Websecurity - Веб безпека

16.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.ekoterm.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.05.2011

SQL Injection:

http://www.ekoterm.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

В цьому місяці, 19 травня, в Україні в Києві відбудеться конференція UISG та ISACA Kiev Chapter #6.

Даний захід - це регулярна конференція українського співтовариства спеціалістів з інформаційної безпеки (UISG) та Київського відділення ISACA. Це буде вже шоста конференція. Про даний захід та про перелік доповідей ви можете детальніше дізнатися на офіційному сайті UISG.

Я планую прийняти участь в конференції та виступити з доповіддю “Системи виявлення інфікованих веб сайтів”. Тому всі бажаючі можуть відвідати мою та інші доповіді на конференції.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brody-rda.gov.ua (хакером iskorpitx) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vberez.gov.ua (хакерами з Cocain TeaM) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://java.in.ua (хакером Albeyaz-Bayrak) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.relife.com.ua (хакером HoaX TroJaN) - причому спочатку сайт 06.05.2011 був взломаний HoaX TroJaN, а вже 08.05.2011 взломаний aGa Hackers. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://usp.co.ua (хакером iskorpitx) - 18.04.2011, зараз сайт не працює (розміщена сторінка від хостера)

Продовжуючи розпочату традицію, після попереднього відео про захист від небезпечних сайтів, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Internet Explorer 8. Рекомендую подивитися всім хто цікавиться цією темою.

Pwn2Own 2010 Windows 7 IE8 exploit

В даному відео ролику демонструється використання експлоіта для уразливості в IE8, що був показаний на Pwn2Own 2010. Експлоіт дозволяє проводити віддалене виконання коду в даному браузері (при цьому процес експлуатації показаний достатньо детально).

Атака відбувається при відвідуванні веб сторінки зі шкідливим кодом (що експлуатує дану уразливість). В результаті атаки на користувача IE8, зокрема у відео браузер запущений на Windows 7, нападник виконав довільний код (в даному випадку запустив calc.exe). Рекомендую подивитися дане відео для розуміння векторів атак на Internet Explorer.

14.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.slavske.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.05.2011

SQL Injection:

http://www.slavske.org.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Раніше я вже писав про уразливість в sfWpCumulusPlugin для symfony. Така ж уразливість є і в плагіні MT-Cumulus для Movable Type, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В березні, 14.03.2011, я знайшов Cross-Site Scripting уразливість в Flash Tag Cloud та MT-Cumulus для Movable Type. Про що найближчим часом повідомлю розробнику.

Спочатку розробник зробив віджет Flash Tag Cloud For MT 4, а вже потім зробив повноцінний плагін MT-Cumulus для Movable Type. І в обох додатках наявна дана XSS уразливість.

XSS:

Для Flash Tag Cloud For MT 4:

http://site/scripts/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Для MT-Cumulus:

http://site/mt/mt-static/plugins/Cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі віджет Flash Tag Cloud For MT 4 та плагін MT-Cumulus v1.02 і попереді версії.

26.04.2011

Виявлені численні уразливості в додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, WebLogic Server 8.1, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise CRM 8.9, JRockit 27.6 та інші продукти Oracle.

73 уразливості в різних додатках.

• Oracle Application Server Authentication Bypass Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - April 2011 (деталі)

11.05.2011

Додаткова інформація.

• Oracle Malformed Network Package Spins CPU (деталі)
• XSS in Oracle AS Portal 10g (деталі)
• XSS in locale parameter on IASTOP_CS_FARM_PAGE.html (деталі)
• Multiple SQL Injection in Oracle Enterprise Manager Service Level component (деталі)
• Oracle Malformed Network Package Spins CPU (деталі)
• Oracle JD Edwards JDENET Remote Logging Deactivation (деталі)
• Oracle JD Edwards JDENET Buffer Overflow (деталі)
• Oracle JD Edwards JDENET Firewall Bypass (деталі)
• Oracle JD Edwards JDENET USRBROADCAST Denial of Service (деталі)
• Oracle JD Edwards JDENET Kernel Denial of Service (деталі)
• Oracle JD Edwards JDENET SawKernel Remote Password Disclosure (деталі)
• Oracle JD Edwards JDENET Kernel Shutdown (деталі)
• Oracle JD Edwards JDENET CallObjectKernel Remote Command Execution (деталі)

В минулому місяці, 30.04.2011, відбувся масовий взлом сайтів на сервері Tavrida Network. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Tavrida Network. Взлом відбувся після згаданого масового взлому сайтів на сервері Realon Service.

