Websecurity - Веб безпека

19.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на http://varta.net.ua - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.07.2011

SQL Injection:

http://varta.net.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

26.03.2011

Ще 06.02.2008 я виявив URL Spoofing уразливість в Mozilla Firefox, Internet Explorer, Google Chrome та Opera (спочатку в Mozilla та Internet Explorer, а вже потім протестував в Chrome, Opera та нових версіях Firefox та IE, коли поставив собі ці браузери). Інші браузери без сумніву також уразливі. Про що найближчим часом повідомлю розробникам.

Дану уразливість я виявив коли досліджував вбудований CSRF в Mozilla та Firefox. Атаку я назвав Onsite phishing (Inline phishing). Вона може бути використана (в тому числі фішерами) для викрадення облікових даних користувачів веб сайтів.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

21.07.2011

Дана атака на браузери може використовуватися (в тому числі фішерами) для викрадення логінів і паролів користувачів сайтів.

Як я протестував, багато різних методів (з використанням тегів і CSS), що дозволяють робити міжсайтові запити, може бути використано для проведення даної атаки. Окрім префетчінга (у всіх браузерах на движку Gecko, що пітримують функцію prefetching), що не виводить вікно аутентифікації при отриманні 401 відповіді від веб сервера. Наступні методи можуть бути використані:

Теги img, script, iframe, frame, embed, link (css) - Mozilla, Firefox, IE, Google Chrome та Opera.
Тег object - Internet Explorer, Google Chrome та Opera.
CSS (inline, в html файлах, в зовнішніх css файлах): такі як -moz-binding:url - Mozilla та Firefox < 3.0, такі як background-image:url - в усіх браузерах.

Ось скріншоти атаки на різні браузери (в Firefox 3.0.19, 3.5.x, 3.6.x. 4.0b2 діалогове вікно виглядає майже однаково):

Attack on Mozilla
Attack on Firefox
Attack on IE6
Attack on IE7
Attack on IE8
Attack on Chrome
Attack on Opera

Атака може бути зроблена як відбита (reflected) на цільовому сайті, так і постійна (persistent), з використанням дозволеного функціонала на цільовому сайті, який дозволяє розміщувати деякі теги, наприклад, тег img. Persistent атака є більш небезпечною (і саме цей тип атаки показаний на скріншотах).

Уразливі Mozilla Firefox, Internet Explorer, Google Chrome, Opera та всі інші браузери, що підтримують Basic/Digest Authentication (а це всі сучасні та більшість старих браузерів).

В березні, після мого увідомлення, Mozilla відкрила Bug 647010 в Bugzilla для цієї уразливості.

І лише Мозіла з чотирьох розробників браузерів, яким я повідомив, заявила, що вони планують виправити цю дірку (але не уточнюючи коли саме). Той же Гугл мені навіть не відповів, але в середині червня представники компанії Google заявили в своєму блозі, що в браузерах Chrome 13 і вище (а минулого місяця вийшла 12 версія, а 13 знаходиться у стані бета версії) вони виправили дану уразливість. Шляхом заборони виведення вікна аутентифікації для ресурсів з інших доменів.

Подібна несерйозна поведінка Гугла є ламерською, коли виправляють дірки втихаря, не відповівши і не подякувавши людині, яка про них повідомила. Не поважаю компанії з такою поведінкою. І з такими випадками я вже стикався в минулі роки від Mozilla, Microsoft та Opera, тому нічого нового - типова ламерська поведінка виробників браузерів. Але цей крок Google має стимулювати інших виробників браузерів виправити дану уразливість в своїх продуктах.

В своїй презентації Guidelines on Securing Public Web Servers, представники National Institute of Standards and Technology (NIST) розповідають про забезпечення безпеки публічних веб серверів. Це офіційні рекомендації американського NIST (датовані 2007 роком).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kuzovok.kiev.ua (хакерами з S.V Crew) - 03.05.2011, зараз сайт вже виправлений адмінами
• http://www.forumbc.com.ua (хакерами з S.V Crew) - причому спочатку сайт 03.05.2011 був взломаний S.V Crew, а зараз він взломаний Sifreciler. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.citroen-mas.kiev.ua (хакером iskorpitx) - 03.05.2011, зараз сайт вже виправлений адмінами
• http://photolives.com.ua (хакерами з RKH)
• http://uoz.sumy.ua (хакерами з RKH)

В даній добірці уразливості в веб додатках:

