Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Wing FTP Server PORT Command DoS Vulnerability (деталі)
• complete-blog-(ing) Database Disclosure Exploit (деталі)
• Sysax Multi Server “open”, “unlink”, “mkdir”, “scp_get” Commands DoS Vulnerabilities (деталі)
• XSS vulnerability in sNews (деталі)
• SQL Injection in 4site CMS (деталі)
• Cisco ASA HTTP Response Splitting Vulnerability (деталі)
• Path disclosure in Tribiq CMS (деталі)
• SQL injection in DeluxeBB (деталі)
• D-Link DAP-1160 Authentication Bypass (деталі)
• D-Link DAP-1160 Unauthenticated Remote Configuration (деталі)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах домен провайдерів, онлайн магазинів, баннерних систем та електронних платіжних систем (України та США):

• www.imena.ua
• seal.godaddy.com
• banner.b-one.com.ua
• banner.kiev.ua
• easypay.ua

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• e-zarina.com.ua
• www.games4xbox.comua.net
• shop.zdravnik.com.ua
• 15workdaily.com
• danishevskaya.com
• buket.dn.ua
• pfg.com.ua
• www.techno-plus.zp.ua
• shop.impreza.net.ua
• www.sevshop.ru
• www.sev-shop.com.ua

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• bizneswm.com
• allit.dp.ua
• novinka.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

26.08.2010

У березні, 15.03.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості на сайті http://maidan.org.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на maidan.org.ua.

Детальна інформація про уразливості з’явиться пізніше.

03.03.2011

XSS:

http://maidan.org.ua/news/search.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E

Local File Inclusion:

http://maidan.org.ua/news/search.php3?bn=1

http://maidan.org.ua/news/search.php3?bn=..\1

Дані уразливості вже виправлені.

Учора відбувся масовий взлом сайтів на сервері Faust. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Faust. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 60 сайтів на сервері Faust (IP 195.68.203.245). Це наступні сайти: stc.kiev.ua, activtrade.com.ua, aeg.kiev.ua, agrogest.com.ua, alkor.org.ua, alum.org.ua, amistad.com.ua, ariy.com.ua, artdecor-pro.com.ua, artsv.com.ua, artsv.kiev.ua, avesta.org.ua, best-photovideo.com.ua, bestmedia.kiev.ua, blaucraft.kiev.ua, coe.kiev.ua, colorlumen.com.ua, csdi.kiev.ua, dnsgb.kiev.ua, doctorignatyev.com, expert-ltd.org, fa.kiev.ua, gardiny.kiev.ua, goloseevo.kiev.ua, granduspeh.com.ua, grantes.com.ua, indystria.com.ua, intex.net.ua, itf-taekwondo.org.ua, kaskad.kiev.ua, kolight.org.ua, korneichuk.kiev.ua, kvinta.com.ua, lupus.kiev.ua, mairis.com, map.faust.net.ua, meblis.kiev.ua, medbud.kiev.ua, meddim.com.ua, meregi.kiev.ua, natasha.kiev.ua, oko.org.ua, ortomedina.com.ua, osc-distributor.com.ua, pak.kiev.ua, pak.net.ua, pronetukr.kiev.ua, qualita-mn.com.ua, radiodim.kiev.ua, rm-optica.com, revopravo.kiev.ua, scwm.gov.ua, titools.com.ua, troeschina.kiev.ua, u2.faust.kiev.ua, ukraine-international.kiev.ua, ucrania-espana.com, v1.faust.net.ua, ukrpromgroup.com.ua, ukrpromgroup.kiev.ua. Серед них українські державні сайти: dnsgb.kiev.ua і scwm.gov.ua.

Всі зазначені сайти були взломані 1 березня 2011 року. Дефейси 59 сайтів проведено хакером KriptekS і 1 сайта хакером iskorpitx. А також раніше було ще два дефейси на даному сервері - 24.04.2010 взломаний сайт 220v.net.ua та 08.07.2008 сайт scwm.gov.ua.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 5.0, JRE 6.0, JDK 6.0.

Понад 20 різний уязвимостей.

• Oracle Java Webstart Trusted JNLP Extension Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Clipboard Injection Remote Code Execution Vulnerability (деталі)
• Oracle Java XGetSamplePtrFromSnd Remote Code Execution Vulnerability (деталі)
• Oracle Java Unsigned Applet Applet2ClassLoader Remote Code Execution Vulnerability (деталі)
• Oracle Java Runtime NTLM Authentication Information Leakage Vulnerability (деталі)
• Oracle Java SE and Java for Business Critical Patch Update Advisory - February 2011 (деталі)

05.01.2011

У вересні, 21.09.2010, я знайшов Full path disclosure та Information Leakage уразливості в PHPIDS. Це IDS (секюріті додаток) для веб додатків на PHP. Які я виявив на сайті www.hackerscenter.com. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам програми.

02.03.2011

Full path disclosure:

http://site/script.php?p=’

При відправці “атакуючого” запиту (такого як з одинарною лапкою) до будь-якого php-скрипта на сайті з PHPIDS виводиться повний шлях на сервері.

http://site/phpids/lib/IDS/Log/File.php

Information Leakage:

http://site/phpids/lib/IDS/tmplogs/phpids_log.txt

Витік всього лога.

Уразливі PHPIDS 0.6.5 та попередні версії.

Розробник PHPIDS 17.01.2011 вже виправив дані уразливості (але FPD виправлені не повністю).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IWantOneButton та WP Forum Server. Для котрих з’явилися експлоіти. IWantOneButton - це плагін для розміщення кнопок “I want one” та “I have one” в постах, WP Forum Server - це плагін для стоворення форуму.

• XSS in IWantOneButton wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://meta.ua - інфекція була виявлена 05.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://meblik.com.ua - інфекція була виявлена 16.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://forz.com.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://club-subaru.com - інфекція була виявлена 16.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://foroli4ka.org.ua - інфекція була виявлена 05.02.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт foroli4ka.org.ua також хостить в себе Укртелеком.

За повідомленням компанії IBResource, на початку 2011 року почастішали випадки проходження спамерами реєстрацій на форумах IP.Board. Це означає, що організатори цих злочинів знаходять нові шляхи обходу захисту, вбудованого в систему. Розробники безумовно продовжують роботу над удосконаленням захисту, щоб залишатися завжди на кілька кроків попереду спамерів.

Тому компанія нагадує про захисні функції, що є в IP.Board. Серед можливостей движку IPB по захисту від автоматизованих реєстрацій є наступні:

• Антиспам сервіс.
• reCAPTCHA.
• Питання-відповідь.
• Активація реєстрації по e-mail.

Використовуючи ці методи (при необхідності всі разом) ви зможете захистити ваш форум від більшості спамерів.

• Защита от массовых регистраций спамеров (деталі)

25.08.2010

У березні, 08.03.2010, я знайшов Denial of Service, Brute Force та Insufficient Anti-automation уразливості на сайті http://citycom.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на citycom.ua. Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.officepro.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.03.2011

DoS:

http://citycom.ua/search/?sort=desc&q=

Brute Force:

В формі логіна на сторінках сайта http://citycom.ua немає захисту від Brute Force атак.

Insufficient Anti-automation:

http://citycom.ua/account/

http://citycom.ua/registration/

В даних формах немає захисту від автоматизованих запитів (капчі).

Дані уразливості, окрім DoS, досі не виправлені.