Всього був взломаний 91 сайт на сервері провайдера Tavrida Network (IP 212.110.143.80). Це наступні сайти: www.tradecreation.com, www.itallux.com.ua, www.foxauto.com.ua, www.press.crimea.ua, www.goldnika.com.ua, www.qamt.com.ua, www.palas.ua, www.evrostroy.com.ua, www.galereya2008.com, www.gazifikator.com.ua, www.dnop.crimea.ua, www.evrograd.com.ua, www.flint.crimea.ua, www.hora.crimea.ua, www.rccombatglider.com, www.grandpiano.com.ua, www.toyotaparts.com.ua, www.toyota.org.ua, www.kerchmlin.com, www.tours.crimea.ua, www.primer.crimea.ua, www.flat.crimea.ua, www.fijet.com.ua, www.hipath.crimea.ua, www.eqp.com.ua, www.krimresurs.com.ua, www.krymnovysvet.ru, www.party.crimea.ua, www.airtech.com.ua, www.vanlicht.com.ua, www.prodmash.crimea.com, www.rest-irey.com.ua, www.pmp.crimea.ua, www.pomol.com.ua, www.rasswet.crimea.ua, www.tehnounit.com.ua, www.ppu.gov.ua, www.lagoda.crimea.ua, www.alushta-dom.com, www.yantar-a.com, www.xtime.com.ua, www.upb.gov.ua, www.upiterm.com, www.wint.com.ua, www.webcreation.com.ua, www.korporativ.crimea.ua, www.swanlake.com.ua, www.pioner.crimea.ua, www.neapol-m.com, www.novsvet.com, www.mitsubishi-newavto.com, www.mirfilmov.com, www.moneyonline.com.ua, www.med-export.com.ua, www.mazda.biz.ua, www.willa-lubimaya.com.ua, www.novagroup.com.ua, www.tuberculosis.com.ua, www.nikolaevka-leto.com.ua, www.lombard-econom.com.ua, www.otdixsudak.crimea.ua, www.vashvibor.com.ua, www.crimeahost.com, www.electra-olimp.com, www.cretc.crimea.ua, www.depositu.net, www.cruise.crimea.ua, www.cretc.com.ua, www.crimeadog.com, www.chikurov.com.ua, www.chikurov.spb.ru, www.cimmeros.com, www.chikurov.com, www.cctgo.com, www.cacao.net.ua, www.biodiesel.crimea.ua, www.biodiesel-ua.com, www.biodiesel-biofuel-ua.com, www.aviamodel.com, www.autoshtamp.com.ua, www.africanmaritimeacademy.net, www.alphatest.com.ua, www.architecturemaket.com, www.auto-lombard.crimea.ua, www.seotrademarket.com, www.service.yalta.ua, www.siemens.crimea.ua, www.silcont.com.ua, www.solamar.crimea.ua, www.sudomodel.com, www.summit.crimea.ua. Серед них українські державні сайти www.ppu.gov.ua та www.upb.gov.ua.

Всі зазначені сайти були взломані 30 квітня 2011 року. Дефейси 91 сайту проведено хакерами з 1923Turk-Grup. Окрім цього один сайт на цьому сервері був вломаний Swan ще 09.08.2009.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

13.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.mitsubishi-sklad.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

11.05.2011

SQL Injection:

http://www.mitsubishi-sklad.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Пропоную вашій увазі нову добірку уразливих сайтів від Dementor (з числа українських веб сайтів). Дані уразливості він знайшов та оприлюднив в 2010-2011 роках.

• Вразливості на fayna.com.ua
• Вразливості на zakarpattya.net.ua
• Вразливості на ktc-ua.com (онлайн магазин)
• Вразливості на opensource.com.ua (онлайн магазин)
• XSS вразливості на сайтах, створених на платформі prom.ua