Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://artsv.kiev.ua - інфекція була виявлена 05.03.2011. Зараз сайт входить до переліку підозрілих.
• http://macro-win.org.ua - інфекція була виявлена 06.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://all4life.pp.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://symbian.at.ua - інфекція була виявлена 13.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://rub.pp.ua - інфекція була виявлена 19.02.2011. Зараз сайт не входить до переліку підозрілих.

Сайт artsv.kiev.ua раніше вже був взломаний. А через декілька днів на ньому з’явився шкідливий код (схоже, що це вже після нового взлому).

09.02.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-003 - Critical Cumulative Security Update for Internet Explorer (деталі)

08.03.2011

Додаткова інформація.

• Microsoft Internet Explorer “mshtml.dll” Dangling Pointer Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Xlight FTPd Multiple Directory Traversal in SFTP (деталі)
• Aardvark Topsite XSS vulnerability (деталі)
• New TYPO3 packages fix several vulnerabilities (деталі)
• Multiple Cisco CSS / ACE Client Certificate and HTTP Header Manipulation Vulnerabilities (деталі)
• Wiccle Web Builder CMS and iWiccle CMS Community Builder Multiple XSS Vulnerabilities (деталі)
• Pecio CMS XSS Vulnerability (деталі)
• Security Advisories from TEHTRI-Security at HITB Europe (деталі)
• Micro CMS Persistent XSS Vulnerability (деталі)
• Multiple critical vulnerabilities in Sawmill log analysis software (деталі)
• ALPHA Ethernet Adapter II Web-Manager 3.40.2 Authentication Bypass (деталі)

За повідомленням hackzona.com.ua, у Java проявилася вразливість при обробці чисел з плаваючою комою.

У січні в інтерпретаторі PHP була виправлена уразливість, що дозволяє викликати зависання процесу при виконанні операцій c деякими числами з плаваючою комою. Уразливість проявлялася тільки при використанні в процесі перетворення чисел x87 FPU-регістрів.

Як виявилося, до цієї проблеми схильний не тільки інтерпретатор PHP, але і віртуальна машина Java.

За повідомленням www.xakep.ru, хакер обвинувачений у перекачуванні грошей розробника ПЗ.

Передбачуваний хакер був обвинувачений у вторгненні в електронні системи Digital River і спробі переправити більш $274000 на акаунт, що знаходиться під його контролем.

За повідомленням www.3dnews.ru, Google запропонувала двоступінчастий механізм аутентифікації.

З метою більш надійного захисту користувацьких облікових записів у системі служб Google, фахівці пошукового гіганта вирішили застосувати механізм двоступінчастої аутентифікації. Крім стандартного пароля, застосовуваного для входу в обліковий запис, тепер можна за бажанням використовувати додатковий механізм.

26.02.2010

У липні, 28.07.2009, я знайшов Denial of Service та Full path disclosure уразливості на проекті http://www.helsinki.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.helsinki.org.ua.

Детальна інформація про уразливості з’явиться пізніше.

05.03.2011

DoS (через SQL Injection):

http://www.helsinki.org.ua/index.php?do=search&word=%25/*
http://www.helsinki.org.ua/index.php?do=search&word=%25%20or%201=1/*
http://www.helsinki.org.ua/index.php?do=search&word=%25%25%25

Full path disclosure:

http://www.helsinki.org.ua/index.php?do

http://www.helsinki.org.ua/inc/skin/main.php

Якщо DoS вже виправлені (хоча все ще є деякі приторможення сервера при другому запиті й аналогічних запитах), то FPD досі не виправлені.

Продовжую розповідати вам про редиректори на секюріті сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. В WASC TC v2.0 дані уразливості винесені в окремий клас URL Redirector Abuse (WASC-38).

Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти та інших атак.

До наведених в попередніх записах, приведу ще декілька прикладів редиректорів на сайтах про інформаційну безпеку.

Редиректори на секюріті та хакерських сайтах:

Bezpeka:

http://bezpeka.com/ru/redirect/?bid=1&url=http://websecurity.com.ua

http://bezpeka.com/ua/redirect/?bid=1&url=http://websecurity.com.ua

http://bezpeka.com/en/redirect/?bid=1&url=http://websecurity.com.ua

IT Land:

http://www.itland.com.ua/bitrix/…?goto=http://websecurity.com.ua

http://www.itland.com.ua/bitrix/…?goto=http://websecurity.com.ua

Hacker-Pro:

http://hacker-pro.net/redirector.php?url=http://websecurity.com.ua

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gaisumy.gov.ua (хакерами з FHS-CREW) - 02.03.2011, взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://pro-fishing.com.ua (хакерами з 1923Turk-Grup) - 26.02.2011, зараз сайт вже виправлений адмінами
• http://tashirpizza.com.ua (хакером SAH4ND) - 20.02.2011, зараз сайт вже виправлений адмінами
• DDoS-атака на http://eizvestia.com (невідомими хакерами) - 24.01.2011
• http://gorbunov.com.ua (хакером ph0unix)

11.11.2010

У липні, 25.07.2010, я знайшов Cross-Site Scripting уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на сайті www.telegroup.ua та інших сайтах на даному движку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MC Content Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

04.03.2011

XSS:

POST запит на сторінці http://site/ru/cms/search
"><script>alert(document.cookie)</script>В полі пошуку.

XSS:

http://site/orders.php?act=search&query=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі попередні версії MC Content Manager (до версії v.10.1.1).

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему шкідливого программного забезпечення та Інтернет шахрайства.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Spyware
• Computer virus
• Computer worm
• Lottery scam
• Make Money Fast

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, IWantOneButton та NextGEN Gallery. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, IWantOneButton - це плагін для розміщення кнопок “I want one” та “I have one” в постах, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPress Uploadify Plugin 1.0 Remote File Upload (деталі)
• SQL Injection in IWantOneButton wordpress plugin (деталі)
• Path disclosure in NextGEN Gallery wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.