Websecurity - Веб безпека

За повідомленням hackzona.com.ua, хакери повідомили про злом сайту MasterСard.

Хакерське угруповання ibomhacktivist заявило про взлом інтернет-порталу міжнародної платіжної системи MasterCard, повідомляє Twitter-блог, що ймовірно, належить учасникам хакерської групи. У вівторок деякий час сайт MasterCard був недоступний.

Раніше я вже писав про уразливості на сайтах MasterCard і Visa, тому даний інцидент не викликає здвивування .

За повідомленням www.xakep.ru, російська поліція почала блокувати доступ до сайтів без постанови суду.

Новий закон “Про поліцію” дає поліцейським можливість блокувати доступ до “сумнівних” сайтів, не чекаючи постанови суду. Доказом цього стало блокування декількох піратських сайтів, що пропонували скачувати новинки кінопрокату.

За повідомленням habrahabr.ru, виявлений троян, що використовує обчислювальні потужності ПК для генерації Bitcoin.

Автор блога на Хабрахабр, заразив свій комп’ютер трояном Trojan.Win32.Powp.rdf (по класифікації ЛК). Після очищення комп’ютера від трояна, він вирішив на останок дослідити екземпляр даного трояна. Що він зробив, як і потрібно, у віртуальному середовищі. Й він виявив, що цей троян використовує обчислювальні потужності комп’ютера жертви для генерації Bitcoin.

Тобто він використовує обчислувальні потужності інфікованих ПК для заробітку коштів розробнику трояна. При цьому створюючі ботнет з таких троянів. Це перший випадок використання ботнетів для безпосереднього заробітку коштів (а не здачі ботнета в аренду для проведення спам розсилок чи DDoS атак).

Продовжуючи розпочату традицію, після попереднього відео про DLL Hijacking eксплоіт для Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про DLL Hijacking eксплоіт для Windows Live Email (поштовий клієнт). Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit DLL Hijacking Exploit - Windows Live Email

В даному відео ролику демонструється використання експлоіта (зробленого в Metasploit Framework) для DLL Hijacking уразливості в Windows Live Email - дана програма є приємником Outlook Express та Windows Mail. Причому атака відбувається частково через IE. Експлоіт дозволяє проводити віддалене виконання коду в даному почтовому клієнті.

Атака відбувається при відвідуванні спеціально створеної веб сторінки (що експлуатує дану уразливість). Коли в браузері Internet Explorer відвідується спеціальний ресурс через який відбувається атака на Windows Live Email. Рекомендую подивитися дане відео для розуміння векторів атак на поштові клієнти.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Comcast DOCSIS 3.0 Business Gateways (SMCD3G-CCR) (деталі)
• SQL Injection in LightNEasy (деталі)
• Vulnerability in HTC Peep: Twitter Credentials Disclosure (деталі)
• Information disclosure in LightNEasy (деталі)
• Lotus Domino Server diiop getEnvironmentString Remote Code Execution Vulnerability (деталі)
• LFI in LightNEasy (деталі)
• Lotus Domino Server diiop Client Request Operation Remote Code Execution Vulnerability (деталі)
• Path disclosure in LightNEasy (деталі)
• IBM Lotus Domino SMTP Multiple Filename Arguments Remote Code Execution Vulnerability (деталі)
• Path disclousure in Nibbleblog (деталі)

27.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://bestmaster.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

30.06.2011

SQL Injection:

http://bestmaster.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дані уразливості досі не виправили.

Виявлена CSRF уразливість в IBM WebSphere.

Уразливі версії: IBM WebSphere 7.0.

Міжсайтова підміна запитів в консолі адміністрування.

• IBM WebSphere Application Server Cross-Site Request Forgery (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Rootkit
• Backdoor (computing)
• Zombie computer
• Botnet
• Internet_bot

В даній добірці уразливості в веб додатках:

• Majordomo2 - Directory Traversal (SMTP/HTTP) (деталі)
• SQL injection in KaiBB (деталі)
• Majordomo2 ‘help’ Command Directory Traversal (Patch Bypass) (деталі)
• SQL injection in KaiBB (деталі)
• Aruba Mobility Controller - multiple advisories: DoS and authentication bypass (деталі)
• BBcode XSS in KaiBB (деталі)
• HP OpenView Performance Insight Server, Remote Execution of Arbitrary Code (деталі)
• Geeklog 1.7.1 <= Cross Site Scripting Vulnerability (деталі)
• HP OpenView Performance Insight Server Backdoor Account Code Execution Vulnerability (деталі)
• New phpmyadmin packages fix several vulnerabilities (деталі)