31.07.2010
У липні, 01.07.2010, я знайшов SQL Injection та Redirector уразливості на проекті http://www.skypatrol.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
13.07.2011
SQL Injection:
http://www.skypatrol.com.ua/c.php?id=1%20and%20version()=5
Redirector:
http://www.skypatrol.com.ua/c.php?…&url=http://websecurity.com.ua
Дані уразливості досі не виправлені.
Раніше я вже багато разів, починаючи з 2007 року, розповідав про уразливості на сайтах Укртелекома, а також в їхніх Інтернет і телекомунікаційних послугах та в модемах Callisto, що він видає своїм клієнтам. Який був моїм Інтернет провайдером на протязі 2007-2011 років. І от на початку травня я змінив провайдера на Bilink, який, як виявилося, також погано слідкує за безпекою власних сайтів.
У травні, 07.05.2011, одразу ж як підключився до них, я знайшов Insufficient Authentication, Abuse of Functionality та Brute Force уразливості на сайті https://my.bilink.ua. Про що ще в травні повідомив даному провайдеру.
Insufficient Authentication:
При спеціальному запиті можлива зміна паролю довільному акаунту (де xxxxxxx - це логін).
https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1
Abuse of Functionality:
https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1
Можна виявляти робочі логіни в системі (якщо виводить “Ваш аккаунт не підключений”, значить такого логіна немає в системі, а якщо пароль змінився, значить є такий логін).
Brute Force:
https://my.bilink.ua/userLogin
Перші дві уразливості вже виправлені, але BF досі не виправлена.
Переповнення буфера в СУБД Sybase Advantage Database Server.
Уразливі продукти: Sybase Advantage Server 10.0, Sybase Adaptive Server 15.5.
Однобайтове переповнення буфера при розборі трафіка TCP/6262, UDP/6262, помилка форматного рядка при розборі TCP/5001.
В травні, 17.05.2011 і 18.05.2011, відбувся масовий взлом сайтів на сервері Virtes. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії Virtes. Взлом відбувся після згаданого масового взлому сайтів на сервері Uplink.
Всього було взломано 26 сайтів на сервері хостера Virtes (IP 91.195.214.134). Це наступні сайти: kancler.kiev.ua, urposlugi.com.ua, ibis.kiev.ua, oaza.kiev.ua, marilyn-kiev.pp.ua, golden-hands.kiev.ua, cortec.com.ua, advokat-olv.kiev.ua, ucom.co.ua, s-optica.com.ua, wes-t.com.ua, bosfor-kiev.com.ua, marriagebreeze.com, florika.kiev.ua, gastronomia-grup.com, lombard-kiev.com, www.visnuk.gov.ua, marilyn.kiev.ua, kolesoistorii.com.ua, huntinggild.com.ua, starname.kiev.ua, bor.kiev.ua, spain-gastronom.com, milos.kiev.ua, master-sauna.kiev.ua, babyshopping.kiev.ua. Серед них український державний сайт www.visnuk.gov.ua.
Зазначені сайти були взломані 17 і 18 травня 2011 року хакером iskorpitx (1 сайт) і хакерами з 1923Turk-Grup (25 сайтів).
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
В даній добірці уразливості в веб додатках:
Минулого місяця, 29.06.2011, вишла нова версія WordPress 3.1.4.
WordPress 3.1.4 це секюріті випуск 3.1 серії. В якому розробники виправили одну уразливість, а також додали деякі секюріті покращення.
Зокрема виправлена уразливість (насправді їх декілька, але розробники WP позиціонують їх як одну), що дозволяла зловмисному користувачу з правами Editor отримати подальший (навіть адмінський) доступ до сайта. Це SQL Injection уразливості в адмінській панелі.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Як і у випадку з іншими веб сайтами, інфікований сайт nom.pl.ua також хостить в себе Укртелеком.
Виявлена можливість використання зворотнього шляху у каталогах в PHP.
Уразливі версії: PHP 5.3.
Зворотний шлях у каталогах при завантаженні файлів RFC 1867.
29.07.2010
У липні, 01.07.2010, я знайшов SQL Injection та Redirector уразливості на проекті http://pearl-ua.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
11.07.2011
SQL Injection:
http://pearl-ua.com.ua/c.php?id=1%20and%20version()=5
Redirector:
http://pearl-ua.com.ua/c.php?id=1&url=http://websecurity.com.ua
Якщо перша уразливість вже виправлена, то друга до сих пір не виправлена.
В своїй статті XSS атаки через заголовок User-Agent я детально розповів про методи Cross-Site Scripting атак через HTTP заголовок User-Agent. Як я вже зазначав в статті, існують як reflected XSS, так і persistent XSS через User-Agent.
Обидва види XSS через заголовок User-Agent (UA) я неодноразово зустрічав на різних веб сайтах. Persistent XSS уразливості через UA зокрема можливі в будь-яких системах, що зберігають в логах інформацію про User-Agent (таких як банерні системи, рахівники та інші). З такими дірками я стикався, зокрема на e-commerce сайтах.
Reflected XSS уразливості через UA зустрічаються частіше ніж persistent XSS. Їх я знаходив на різних сайтах та веб додатках. Зокрема в Adobe ColdFusion в повідомленні про помилку - атака можлива як на скрипти веб сайтів, що виводять повідомлення про помилку, так і на подібні скрипти в самому ColdFusion.
У випадку вразливих веб дотатків, всі сайти, що їх використовують, стають вразливими до даної атаки. Наприклад, у випадку Adobe ColdFusion серед сайтів, що його використовують (що були вразливі до XSS атаки), є www.visualcomplexity.com та www.sec.ru.
Також уразливими є Cetera CMS і всі сайти на цьому движку, а також сайт about42.nl.
* 
You are currently browsing the archives for Липень, 2011.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.