org.ua, www.childorb.com, www.xn--80apij.com, www.madlen.org.ua, www.nix.in.ua, www.internet-site.com.ua, www.belenergo.net, www.embed.com.ua, www.lizzy.org.ua, www.macfelder.pp.ua, moodle.macfelder.pp.ua, remiduroy.macfelder.pp.ua, www.pl74-75.org.ua, www.otdyh.co.ua, www.la2escada.org.ua, www.frozensword.org.ua, www.granat.kh.ua, www.aristocratclub.com.ua, www.ladycard.com.ua, www.mikroklimat.dp.ua, www.tugur.net, www.promoservice.net.ua, www.kovsky.net, www.free-travel.com.ua, chemsearch.kovsky.net, www.mycalendar.com.ua, www.royalflush.kiev.ua, www.judo.org.ua, todo.mycalendar.com.ua, www.chernobil-electro.com, www.newsoft.od.ua, www.yuri-vyunik.org.ua, www.eltop.com.ua, www.cofemania.org.ua, www.bookdreams.net, www.mdf-nakladki.kiev.ua, www.lifeinphotos.com.ua, www.fotomaniya.in.ua, www.seoukraine.org.ua, www.speleo.org.ua, www.the-tiger.ru, www.sergbokh.net.ua, www.mosproekt.ru, www.rapmaestro.com.ua, www.systelecom.od.ua, files.lin2nice.net, www.lin2nice.net, forum.lin2nice.net, www.fanlang.com.ua, www.ukruniversalservis.com.ua, www.shop-kr.net, www.mechatronics.com.ua, www.edu.com.ua, www.terra-sea.net, www.legadive.com.ua, www.atk19.org.ua, www.buket-konfet.com.ua, www.goldenstyle.kiev.ua, www.sota-asu.com.ua, www.vbazar.dn.ua, www.vokrug-sveta.dn.ua, www.ula.dn.ua, www.sevproject.com, sdm.sevproject.com, www.avangard-kafe.com.ua, www.mnemonick.pp.ua, www.diplomekka.com.ua, www.panda-buffet.com.ua, www.trans-art.com.ua, www.originalno.kiev.ua, www.onlinestudia.com, www.yarema.info, www.chemistrydance.com, www.ukraineip.com, www.poliart.in.ua, www.kingfish.dp.ua, www.mynotebook.com.ua, www.avanti.com.ua, www.dveriavanti.com.ua, www.grad-music.ru, www.fruktosha.com, lk.celestia.com.ua, www.plastcast.com.ua, create.celestia.com.ua, www.celestia.com.ua, sms2.celestia.com.ua, sms.celestia.com.ua, tbc.celestia.com.ua, pay.celestia.com.ua, forum.celestia.com.ua, www.mbk-zubr.com.ua, reklama.pozicka-uver-hypoteka.sk, www.pozicka-uver-hypoteka.sk, funn.pozicka-uver-hypoteka.sk, www.pfc.pl.ua, www.w3shugart.pl.ua, t1.w3shugart.pl.ua, www.soulbalsam.com, www.soulbalsam.com.ua, www.soulbalsam.kiev.ua, www.sd-design.in.ua, www.dagget.org.ua, www.nailsplus.com.ua, www.autolabdiagn.com.ua, www.dream-team.org.ua, www.quenellee.com, www.marsi.net.ua, www.laminated-parket-ukladka-laminata.ru, www.ukrparket.in.ua, www.sports-tips.biz, www.krg.kh.ua, www.shkaph.com, www.plantsanimals.com, www.technofavorit.zp.ua, www.odakiev.com.ua, www.petroakzhygitov.com, www.concard.org.ua, www.shik.in.ua, www.brend-parfum.in.ua, forum.aleks-mkt.com.ua, www.aleks-mkt.com.ua, www.fadiez.od.ua, www.lev1.com.ua, www.lunchinkiev.com, www.baseen.in.ua, www.usb.co.ua, www.h-2-o.net.ua, www.cleanhouse.in.ua, www.kardan-balans.com.ua, www.royalcard.com.ua, www.stroymateriali.com, www.intekto.com, www.iprint.od.ua, www.bereginya