Websecurity - Веб безпека

У березні, 17.03.2011, вийшов PHP 5.3.6. В якому виправлено більше 60 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.6:

• Посилена безпека в парсінгу fastcgi протоколу з fpm SAPI.
• Виправлений баг #54247 (format-string уразливість в Phar).
• Виправлений баг #54193 (Integer overflow в shmop_read()).
• Виправлений баг #54055 (buffer overrun з високими значеннями для precision ini налаштування).
• Виправлений баг #54002 (вибивання на спеціальному тезі в exif).
• Виправлений баг #53885 (вибивання в ZipArchive з FL_UNCHANGED на пустих архівах).
• Оновлений PCRE до версії 8.11.
• Виправлений баг #53577 (регресія, що була введена в 5.3.4 в open_basedir з завершальним слешем).

По матеріалам http://www.php.net.

09.09.2010

У квітні, 21.04.2010, я знайшов Full path disclosure, SQL Injection та Cross-Site Scripting уразливості на сайті http://www.tid.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта. До речі, це перший сайт, що використовує InterBase, який мені попався.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на bezpeka.kr.ua.

Детальна інформація про уразливості з’явиться пізніше.

07.04.2011

Full path disclosure:

http://www.tid.com.ua/tid1/lookups.php?q=’012

SQL Injection:

http://www.tid.com.ua/tid1/lookups.php?q=’01′

XSS:

• alert(document.cookie)

Остання уразливість виправлена неякісно:

XSS (Mozilla):

• alert(document.cookie)
• цікавий

З даних уразливостей виправлені всі, окрім XSS.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2010 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2010 по 30.06.2010, а в звіті Хакерська активність в Уанеті в 2 півріччі 2010 - дані за період з 01.07.2010 по 31.12.2010.

За весь 2010 рік в Уанеті була проведена 1554 атак на веб сайти - 155 за перше півріччя і 1399 за друге. Для порівняння, за весь 2009 рік було зафіксовано всього 273 атаки на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою. Як видно активність хакерів все більш помітна і вона продовжує щороку зростати.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2010 активність більша на 19% в порівнянні з аналогічним періодом 2009 року, а за друге півріччя 2010 - на 859% більше за аналогічний період 2009 року (і на 807% більше за перше півріччя 2010 року). А в цілому в 2010 році активність зросла на 462% порівняно з 2009 роком - зростання в 5,6 рази.

В 2010 році загалом було атаковано 1554 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 264 сайти, які вірогідно були похакані в 2010 році (з 265 виявлених сайтів, один, businessgo.info, був інфікований двічі - в першій і в другій половині року).

Головні тенденції 2010 року в діяльності хакерів в Уанеті:

• Хакерська активність значно зросла - на 462% порівняно з 2009 роком (збільшення динаміки у 5,6 рази).
• Все більше сайтів в Уанеті заражуються вірусами: в 2009 я виявив 67 інфікованих сайтів, в 2010 - вже 264 сайтів (збільшення динаміки у 3,94 рази).
• Кількість DDoS атак на сайти більша ніж в 2009 році - 18 випадків DDoS атак за рік (зростання у 2,6 рази). Це 1,2% від всіх атак за 2010 рік.
• Атаковані 48 державних сайтів та інфіковано ще 13 gov.ua-сайтів.
• Зростання взломів державних сайтів в 2 рази та зростання інфікування gov.ua-сайтів в 2,6 рази порівняно з 2009 роком.

Збільшення заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про зростання кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році значно зросла і вона продовжує зростати. І в 2011 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

За повідомленням hackzona.com.ua, критична вразливість в Adobe Flash Player.

В березні компанія Adobe випустила бюлетень безпеки, що повідомляє про уразливість нульового дня в Adobe Flash Player. Уразливість експлуатувалася шляхом впровадження спеціально сформованого Adobe Flash файлу (swf) в документ Microsoft Excel.

За повідомленням www.xakep.ru, Google закрила XSS уразливість в Android Market, яка могла привести до перемоги в Pwn2Own.

Уразливість, що дослідники планували використовувати для взлому мобільних телефонів Android на хакерському змаганні в березні, була закрита після того, як компанія Google усунула відповідну дірку в Android Market. І виправила вона цю уразливість напередодні Pwn2Own.

За повідомленням bugtraq.ru, MySQL.com взломали через SQL Injection.

Румунські взломщики взяли на себе відповідальність за нещодавній взлом mysql.com, що був проведений за допомогою найпростішого SQL Injection. Вони дістали імена користувачів і хеші паролів, що негайно виклали у відкритий доступ (а найпростіші відразу підібрали).

В 2008 році я вже писав про XSS уразливість на сайті MySQL. З тих пір вони так і не почали краще слідкувати за безпекою своїх сайтів.

В даній добірці уразливості в веб додатках:

• HP ProCurve 2610 Switches running DHCP, Remote Denial of Service (DoS) (деталі)
• HP ProCurve 2626 and 2650 Switches, Remote Unauthorized Access (деталі)
• LFI in eoCMS (деталі)
• BBcode XSS in eoCMS (деталі)
• HP ProCurve 2610 Switch In-band Agent, Remote Denial of Service (DoS) (деталі)
• HP ProCurve 1800 Switches running SNMP, Remote Disclosure of Information (деталі)
• Angel LMS Exploit (деталі)
• w3m vulnerability (деталі)
• Spree e-commerce JSON Hijacking Vulnerabilities (деталі)
• Seo Panel 2.1.0 - Critical File Disclosure (деталі)

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://britanka.com.ua (невідомим хакером) - 02.2011

Файли, що використовувалися для RFI атак:

http://britanka.com.ua/id1.txt - файл вже видалений з сайта.

Виявлена можливість віддаленого виконання коду в Zend Server.

Уразливі продукти: Zend Server.

Можливе виконання довільного коду через службу Java Bridge (TCP/10001).

• Zend Server Java Bridge Design Flaw Remote Code Execution Vulnerability (деталі)

12.02.2011

У січні, 03.01.2011, я знайшов Abuse of Functionality, Insufficient Anti-automation, XML Injection та Cross-Site Scripting уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

01.04.2011

Abuse of Functionality:

Через даний функціонал можна виявляти логіни в системі.

http://site/xmlhttp.php?action=username_availability&value=test

http://site/xmlhttp.php?action=username_exists&value=test

Також можна через віправку POST запиту до сторінки http://site/member.php?action=register з вказаним Username або Referrer визначати логіни.

Insufficient Anti-automation:

Враховучи, що в даному функціоналі немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

XML Injection:

http://site/xmlhttp.php?action=username_exists&value=%3Cxml/%3E

XSS через XML Injection:

http://site/xmlhttp.php?action=username_exists&value=%3Cdiv%20xmlns=%22http://www.w3.org/1999/xhtml%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C/div%3E

Уразливі MyBB 1.6.1 та попередні версії.

В версіях MyBB 1.6.2 та 1.4.15 XML Injection та XSS уразливості були виправлені. Abuse of Functionality та Insufficient Anti-automation уразливості виправлені не були. Лише розробники спробували виправити IAA, додавши новий параметр my_post_key до запиту, але це не допоможе проти IAA, тому що достатньо взяти значення цього параметру зі сторінки форуму (що може бути зроблено програмою) і в подальшому проводити автоматизовану атаку для визначення логінів.