Websecurity - Веб безпека

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.5, Python 2.6, Python 3.0.

Витік вихідних кодів у CGIHTTPServer, доступ до локальних файлів в urllib.

• Vulnerabilities in Python (деталі)

22.09.2010

У травні, 18.05.2010, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.privatbank.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливість на www.danielbank.kiev.ua. А стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка.

Детальна інформація про уразливості з’явиться пізніше.

28.05.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)

Ці дві уразливості вже виправлені. Але друга XSS (на conveyor.privatbank.ua) виправлена погано, тому при невеликій зміні коду вона знову працює.

XSS (з MouseOverJacking):

• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

http://conveyor.privatbank.ua/index.cgi?do=add_error_info&id=1

З даних трьох уразливостей дві досі не виправлені. В даному випадку ПриватБанк повів себе як завжди ламерським чином - спочатку проігнорував і не відповів мені, а потім втихаря виправив дві дірки, причому другу неякісно. Типова ламерська поведінка ПБ.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF атаку.

CSRF:

Дана уразливість дозволяє включити зовнішній доступ в адмінку. По замовчуванню доступ можливий лише з локального комп’ютера (і LAN), а при включенні цієї опції можна зайти в адмінку з Інтернету. При цьому задається час на який відкривається зовнішній доступ.

Callisto 821+ CSRF3.html

Дана уразливість дозволяє перезапустити модем. При включеній опції “Reset to factory default settings” (як в коді даного експлоіту) відбувається зкидання всіх налаштувань модема до значень по замовчуванню, що може заблокувати доступ до Інтернету для користувача модема.

Callisto 821+ CSRF4.html

В статті Устоять любой ценой: методы борьбы с DoS/DDoS-атаками розповідається про DoS і DDoS атаки. Та про методи протидії даним атакам, зокрема на системах Linux та Unix.

В даній статті розглянуті наступні аспекти боротьби з DoS/DDoS атаками:

• Анатомія DoS-атак.
• Методи боротьби.
• Боротьба з flood-атаками.
• Універсальні поради.
• Конкретні дії при DDoS-атаці.
• Боротьба з DDoS у FreeBSD.
• Накрупніші ботнети.
• Та інша цікава інформація на дану тему.

Як я регулярно згадую в своїх щорічних підсумках хакерської активності в Уанеті, DDoS атаки щороку трапляються в Уанеті. Тому адмінам сайтів і веб серверів слід бути обізнаними в цьому питанні.

Виявлені численні уразливості безпеки в Ruby.

Уразливі версії: Ruby 1.8.

Міжсайтовий скриптінг, підвищення привілеїв, модифікація даних через метод Exception#to_s, пошкодження пам’яті через VpMemAlloc.

• Vulnerabilities in Ruby (деталі)

В даній добірці уразливості в веб додатках:

• HP AssetCenter and HP AssetManager for AIX, HP-UX, Linux, Solaris and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL Injection vulnerability in Alguest (деталі)
• BroadWorks Call Detail Record Disclosure Vulnerability (деталі)
• Pulse CMS Basic Local File Inclusion Vulnerability (деталі)
• HP Storage Essentials Using LDAP, Remote Unauthenticated Access (деталі)
• Cross Site Scripting vulnerability in Diferior (деталі)
• HP webOS Contacts Application, Remote Execution of Arbitrary Code (деталі)
• Novell Vibe 3 BETA OnPrem Stored Cross-site Scripting Vulnerability (деталі)
• HP Version Control Repository Manager (VCRM) for Windows, Remote Cross Site Scripting (XSS) (деталі)
• Multiple XSS in Solarwinds Orion NPM 10.1 (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє додати нового користувача з доступом в адмінку.

Callisto 821+ CSRF2.html

XSS:

В даній формі також є три persistent XSS уразливості.

Callisto 821+ XSS3.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Callisto 821+ XSS4.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Callisto 821+ XSS5.html

В даному випадку код виконається одразу, а також при відвіданні сторінки http://192.168.1.1/configuration/authentication.html.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Internet Explorer 8, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Firefox 3.5. Рекомендую подивитися всім хто цікавиться цією темою.

Firefox 3.5 exploit

В даному відео ролику демонструється використання експлоіта для уразливості в Firefox 3.5, останній версії Firefox на момент запису відео. Експлоіт дозволяє проводити віддалене виконання коду в даному браузері.

Атака відбувається при відвідуванні веб сторінки зі шкідливим кодом (що експлуатує дану уразливість). Рекомендую подивитися дане відео для розуміння векторів атак на Mozilla Firefox.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://antonsablev.com (хакером INNOCENT HACKER з Afghan Exploiters Team) - 21.05.2011, зараз сайт вже виправлений адмінами
• http://aquatika.com.ua (хакером eL-CeWaD)
• http://www.ecodah.com.ua (хакером aGa Hackers) - 13.05.2011, причому окрім aGa Hackers даний сайт нещодавно також був взломаний хакерами HoaX Trojan і OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний :N0FAC3. Торік www.ecodah.com.ua вже був неодноразово взломаний. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dorogy.com.ua (хакером INNOCENT HACKER)
• http://www.ukrtransport.com (хакерами з EliTTe SquaD)

15.09.2010

У травні, 15.05.2010, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на сайті http://www.school.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Детальна інформація про уразливості з’явиться пізніше.

26.05.2011

Insufficient Anti-automation:

На всіх сторінках контактів немає захисту від автоматизованих запитів (капчі).

http://www.school.gov.ua/uk/contact/contacts/tetyana-kovtun
http://www.school.gov.ua/en/contact/contacts/tetyana-kovtun

Abuse of Functionality:

Опція “Надіслати копію цього повідомлення на Вашу електронну адресу” (”E-mail a copy of this message to your own address”) на всіх сторінках контактів дозволяє розсилати спам з сайта на довільні емайли. А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Дані уразливості досі не виправлені.