.in.ua, www.oikos-paint.dn.ua, www.autobereg.com.ua, www.ksbt.org, www.bloc.com.ua, www.sportfull.com.ua, www.invo.com.ua, www.azo.kharkov.ua, www.mural.com.ua, www.domishko.com.ua, www.another-worlds.com, forum.another-worlds.com, www.fortunaplus.com.ua, www.gt-540.com, www.ssc.org.ua, www.rembrandt.com.ua, www.idbeauty.com.ua, www.otparivatel.com.ua, www.magickey.com.ua, www.shumahers.com.ua, www.brand-electro.com.ua, www.kapli.me, www.alumil.com.ua, www.icons-beads.ru, www.veneto.kiev.ua, www.gromrady.org.ua, www.rudka.dp.ua, www.mykidi.com.ua, www.compik.kiev.ua, www.barvi.kiev.ua, www.901.com.ua, www.smeta.dp.ua, www.cosmetolog.biz.ua, www.tortlandia.com, board.sevdon.net, www.evotour.org, www.goldenplace.com.ua, shop.sevdon.net, www.zastroyka.com.ua, www.kupi-prodaj.org, www.sevdon.net, www.neteshyn.com.ua, www.euroton.biz, www.ztk.rv.ua, www.ukragroinfo.com, www.alfaoptica.kiev.ua, www.bmpak.com.ua, www.alfaoptica.com.ua, www.alfaoptica.com, www.news-movies.org.ua, www.best-portal.net.ua, www.starikoff.net, avto.sportfan.com.ua, www.human-beauty.com.ua, www.vertyshka.com.ua, www.l2012.net, www.ivankapustin.com, www.kokulina.com.ua, www.forangel.com.ua, www.opros-dim.com.ua, www.ahelp.com.ua, www.junost.kiev.ua, www.superlombard.com.ua, www.reiki-light.com.ua, www.demos.net.ua, www.langrin.com.ua, www.winekraybeer.kiev.ua, www.prcb.org.ua, www.photographer.org.ua, www.muravchenko.org.ua, www.eurookno.com.ua, www.bir.in.ua, www.vipexpress.com.ua, www.apteka-kherson.com.ua, www.dance-couture.com.ua, www.varta-wire.com.ua, www.mova.ks.ua, www.atem.tv, co.atem.tv, www.alpha-beta.com.ua, www.westcamper.com.ua, www.pnz.org.ua, www.zona-sumerek.com.ua, www.diatech.com.ua, www.alldress-kod.com.ua, www.itcomp.org.ua, www.materikokon.com, www.2fun.in.ua, www.pozov.net, www.kremball.com.ua, www.mirsaytov.com, www.mirsaytov.net, www.alx.od.ua, www.omnicomm.od.ua, www.dedmorozpismo.com.ua, www.potolokstudiya.com.ua, www.kpss.co.ua, www.help-in-it.net.ua, www.showsofa.com, www.fastiv-shop.com.ua, www.mobicity.lg.ua, www.burenie-geo.com.ua, www.igorklass.kiev.ua, forum.tienda-shop.ru, www.audiovideo.dp.ua, test.fayno.com.ua, www.lala.kiev.ua, www.suwenint.com.ua, www.mostua.com, www.tienda-shop.ru, www.aquaticprint.com.ua, www.fayno.com.ua, www.abynedoma.com.ua, www.autozaz-daewoo.com.ua, www.eig.kiev.ua, www.securitycenter.com.ua, www.youhavetobuyit.com.ua, www.hurtimex.com.ua, www.raceshop.com.ua, www.prestigeauto.com.ua, www.vozhak.in.ua, www.gst.dp.ua, www.gaponenko-partners.com, www.allobook.org.ua, www.energosila.com.ua, www.ezoman.in.ua, www.eurolaw.org.ua, www.ukr-ix.org, www.dubrovsky.com.ua, www.wwe.com.ua, www.invertorpc.com, www.korif.dn.ua, www.haegemon.com, www.dverua.com, www.surete-ohorona.com.ua, www.yutnijdom.kiev.ua, www.reduktorstal.net, www.astin-download.com, www.kursak.pl.ua, www.24