Архів за Жовтень, 2011

Уразливості в poMMo

16:09 28.10.2011

06.08.2011

У липні, 30.07.2011, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

28.10.2011

XSS:

http://site/pommo/user/pending.php?input=a:2:{s:7:%22adminID%22;b:1;s:5:%22Email%22;s:39:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22;}

Спрацює лише після ініціації зміни пароля адміну. Що можна зробити (вручну чи автоматизовано) відправивши перед атакою необхідний CSRF запит до http://site/pommo/user/pending.php, чи використавши IAA уразливість на http://site/pommo/index.php (після чого XSS працює тривалий час).

Brute Force:

http://site/pommo/user/login.php

Можна виявляти емайли підписчиків (що є логінами в акаунт, причому без паролів) і отримувати доступ до їх акаунтів. А також використовувати емайли для спам-цілей.

Insufficient Anti-automation:

http://site/pommo/user/subscribe.php?Email=1@1.com

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Що дозволяє автоматизовано ініціювати процес підписки на емайл (що заспамить дані емайли).

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

Численні уразливості в додатках Oracle і Sun

22:48 27.10.2011

Виявлені численні уразливості безпеки в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, WebLogic Portal 9.2, WebLogic Server 9.2, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9 та інші продукти Oracle.

Чергове щоквартальне оновлення закриває більше 50 уразливостей у всіх основних продуктах.

  • Oracle DataDirect Multiple Native Wire Protocol ODBC Drivers HOST Attribute Stack Based Buffer Overflow Vulnerability (деталі)
  • Buffer Overflow in Oracle Database (CTXSYS.DRVDISP.TABLEFUNC_ASOWN function) (деталі)
  • Database Vault Account Management Vulnerabilites (деталі)
  • SQL Injection Vulnerability in Oracle DROP INDEX for spatial datatypes (деталі)
  • Oracle Critical Patch Update Advisory - October 2011 (деталі)

Антивірус для сайтів WebMoney Advisor

20:28 27.10.2011

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WebMoney Advisor. В деякій мірі це ще один конкурент моїй Web VDS.

Сервіс WebMoney Advisor був створений багато років тому і мені давно про нього відомо. Але подібним сервісам я особливо не довіряю, які лише надають тулбари та не мають власного сканування, а лише з різних джерел визначають (і роблять це повільно) шкідливість того, чи іншого сайта. Тим не менше, розповім про нього.

Як зазначає WebMoney, їхній сервіс Advisor - це інструмент для оцінки ділової активності сайтів та захисту від шахрайських і шкідливих ресурсів. При цьому подібно до таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та Web of Trust є можливість користувачам системи писати відгуки про сайти (тобто присутня соціальна складова).

Щоб скористатися даним сервісом, потрібно зайти на сайт, ввести адресу сайту в пошуковий рядок (або переглянути перелік сайтів за популярністю) та почитати детальну інформацію про сайт на сторінці з його описом. Де може бути вказана інформація про шкідливість конкретного сайта. Або можна скористатися плагіном WebMoney Advisor, що розроблений для багатьох браузерів (Internet Explorer, Mozilla Firefox, Opera та Google Chrome, а також існує букмарклет для інших браузерів).

Можете подитивитися на статистичну інформацію, що надає сервіс стосовно мого сайта:

http://advisor.wmtransfer.com/…?url=websecurity.com.ua

Добірка уразливостей

17:09 27.10.2011

В даній добірці уразливості в веб додатках:

Редиректори на популярних сайтах №6

23:54 26.10.2011

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Subscribe.ru:

http://redirect.subscribe.ru/1/-/websecurity.com.ua

Yandex.ua (до раніше згаданих численних редиректорів на yandex.ru):

http://mail.yandex.ua/r?url=http://websecurity.com.ua

Prom.ua:

http://prom.ua/redirect?url=websecurity.com.ua

Що цікаво, то після мого оприлюднення в лютому 2009 редиректора на mail.yandex.ru до Яндекса нарешті дійшло, що дані уразливості становлять загрозу і компанія прикрила автоматичні редиректори (як на mail.yandex.ru та mail.yandex.ua). І тепер вони працюють лише в неавтоматичному режимі - користувачу необхідно самому натиснути на лінку.

Звичайно за допомогою соціальної інженерії або Clickjacking цю атаку можна зробити, але вже важче. Тобто по суті дані уразливості на сайтах Яндекса вже не редиректори, а Link Injection.

Інфіковані сайти №99

22:47 26.10.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://nanoavto.com.ua - інфекція була виявлена 15.10.2011. Зараз сайт входить до переліку підозрілих.
  • http://dremel.com.ua - інфекція була виявлена 01.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://gourelax.at.ua - інфекція була виявлена 08.10.2011. Зараз сайт входить до переліку підозрілих.
  • http://kpi.ua - інфекція була виявлена 25.10.2011. Зараз сайт не входить до переліку підозрілих.
  • http://sporttime.com.ua - інфекція була виявлена 10.10.2011. Зараз сайт не входить до переліку підозрілих.

