Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про eксплоіт для уразливості в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про ризики використання Gmail та Chrome від Google. Рекомендую подивитися всім хто цікавиться цією темою.

Google’s Gmail and Chrome Pose Privacy Risks

В відео розповідається про ризики приватності, що виникають при використанні Gmail та Chrome від Google. Це запис сюжету, що був показаний в новинах на телебаченні в США.

Зазначу, що подібні проблеми з приватністю, які пов’язанні з SSL, стосуються і будь-яких інших поштових сервісів окрім Gmail Гугла. Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні електронної пошти з веб інтерфейсом і необхідності використання SSL.

Торік, 09.08.2010, вийшла Invision Power Board 3.1.2. Це перша версія форуму Invision Power Board гілки 3.1.х, що отримала фінальний статус.

• Форум IP.Board 3.1.2 (деталі)

Компанія IBResource повідомляє про вихід нової версії форуму IP.Board 3.1.2 (IPB). У порівнянні з версією 3.0 нова лінійка IP.Board 3.1 включає цілий ряд поліпшень і нових можливостей.

03.12.2008

Вчора, 02.12.2008, я знайшов уразливості на сайті WASC http://www.webappsec.org, в Web Security Mailing List. Даний Mailing List - це розсилка на тему веб безпеки. І в ній я виявив Abuse of Functionality, Insufficient Anti-automation та Information Leakage уразливості, а сьогодні ще й виявив Information Leakage.

Детальну інформацію про уразливості я напишу модераторам розсилки та всім її участникам в самому Web Security Mailing List.

12.02.2011

Раніше розсилка розміщувалася за адресою http://www.webappsec.org/lists/websecurity/, а з кінця січня 2011 року вона розміщується за адресою http://lists.webappsec.org /mailman/listinfo/websecurity_lists.webappsec.org. На сервері lists.webappsec.org окрім Web Security Mailing List також почали розміщуватися інші розсилки WASC.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації вона посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Insufficient Anti-automation:

Можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки.

Information Leakage:

В розсилці емайли участників приховуються в опублікованих повідомленнях (шляхом заміни домену на “xxxxx”) - для захисту від спамерів. Але в тексті повідомлення (при цитуванні) публікуються емайли в чистому вигляді. В результаті, в одному листі можуть бути приховані й не приховані емайли, що приводить до витоку емайлів.

Якщо Information Leakage уразливість була оперативно виправлена, то інші уразливості виправлені не були. Представники WASC проігнорували їх, вважаючи дані загрози прийнятними і “типовим явищем” для розсилок, тому користувачам розсилок варто враховувати дані загрози в розсилках при їх використанні.

За повідомленням www.xakep.ru, cайт із 10 мільйонами користувачів попереджає про крадіжку паролів.

Вебсайт Trapster, що допомагає водіям уникнути штрафів за перевищення швидкості, попереджає 10 мільйонів своїх зареєстрованих користувачів про те, що їх e-mail адреси і паролі можуть виявитися в руках хакерів, що взломали сайт.

За повідомленням hackzona.com.ua, SecureWorks попереджає про нову версію трояна BlackEnergy.

Група зловмисників використовує нову версію трояна BlackEnergy для крадіжки паролів до систем онлайн-банкінгу ряду російських і українських банків. Про це минулого року розповів Джо Стюарт з SecureWorks на конференції FIRST.

Зокрема в руки дослідника потрапили плагіни для BlackEnergy, що використовуються для крадіжки грошей з рахунків “великої кількості російських і українських банків”. Про які саме банки йде мова, Стюарт не уточнює, проте говорить, що у всіх цих системах онлайн-банкінгу використовується Java-аплет, який завантажує зі змінного носія користувацький приватний ключ, необхідний для аутентифікації.

За повідомленням www.xakep.ru, Міністерство внутрішньої безпеки інвестує в кібербезпеку.

