Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dvdri.at.ua - інфекція була виявлена 03.09.2011. Зараз сайт входить до переліку підозрілих.
• http://nansi.com.ua - інфекція була виявлена 08.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://alfa.sumy.ua - інфекція була виявлена 18.09.2011. Зараз сайт входить до переліку підозрілих.
• http://legko.in.ua - інфекція була виявлена 29.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://sat-tv.org.ua - інфекція була виявлена 29.08.2011. Зараз сайт не входить до переліку підозрілих.

30.08.2011

Виявлена можливість проведення DoS атак проти багатьох HTTP-серверів. Про DoS уразливість в Apache я вже писав нещодавно.

Уразливі продукти: Apache 1.3, Apache 2.0, Apache 2.2.

Обробка заголовків Range і Range-Request може призвести до вичерпання пам’яті.

• HTTPKiller - (Global HTTP DoS) (деталі)
• Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (деталі)
• HTTPKiller - FHTTP Kit by Xianur0 (деталі)
• Apache httpd Remote Denial of Service (memory exhaustion) (деталі)

19.09.2011

Додаткова інформація.

• Apache HTTPd Range Header Denial of Service Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum Server та Fast Secure Contact Form. Для котрих з’явилися експлоіти. WP Forum Server - це плагін для створення форуму, Fast Secure Contact Form - це плагін контактної форми.

• SQL Injection in WP Forum Server wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)
• XSS in Fast Secure Contact Form wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.stateofsearch.com, Google Now Warning WordPress Users They Need To Update. Гугл почав сповіщати користувачів WordPress.

Починаючи з 20 червня компанія Google почала сповіщати користувачів движка WordPress про необхідність оновити движок, якщо вони вокористовують застарілу версію WP. Сповіщення відбувається в інтерфейсі Google Webmaster Tools (GWT), а також по емайлу, якщо користувач зараєструвався в GWT.

Дана ініціатива Гугла повинна сприяти підвищенню безпеки веб сайтів на WP за рахунок стимулювання адмінів сайтів оновлювати свій движок. Цілком імовірно, що Гугл з часом почне сповіщати і власників інших популярних CMS.

За повідомленням www.xakep.ru, кібеpзлочинність масштабніше, ніж наркоторгівля.

Загальні світові витрати, пов’язані з кіберзлочинністю, перевищують комбінований вплив на всесвітню економіку контрабанди і торгівлі маріхуаною, героїном і кокаїном. Вони оцінюються в 388 мільярдів доларів, як повідомляється в новому дослідженні.

За повідомленням www.3dnews.ru, Mail.Ru буде попереджати про шкідливі сайти.

Починаючи з минулого тижня у рамках партнерства з міжнародною системою оцінки сайтів WOT (Web of Trust) поштова служба Mail.Ru буде перевіряти всі зовнішні лінки, що містяться в листах. При переході по зовнішньому посиланню з Пошти Mail.Ru користувачу будуть повідомляти про можливу загрозу для його комп’ютера.

Таким чином Mail.ru додали в свою веб пошту захист від шкідливих сайтів від WOT. Про даного конкурента моєї Web VDS я вже розповідав торік. Компанії Mail.ru варто ще додати антивірус в свою пошукову систему.

Продовжуючи розпочату традицію, після попереднього відео про eксплоіт для Apache mod_isapi, пропоную нове відео на веб секюріті тематику. Цього разу відео про іконкового ніндзя. Рекомендую подивитися всім хто цікавиться цією темою.

“Icon Ninjas” Internet Security PSA

В даному відео ролику, розробленного на замовлення Гугла та інших компаній для Internet Security PSA, демонструється типовий процес атаки через Інтернет (така собі соціальна реклама). І закликається Інтернет-користувачів слідкувати за безпекою власного комп’ютера виконуючи стандартні і давно відомі кроки для захисту ПК.

Рекомендую подивитися дане відео для розуміння Інтернет загроз та засобів захисту проти них.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi), Local Unauthorized Read Access to Files, Remote Cross Site Scripting (XSS) (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows running Java, Remote Denial of Service (DoS) (деталі)
• ZOHO ManageEngine ADSelfService multiple vulnerabilities (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Information Disclosure (деталі)
• Kunena SQL Injection Vulnerability & Information Leakage (деталі)
• O2 classic router: persistent cross site scripting (XSS) and cross site request forgery (CSRF) (деталі)
• python-django security update (деталі)
• Linksys WRT54G - read router password from file placed on FTP (деталі)
• Path disclosure in Xaraya (деталі)

04.06.2011

У березні, 06.03.2010, я знайшов Information Leakage та Brute Force уразливості в JBoss Application Server (JBoss AS). Які я виявив на одному сайті Укртелекома. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

09.09.2011

Information Leakage:

http://site/status
http://site/status?full=true

Публічно доступна статистика роботи сервера з переліком всіх його сервісів.

Brute Force:

http://site/jmx-console/
http://site/web-console/
http://site/admin-console/ (починаючи з версії 5.1.0)
http://site/jbossws/ (зустрічаються сервери, де на даний ресурс пароль не встановлено)

Та інші приватні ресурси з BF уразливістю (що, як і вищенаведені ресурси, окрім Admin Console, сховані за Basic Authentication). Список всіх ресурсів конкретного сервера можна побачити на сторінці status?full=true.

Уразливі JBoss 3.2.7, JBoss 4.0.5.GA, JBoss 5.0 та попередні версії.

В статті Silverlight: защита и нападение розповідається про методи захисту та атаки на Silverlight додатки. Про безпеку при розміщенні Silverlight-додатків на веб сайтах.

В даній статті розглянуті наступні аспекти пов’язані з безпекою Silverlight:

• Модель безпеки Silverlight.
• Sandbox.
• Мережева взаємодія.
• Десктопні додатки Silverlight.
• Експлуатація уразливостей Silverlight-контролів.
• Як зробити Silverlight-контроли більш безпечними.

Флеш не єдина RIA платформа в Інтернеті, тому варто також звертати увагу на безпеку платформи Silverlight.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://poladm.gov.ua (хакером iskorpitx) - 22.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.ldu.mns.gov.ua (хакером ShadowNET) - 27.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.pokerpublic.net (хакером iskorpitx) - 28.07.2011, зараз сайт вже виправлений адмінами
• http://pro.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт вже виправлений адмінами
• http://au.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт вже виправлений адмінами

18.08.2011

Виявленні численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.3, AIR 2.7.

Пошкодження пам’яті, переповнення буфера, цілочисленні переповнення, міжсайтовий скриптінг.

• Adobe Flash Player ActionScript FileReference Buffer Overflow (деталі)
• Adobe Flash Player BitmapData.scroll Integer Overflow Remote Code Execution Vulnerability (деталі)
• Adobe Flash Player ActionScript Display Memory Corruption Vulnerability (деталі)
• Adobe Flash Player Integer Overflow (деталі)
• Security update available for Adobe Flash Player (деталі)

09.09.2011

Додаткова інформація.

• Adobe Flash Player MP4 sequenceParameterSetNALUnit Remote Code Execution Vulnerability (деталі)