Про уразливості на kpi.ua з Друпалом-дирупалом я вже писав раніше. Тому не дивує наявність шкідливого ПЗ на їх сайті.

Жовтневий вівторок патчів від Microsoft

19:01 26.10.2011

У жовтні місяці Microsoft випустила 8 патчів. Що більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. З них два патчі закривають критичні уразливості, а інші шість пачтів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, .NET Framework і Silverlight, Forefront UAG та Host Integration Server.

Уразливості на acsk.uss.gov.ua

15:10 26.10.2011

21.02.2011

У січні, 09.01.2011, після знаходження уразливостей на сайтах спецслужб sbu.gov.ua та dsszzi.gov.ua, я знайшов Information Leakage та SQL Injection уразливості на http://acsk.uss.gov.ua - сайті державного підприємства “Українські спеціальні системи” (УСС). Про що найближчим часом сповіщу адміністрацію сайта.

УСС - це ще один державний орган, секюріті напрямку. Підприємство надає послуги електронного цифрового підпису та видає сертифікати.

Детальна інформація про уразливості з’явиться пізніше.

26.10.2011

Information Leakage:

http://acsk.uss.gov.ua:8080

http://acsk.uss.gov.ua:8080/ca/a

Витік інформації про версію та стара версія СУБД.

SQL Injection:

http://acsk.uss.gov.ua:8080/ca/a?a=1

Визов довільних процедур з довільними параметрами.

Дані уразливості вже виправлені (шляхом обмеження доступу до СУБД). Але Basic Authentication вразлива до Brute Force атак.

DNSreport - сервіс перевірки DNS серверів

23:55 22.10.2011

Продовжуючи тему тестування DNS серверів, після додатку Porkbind - сканера DNS серверів, пропоную вашій увазі новий онлайн сервіс для даної задачі. Це DNSreport від DNSstuff - онлайновий сервіс перевірки DNS серверів.

За допомогою даного сервіса можна перевірити стан DNS сервера вашого хостера. DNSreport - це платний сервіс і потрібно бути офіційним клієнтом компанії DNSstuff. Необхідно оплатити (на рік) послугу Professional Toolset, що включає DNSreport, Mail Server Test Center, Email Path Analyzer та ще більше 30 різних інструментів.

Але є безкоштовний DNSreport Demo. В демо версії можна провести перевірку лише семи визначених доменів, включаючи google.com. В результаті перевірки видається звіт про стан DNS сервера. Користь від демо версії в тому, що ви можете побачити які саме параметри DNS сервера перевіряються і в чому можуть бути проблеми (і відповідно перевірити дані параметри у власного сервера).

Новини: методи захисту, Tor і Firefox та освіта в Німеччині

20:16 22.10.2011

За повідомленням www.xakep.ru, від 85% нападів можуть допомогти 4 найпростіших методи захисту.

Кращий спосіб захисту від більшості мережевих уразливостей - це боротьба з найпростішими нападами, говорить австралійська спецслужба, відповідальна за безпеку комунікацій (Defence Signals Directorate, DSD).

Аналіз DSD заснований на вивченні реальних атак, спрямованих на мережі австралійського уряду. І відповідно до останньої роботи організації, 85% атак можуть бути відвернені за допомогою чотирьох відносно простих методів захисту.

За повідомленням www.opennet.ru, Tor і Firefox не вразливі до атаки проти SSL/TLS.

Розробники Firefox проаналізували вразливість браузера нещодавно анонсованому методу атаки проти SSL/TLS, що дозволяє на проміжному шлюзі організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.

У підсумку, був зроблений висновок, що незважаючи на використання TLS 1.0, Firefox не підданий даній проблемі, тому що без залучення додаткових плагінів неможливо забезпечити необхідні для проведення атаки умови (повний контроль над вмістом з’єднання). Проте, повідомляється, що атака теоретично може бути зроблена у випадку наявності в користувача Java-плагіна. Тому в даний час розробники розглядають можливість відключення Java-плагіна для існуючих інсталяцій.

За повідомленням www.xakep.ru, тестування стану безпеки стане частиною освіти в Німеччині.

Компанія Codenomicon і Університет прикладних наук міста Бранденбургу (Brandenburg University of Applied Sciences, FH Brandenburg) оголосили про угоду, заключену, щоб допомогти освіті німецьких ІТ-фахівців. Програмне забезпечення Codenomicon під назвою Defensics буде доступно для студентів у FH Brandenburg у рамках програми управління безпекою.