Захист від внутрішніх загроз, ботмереж і шкідливого ПЗ, а також дослідження, спрямоване на підтримку Comprehensive National Cyber Initiative (CNCI), серед областей інвестування в кібербезпеку, що буде зроблене Department of Homeland Security (DHS) США у 2011 році.

06.08.2010

У січні, 24.01.2010, я знайшов Cross-Site Scripting та Redirector (URL Redirector Abuse) уразливості на проекті http://smallurl.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на smallurl.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.02.2011

XSS:

• alert(document.cookie)
• цікавий

XSS + MouseOverJacking:

• alert(document.cookie)

Redirector:

http://smallurl.ru/anonym/?http://websecurity.com.ua

Даний редиректор не є основним функціоналом даного сервіса редирекції, де URL зберігаються в БД і їх можна перевірити. В даному випадку це відкритий редиректор, який адміністрація сервісу ніяк не контролює (та надає можливість анонімної редирекції).

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• SFCB vulnerabilities (деталі)
• XSS in Squirrelmail plugin ‘Virtual Keyboard’ <= 0.9.1 (деталі)
• XSS vulnerability in Docebo (деталі)
• RSA Key Manager SQL injection Vulnerability (деталі)
• XSS vulnerability in Expression CMS (деталі)
• XSS vulnerability in Lantern CMS (деталі)
• Core FTP mini-sftp-server Several DoS and Directory Traversal Vulnerabilities (деталі)
• Core FTP Server(SFTP module) ‘open’ and ’stat’ Commands Remote Denial of Service Vulnerability (деталі)
• XSS vulnerability in Lantern CMS (деталі)
• Joomla! 1.5.20 <= Cross Site Scripting (XSS) Vulnerability (деталі)

Виявлене переповнення буфера в FTP-сервері Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 7 та 7.5 під Windows Vista, Windows 2008 Server, Windows 7.

Переповнення буфера динамічної пам’яті.

• Переполнение буфера в FTP-сервере Microsoft IIS (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://lvivrada.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vetlabresearch.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://forum.narabote.com.ua (хакерами з 1923TURK-GRUP)
• http://www.m-sport.com.ua (хакерами з AlbanianHackersGr0up) - 21.12.2010, зараз сайт вже виправлений адмінами
• http://shop.m-sport.com.ua (хакером kaMtiEz) - 21.12.2010, зараз сайт вже виправлений адмінами

27.11.2010

У травні, 24.05.2010, а також додатково 25.11.2010, я знайшов Information Leakage, Brute Force та Cross-Site Scripting уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на різних сайтах, в тому числі на офіційному сайті firebook.ru. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Firebook.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

10.02.2011

Information Leakage:

http://site/cgi-bin/firebook/firebook.cgi

На сторінці є розділ SystemInfo з Full path disclosure та іменами txt-файлів БД веб додатку.

Brute Force:

http://site/path_to_firebook_admin/ (скрита адмінка)

http://site/admin/index.html?account=in (публічна адмінка)

XSS:

http://site/path_to_firebook_admin/?Name=%3Cscript%3Ealert(document.cookie)%3C/script%3E&Word=1&PutWord=1 (скрита адмінка)
http://site/admin/index.html?NAME=%3Cscript%3Ealert(document.cookie)%3C/script%3E&PASS=1&action=AccountIn (публічна адмінка)

Уразливі Firebook 3.100328 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Conduit Banner, BezahlCode-Generator та WordPress Audio. Для котрих з’явилися експлоіти. Conduit Banner - це плагін для розміщення Conduit банерів, BezahlCode-Generator - це плагін для створення віджета, що генерує коди для оплати, WordPress Audio - це плагін для роміщення аудіо на сайті.

• WordPress Conduit Banner 0.2 Cross Site Scripting (деталі)
• WordPress BezahlCode-Generator 1.0 Cross Site Scripting (деталі)
• WordPress Audio 0.5.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.