• HP Data Protector Backup Client Service EXEC_BAR Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in WonderCMS (деталі)
• Hewlett-Packard Data Protector Cell Manager Service Authentication Bypass Vulnerability (деталі)
• SQL Injection in phpMySport (деталі)
• Hewlett-Packard Data Protector Client EXEC_SETUP Remote Code Execution Vulnerability (деталі)
• SQL Injection in phpMySport (деталі)
• Hewlett-Packard Data Protector Client EXEC_CMD Perl Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in PHP MicroCMS (деталі)
• Hewlett-Packard Data Protector Client EXEC_CMD omni_chk_ds.sh Remote Code Execution Vulnerability (деталі)
• Drupal 5.x, 6.x <= Stored Cross Site Scripting Vulnerability (деталі)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, електронних платіжних систем, домен провайдерів та банків України:

• citycom.ua
• www.liqpay.com
• www.imena.ua
• www.vab.ua
• www.vab.ua

Також згадував про атаковані (взломи чи DDoS атаки) онлайн магазини та e-commerce сайти в Уанеті:

• DDoS-атака на seocity.net
• shop.artgpa.com.ua
• youtop.biz
• tattoo-shop.com.ua
• transferskateshop.com
• shop.colibra.com.ua
• coralclub.kharkov.ua
• doktor.kiev.ua
• www.ladiestime.com.ua
• www.begemot.com.ua
• www.magicchest.com.ua
• ocharovashka.com.ua

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• zummer.com.ua
• sabana.com.ua
• ezoloto.com.ua

Так що українським e-commerce сайтам є куди покращувати свою безпеку.

22.10.2010

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, PeopleSoft Enterprise PeopleTools 8.49, Oracle E-Business Suite Release 11i та інші продукти Oracle.

Чергове щоквартальне оновлення закриває майже 90 уразливостей в різних продуктах.

• Oracle Products HTTP Request Remote Buffer Overflow Vulnerability (деталі)
• Oracle Virtual Server Agent Command Injection (деталі)
• Oracle Critical Patch Update Advisory - October 2010 (деталі)

01.12.2010

Додаткова інформація.

• Persistent Log Out Redirection Vulnerability in Oracle I-Recruitment OA.jsp (деталі)
• Oracle Virtual Server Agent Arbitrary File Access (деталі)
• Oracle Virtual Server Agent Local Privilege Escalation (деталі)
• Oracle Virtual Server Agent Remote Command Execution (деталі)
• Oracle BI Publisher Enterprise 10 - Response Splitting (деталі)
• Oracle Application Server - Linked XSS vulnerability (деталі)

20.07.2011

Додаткова інформація.

• Persistent Cross Site Scripting Vulnerability in Oracle I-Recruitment - E-Business Suite (деталі)

18.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://domkomplekt.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

20.07.2011

SQL Injection:

http://domkomplekt.com/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Нещодавно, 09-10.07.2011, відбувся новий масовий взлом сайтів на сервері HostPro (а один сайт ще 21.05.2011). Другий масовий взлом сайтів на сервері HostPro також відбувся цього місяця.

Був взломаний сервер української компанії HostPro. Взлом відбувся в той же час, що і попередній масовий взлом сайтів на сервері HostPro.

Всього було взломано 34 сайти на сервері хостера HostPro (IP 91.223.223.115). Це наступні сайти: www.yamkel.com, supercomputers.kiev.ua, lasunka.com, nfau.in.ua, dr.kh.ua, chic.pro, levashova.com.ua, time-of-pictures.net, safari-service.net, lexmarkcarpet.net, informby.cn, 1000albums.com.ua, alazarevich.com, www.arrtp.com, newpix.info, mala-supoivka.com.ua, s.tar.in.ua, 105-element.ru, jacuzziproject.com, bisalon.ru, samovarik.com.ua, heritage.lviv.ua, fitdoma.ru, medartroz.ru, seoroute.ru, magazine-i.com, worldcomics.ru, www.exeman.ru, storage.kiev.ua, servers.kiev.ua, d-sport.com.ua, d-market.in.ua, monolit-rost.com.ua, www.gazda.cv.ua.

З зазначених сайтів 33 було взломано на протязі 9-10 липня 2011 року хакерами з RKH, а 1 сайт був взломаний ними 21.05.2011.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

16.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://www.mediakit.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.07.2011

SQL Injection:

http://www.mediakit.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.