room.com.ua, www.dostavka.crimea.ua, www.xn--b1addaba4br0czc.com, www.dep23a.kiev.ua, www.apteka-astra.com.ua, www.vagaves.com.ua, www.massivehills.com, www.urbex-od.com.ua, www.ids.kiev.ua, www.chellary.com, www.livepic.info, www.korea-mix.com, www.modiljani.com.ua, www.kinder-land.kiev.ua, www.ujut.kiev.ua, www.ab-ovo.com.ua, www.bergas.com.ua, www.fashionphoto.com.ua, www.vesheleniy.com.ua, www.legale.com.ua, www.tetsushinkai.com.ua, www.naden.lg.ua, www.cherry-merry.com.ua, forum.tetsushinkai.com.ua, www.metalpick.ru, forum.metalpick.ru, www.autolight.kiev.ua, www.kievsetka.kiev.ua, www.pcgame.org.ua, www.viatour-ua.com, www.massag-centr.ru, www.gibdd-shop.com, www.milagro-vip.com, www.mynyse.com.ua, www.krymtur.com.ua, www.service-info.kiev.ua, www.nikitos.com.ua, www.bulhouse.com.ua, www.pz.org.ua, www.hloya.com, www.mudro.org.ua, www.worldwood.com.ua, www.psycho-center.com.ua, www.mrsofta.net, www.itforum.pro, www.eurotechnic.com.ua, www.slavschool16.net, www.masterapex.org.ua, www.longrun.com.ua, www.lietome-fan.com, www.tonasy.com, work.tonasy.com, www.videograff.com.ua, www.artimed.kiev.ua, www.kafcsn.org.ua, itsm.kafcsn.org.ua, www.kievkanc.kiev.ua, www.filter.co.ua, www.antagosoft.com, www.myarenda.com, forum.myarenda.com, cheapshop.burnbellyfats.com, www.lanamagic.com, www.kursi-taro.com.ua, www.dent-life.kiev.ua, beldig.antagosoft.com, www.posteradvertising.com.ua, www.burnbellyfats.com, www.darkindar.com.ua, www.leona-tour.com, www.viknabud.org, www.ekaterina-vip.com, www.aurasvit.com, www.est4o.ru, www.syhiv.org.ua, www.sputnik-v-tarelke.com, www.servisprivod.com.ua, www.zykov.com.ua, www.cook-room.net, www.gaprop.com.ua, www.vasper.com.ua, www.max-tex.com.ua, www.ecozone.crimea.ua, www.samsungov.net, work.samsungov.net, www.nopirats.com.ua, www.vip-clock.com.ua, www.stroitech.com.ua, www.mini-spirtzavod.com.ua, www.kafa.biz.ua, www.shkola33.org.ua, www.contactme.com.ua, www.stalex.net.ua, www.axxxl.net, www.proagroinvest.nl, www.alliance-t.com.ua, www.badma.com.ua, www.npocto.org, www.ukreuro.ru, www.ukreuro.net, www.ukreuro.org.ua, www.wisteria.com.ua, www.uomw.net, www.damoda.com.ua, www.ottomeister.com, www.to4tonado.com, www.vizitnitsa.com.ua, www.etp.org.ua, www.dnepr-pak.dp.ua, www.kulish.in.ua, www.ave.org.ua, www.shop-kharkiv.org.ua, www.kontaktor.org, www.malina-event.com, www.sandra-invest.com.ua, www.iphonchik.com.ua, www.kat.org.ua, www.budsite.org.ua, www.akiba.com.ua, www.idealove.info, www.amsterdam-club.net, test.amsterdam-club.net, www.bitservice.org.ua, www.umini.org, www.chess32×64.org.ua, www.netgo.com.ua, www.hpc-ua.org, www.huntersforlove.com, www.mfglobal.com.ua, www.smachnishe.org.ua, www.banana-mama.org.ua, www.optix.kiev.ua, www.romashov.kharkov.ua, www.laminatfh.com.ua, www.wtest.com.ua, www.astreya.dp.ua, www.ayurveda.kh.ua, games.banana-mama.org.ua, www.calvados.org.ua, www.x-station.dp.ua, www.artsgun.com, www.santehnika-vip.com.ua, www.malyshevaavenue.dp.ua, www.capitalboardshop.com.ua, forum.wtest.com.ua, www.simazdecor.com.ua, www.forta-auto.com.ua, www.avtocivilka.org.ua, www.new-alliance.com.ua, www.fotokiev.org.ua, www.altegalerie-berlin.de, www.steep.org.ua, www.lombard.dn.ua, www.pronto-group.com.ua, www.newstock.org.ua, www.mio-mio.com.ua, www.vutbyd.com, www.onlinemexa.com.ua, www.comfyhome.com.ua, www.arttouch.com.ua, www.auroom-design.com, www.sk-mega-polis.com.ua, www.netbizn.ru, www.globalanguagelink.com, www.l2kiev.com, www.tehnoprofit.com.ua, www.gesha.com.ua, www.premium-sat.com, www.peskostryika.org.ua, www.ciklevka.com.ua, www.donadmin.com, webmail.unity.in.ua, www.oke.pp.ua, www.fashion-style.org.ua, www.sergeyfeschenko.com, www.vrk.in.ua, www.aion-ontarioworld.ru, www.unity.in.ua, www.developer-team.ru, www.ua-thx.com, www.kurbatmusic.ru, www.molitv.org.ua, www.lug.zp.ua, www.xmoto.ua, www.volfar.com, www.la2vip.net, www.poliserg.org.ua, www.tattoo.kh.ua, www.mysmski.com, www.videoportal.in.ua, www.newjob.in.ua, www.alfa-studio.net.ua, www.xn--80aa3a5an.com, www.l2global-war.com, www.22art.com.ua, www.nodtp.com, www.mulgin.in.ua, www.handler-ukraine.com, www.kropaman.org.ua, www.ice-clan.com.ua, forum.ice-clan.com.ua, www.lucky-pharma.com.ua, www.markberje.com, www.kinomaz.com, www.rozpodil.org.ua, www.semen.dp.ua, www.atb-2.ru, www.hramchihina.com, www.bizu-bizu.com.ua, www.womenlife.com.ua, www.psy-feya.com, www.realtyforall.com.ua, www.eastern.com.ua, www.mirabelle.org.ua, www.zoo-vet-hotel-cat.kiev.ua, www.electroid.com.ua, www.fashionwatch.com.ua, www.photorash.com, www.sud-expert.com.ua, www.creative-people.in.ua, www.myhoney.in.ua, www.psta.gov.ua, www.neoblack.org.ua, forum.goodro.ru, www.pechat.biz.ua, www.naxok.com, www.niklove.ru, www.theweb.com.ua, www.mobilemusic.org.ua, www.vesya.ru, www.ordercytotec.com, www.la2gda.com, www.doctor-seo.net, www.salsaclub.net.ua, www.pokupalka.kiev.ua, www.fansofstars.pp.ua, www.uabord.info, www.kpuch.dn.ua, www.novoderm.com.ua, www.nau.co.ua, www.worldmetro.org.ua, www.book-space.net, www.makk-group.com.ua, www.dppi.dn.ua, www.copytop.com.ua, www.loverclub.kiev.ua, www.unicalhyip.com, www.obereg.crimea.ua, www.re-forma.com.ua, www.ninalebedko.com, www.xn--80aaflnmdepm.net, www.ratnik.crimea.ua, www.myservice.in.ua, www.geizer.com.ua, www.yurio.com.ua, www.zhivotovsky.com, www.titenko.com.ua, www.la2magic.ru, forum.la2magic.ru, www.la2revial.com, www.paliturka.com, www.photo-time.info, tiny.piclenta.com, www.gesipa.com.ua, www.gesipa.kiev.ua, www.fasad.dn.ua, www.fasad.dp.ua, www.gexa.com.ua, www.ventfasad.kiev.ua, www.titan100.com.ua, www.rozdilna.info, www.newproject.org.ua, www.inet-tv.kiev.ua, www.tehnica.com.ua. Серед них український державний сайт www.psta.gov.ua.

