Websecurity - Веб безпека

В березні місяці Microsoft випустила 3 патчі. Що значно менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло три бюлетені по безпеці. Що закривають уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інші два патчі виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Groove 2007.

04.09.2010

У квітні, 16.04.2010, я знайшов Information Leakage, Local File Include та Full path disclosure уразливості на сайті http://www.disperindag-jabar.go.id. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

25.03.2011

Information Leakage (Forced Directory Indexing):

http://www.disperindag-jabar.go.id/%3f/

Дану уразливість я назвав Forced Directory Indexing і вона може мати місце зокрема на веб сервері Apache.

Local File Include:

http://www.disperindag-jabar.go.id/?pilih=index

http://www.disperindag-jabar.go.id/?pilih=files/../index

Full path disclosure:

http://www.disperindag-jabar.go.id/?pilih=index

http://www.disperindag-jabar.go.id/?pilih=config

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Lazyest Gallery та Sodahead Polls. Для котрих з’явилися експлоіти. Lazyest Gallery - це плагін для стоворення фото галерей, Sodahead Polls - це плагін для стоворення голосувань.

• XSS in Lazyest Gallery wordpress plugin (деталі)
• Path disclosure in Lazyest Gallery wordpress plugin (деталі)
• XSS in Sodahead Polls wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Враховуючи накопичену мною за 2006-2010 роки інформацію про хакерську активність в Уанеті, я вирішив навести підсумкову інформацію про взломані gov.ua сайти. Наведу порівняльну статистику взломів державних сайтів України за останні роки.

Статистика буде за 2006 - 2010 роки. За останні п’ять років всього було атаковано 126 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких, за час моїх досліджень інфікованих сайтів, було виявлено в 2009 році 5 сайтів та в 2010 році 13 сайтів.

За весь 2006 рік в Уанеті було атаковано 23 веб сайти.

За весь 2007 рік в Уанеті було атаковано 13 веб сайтів.

За весь 2008 рік в Уанеті було атаковано 18 веб сайтів.

За весь 2009 рік в Уанеті було атаковано 24 веб сайти.

За весь 2010 рік в Уанеті була атаковано 48 веб сайтів.

Динаміка взломів державних сайтів в Уанеті.

В 2007 році активність спала на 43% порівняно з 2006 роком (спад в 1,77 рази).

В 2008 році активність зросла на 38% порівняно з 2007 роком (зростання в 1,38 рази).

В 2009 році активність зросла на 33% порівняно з 2008 роком (зростання в 1,33 рази).

В 2010 році активність зросла на 100% порівняно з 2009 роком (зростання в 2 рази).

Як видно зі статистики, кількість атак на державні сайти України в останні роки стабільно зростає.

За повідомленням компанії Microsoft, 16.03.2011 компанією Comodo були видані фальшиві сертифікати.

Невідомим зловмисникам були видані підписані сертифікати наступних служб: login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org та Global Trustee.

Те, що подібна атака на Certification Authority можлива, в мене ніколи не було сумнівів, питання було лише в тому, коли це трапиться. І ось зараз ми маємо подібний випадок. Коли зловмисники не стали займатися підробкою сертифікатів, а отримали робочі сертифікати від CA на чужі домени.

• Microsoft Security Advisory (2524375) Fraudulent Digital Certificates Could Allow Spoofing (деталі)

26.01.2011

У грудні, 14.12.2010, я знайшов Cross-Site Scripting, Brute Force та Full path disclosure уразливості в Artefact St. CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Дірки я виявив на http://www.moral.gov.ua, про дірки на якому (в попередньому движку) я вже писав, та на інших сайтах, що використвують даний движок.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

24.03.2011

XSS:

http://site/search/?s=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Brute Force:

http://site/admin/

Full path disclosure:

http://site/view.php?id=

Уразливі всі версії Artefact St. CMS та Artefact St. CMS light version.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://youtop.biz (хакером iskorpitx) - 04.03.2011, зараз сайт вже виправлений адмінами
• http://medea.com.ua (хакерами з RBH-Crew) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://poport.net (хакерами з RBH-Crew)
• http://oda-service.com.ua (хакерами з RBH-Crew) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://blowrate.com (хакерами з RBH-Crew)

В своїй презентації Managing and Securing Web 2.0, Jason Edelstein розповідає про безпеку Веб 2.0. Про те, які уразливості може принести Web 2.0 та як убезпечитися від них.

20.09.2010

Ще в березні, 13.03.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості на хакерському сайті http://www.hackerscenter.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні Insufficient Anti-automation та Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.03.2011

Insufficient Anti-automation:

http://www.hackerscenter.com/index.php?
/component/option,com_mailto/link,1/tmpl,component/

На даній сторінці немає захисту від автоматизованих запитів (капчі). В системі використовується таймаут для захисту, але це легко обходиться.

Abuse of Functionality:

Можлива розсилка спаму на довільні емайли (можна підмінити всі важливі поля, а також можна підмінити URL).

XSS (при обході PHPIDS):

POST запит на сторінці http://www.hackerscenter.com/index.php?
/component/option,com_mailto/link,1/tmpl,component/
" style="xss:expression(alert(document.cookie))В полях: E-mail to, Sender, Your E-mail, Subject.

Дані уразливості досі не виправлені.

Минулої осені, 30.10.2010 та в деякі інші дні, відбувся масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Besthosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Garant-Park-Telecom.

Всього було взломано 772 сайти на сервері Besthosting (IP 195.248.234.31). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.difku.gov.ua.

Зазначені сайти були взломані 30 жовтня 2010 року та в деякі інші дні. Дефейси 771 сайту проведено хакерами з 1923Turk і 1 сайту хакерами з -wht-.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.