Websecurity - Веб безпека

21.06.2010

У листопаді, 20.11.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://chr.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Зазначу, що уразливість має місце в локальному пошуковці, що використовує технологію Google. Про уразливості в локальних пошуковцях я вже писав раніше та наводив чимало прикладів сайтів з дірками в пошуку по сайту (в тому числі тих, що використовують локальні пошукові движки), як і чимало писав про дірки в пошукових системах.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.02.2011

XSS:

• alert(document.cookie)
• цікавий

Це DOM Based XSS.

Insufficeint Anti-automation:

http://chr.com.ua/register/
http://chr.com.ua/lostpasswd/

На даних сторінках немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Featured Content, FCChat Widget та WordPress Uploader. Для котрих з’явилися експлоіти. Featured Content - це плагін для створення вибранного контенту, FCChat Widget - це плагін для створення чата, WordPress Uploader - це плагін для завантаження файлів.

• WordPress Featured Content 0.0.1 Cross Site Scripting (деталі)
• WordPress FCChat Widget 2.1.7 Cross Site Scripting (деталі)
• WordPress Uploader 1.0.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлоіт для уразливості в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

Adobe Flash Player newfunction Invalid Pointer Use

В відео показаний процес атаки на користувачів Flash Player та Acrobat Reader (атака також можлива через їхні плагіни до браузерів). Дана уразливість стосується Flash Player 9.0 і 10.0, Adobe Reader 9.3.2, Adobe Acrobat 9.3.2 та будь-яких інших продуктів, що включають флеш плеєр.

Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на Flash Player та інші продукти з вбудованим флеш плеєром.

В минулому році, після попереднього оновлення, вийшло нове оновлення безпеки для версій Invision Power Board 3.0.x. В даному оновленні виправлена Cross-Site Scripting уразливість, яка стосується 3.0.x версій движка.

• Обновление безопасности в IP.Board версий 3.0.x (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки для IP.Board версій 3.0.x. Можлива уразливість дає невелику імовірність вставки зловмисником JavaScript коду на ваш форум. В останній версії дистрибютива IPB 3.0.5 та подальших версіях дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• Wing FTP Server - Cross Site Scripting Vulnerability (деталі)
• Vulnerabilities in mailman (деталі)
• Novell ZENworks Configuration Management Preboot Service Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in Elxis CMS polls module (деталі)
• XSS vulnerability in Elxis CMS (деталі)
• HP StorageWorks Storage Mirroring, Remote Unauthorized Access (деталі)
• XSS vulnerability in Elxis CMS (contacts) (деталі)
• XSS vulnerability in Docebo Announcements (деталі)
• SQL injection vulnerability in Elxis CMS (деталі)
• HP ServiceCenter Running on AIX, HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://webin.com.ua (хакером Stupid) - 16.01.2011, зараз сайт вже виправлений адмінами
• http://lntc.biz (хакером Stupid) - 29.01.2011, зараз сайт вже виправлений адмінами
• http://hofkarate.org (хакером HEXB00T3R) - 28.01.2011, зараз сайт закритий на реконструкцію
• http://uk.banksale.com.ua (хакером Brunei)
• http://steelfreedom.org.ua (хакером Lekosta) - 01.2011, зараз сайт вже виправлений адмінами

За повідомленням www.xakep.ru, Mozilla випадково обнародувала особисті даних користувачів.

Кріс Ліон, директор по безпеці в проекті Mozilla, підтвердив факт витоку бази користувацьких аккаунтів каталогу доповнень addons.mozilla.org, що включає ідентифікатори користувачів, emaіl і хеші від паролів. Так як в БД були представлені тільки хеші паролів, ризик для користувачів addons.mozilla.org відзначений як мінімальний.

Враховуючи дірявість браузерів Мозіли та інших їхніх продуктів, про що я розповідаю вже багато років, зовсім не визиває подиву витік БД їхнього сайта.

За повідомленням hackzona.com.ua, дослідники розповіли про новий тип DoS-атак.

Технічні фахівці з компанії Trustwave - SpiderLabs розповіли про нові зразки атак на технічній конференції BlackHat в США. Крім того, вони запропонували ймовірні способи захисту від нового покоління DoS-атак.

За повідомленням www.xakep.ru, хакери зняли кандидатуру Саркозі з президентських виборів.

Персональна сторінка президента Франції Ніколя Саркозі на Facebook була нещодавно взломана невідомими. Про це сам Саркозі повідомив через соціальну мережу.

25.11.2010

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на офіційному сайті firebook.ru. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Firebook.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

03.02.2011

Insufficient Anti-automation:

http://site/index.html?mailto=MG1112008878;file=path/to/guestbook/message.html;

На сторінці відправки повідомлення на емайл немає захисту від автоматизованих запитів (капчі). При заході на сторінку перевіряється реферер.

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відправника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://site/env/index.html

Витік повного шляху на сервері та іншої інформації.

XSS:

http://site/env/index.html?%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Firebook 3.100328 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Powerhouse Museum Collection Image Grid, oQey-Gallery та Feature Slideshow. Для котрих з’явилися експлоіти. Powerhouse Museum Collection Image Grid - це плагін для включення прев’юшек та описів об’єктів з колекції Powerhouse Museum, oQey-Gallery - це плагін для створення фото галерей і слайдшоу, Feature Slideshow - це плагін для створення слайдшоу з вибраних записів або сторінок.

• WordPress Powerhouse Museum Collection Image Grid 0.9.1.1 Cross Site Scripting (деталі)
• WordPress oQey-Gallery 0.2 Cross Site Scripting (деталі)
• WordPress Feature Slideshow 1.0.6-beta Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Додаток DotDotPwn - The Directory Traversal Fuzzer - це фазер Directory Traversal уразливостей у додатках. Версія DotDotPwn v2.1 була анонсована в жовтні 2010 в The Web Security Mailing List.

Дана програма призначена для пошуку Directory Traversal (також відомих як Path Traversal) уразливостей у веб додатках та серверних додатках (таких як веб, ftp та tftp сервери). І як заявляють розробники додатку, за його допомогою були виявлені уразливості в 4 web серверах, 2 ftp серверах та 2 tftp серверах.

Сам я завжди шукаю Directory Traversal дірки вручну і кожен веб секюріті професіонал цілком може самостійно знайти дані дірки, але в цілому даний інструмент може стати в нагоді секюріті дослідникам. Особливо тим дослідникам, що полюбляють використовувати автоматизовані сканери для пошуку уразливостей . Як він може стати в нагоді й розробникам серверних додатків та веб додатків, а також адмінам сайтів.