Майже всі зазначені сайти були взломані 25 листопада 2010 року і лише 4 сайти в цьому році (це окремі дефейси, що відбулися вже після масового взлому проведеного iskorpitx). Дефейси 1151 сайту проведено хакером iskorpitx, 1 сайта хакерами з VHZ-CREW, 1 сайта хакером kaMtiEz та 1 сайта хакером misafir.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в СУБД PostgreSQL.

Уразливі версії: PostgreSQL 8.4, PostgreSQL 9.0.

Переповнення буфера в intarray при розборі великих чисел.

• PostgreSQL security update (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему безпеки кредитних карт та Інтернет шахрайства.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• International credit card data theft
• Credit card hijacking
• Malware
• Targeted threat
• Vishing

10.12.2010

У липні, 25.07.2010, я знайшов Full path disclosure та Insufficient Anti-automation уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.02.2011

Full path disclosure:

При POST запиті до сторінки з формою з використанням кириличного символу, виводиться повідомлення про помилку, в якому виводиться повний шлях в системі.

Уразливості мають місце на сторінках: http://site/user/, http://site/user/1/edit, http://site/user/password, http://site/user/register, http://site/contact, http://site/user/1/contact. Інші сторінки, що містять форми, також можуть бути уразливими.

Експлоіт:

Drupal Full path disclosure.html

Як зазначили розробники Drupal, дані уразливості виникають через включення опції дебагінгу в адмінці. Тому для уникнення цих та інших FPD на сайті потрібно вимкнути цю опцію.

Insufficient Anti-automation:

В різних формах в Drupal використовується уразлива капча. Вразливий Captcha модуль, тому всі капча-плагіни також можуть бути вразливими. Для обходу капчі потрібно вказати коректне значення captcha_sid та одне і те саме значення капчі (captcha_response). Даний метод обходу капч описаний в мене в проекті Month of Bugs in Captchas. Атака можлива доки активне дане значення captcha_sid.

Уразливості мають місце на сторінках з формами: http://site/contact, http://site/user/1/contact, http://site/user/password та http://site/user/register. Інші форми, де використовується капча, також будуть уразливими.

Враховуючи, що Captcha модуль для Drupal є стороннім модулем, то Insufficient Anti-automation уразливість є як в Captcha модулі (обхід капчі), так і в самому Друпалі (відсутність капчі). В результаті ми маємо ситуацію “forever vulnerable”, коли стандартна інсталяція Drupal вразлива до IAA та Captcha модуль також вразливий до IAA (але Captcha модуль був вже виправлений торік, тому рекомендується оновити його до останньої версії).

Експлоіт:

Drupal CAPTCHA bypass.html

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17). Уразливі версії Captcha модуля до 6.x-2.3 та 7.x-1.0.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах TagNinja, Enable Media Replace та WP Forum Server. Для котрих з’явилися експлоіти. TagNinja - це плагін для взаємодії з Facebook, Enable Media Replace - це плагін для заміни атачментів, WP Forum Server - це плагін для стоворення форуму.

• WordPress TagNinja 1.0 Cross Site Scripting (деталі)
• WordPress Enable Media Replace SQL Injection / Shell Upload (деталі)
• WP Forum Server 1.6.5 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://potok.ua - інфекція була виявлена 02.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://potok.in.ua - інфекція була виявлена 02.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://sudnijdenprishel.com - інфекція була виявлена 13.02.2011. Зараз сайт входить до переліку підозрілих.
• http://allit.dp.ua - інфекція була виявлена 04.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://email-marketing.com.ua - інфекція була виявлена 08.02.2011. Зараз сайт входить до переліку підозрілих.

Виявлені уразливості безпеки в СУБД IBM DB2.

Уразливі версії: IBM DB2 9.7.

Переповнення буфера і цілочислене переповнення в db2dasrrm.

• IBM DB2 db2dasrrm validateUser Remote Code Execution Vulnerability (деталі)
• IBM DB2 db2dasrrm receiveDASMessage Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Sourcefire Products Static Web SSL Keys Vulnerability (деталі)
• LFI / RCE vlunerability in Joomla Community Builder Enhenced (CBE) Component (деталі)
• OverLook Cross-site Scripting Vulnerability (деталі)
• XSS vulnerability in Expression CMS (деталі)
• Juniper Secure Access series (Juniper IVE) Cross-Site Scripting Vulnerability (деталі)
• Juniper Secure Access seriers (Juniper IVE) authenticated XSS & REDIRECTION (деталі)
• JS Calendar 1.5.1 Joomla Component Multiple Remote Vulnerabilities (деталі)
• Joomla! 1.5.20 <= Cross Site Scripting (XSS) Vulnerability (деталі)
• Collabtive Multiple Vulnerabilities (деталі)
• Dlink Di-604 router authenticated user ping tool Xss and DoS (деталі)