Websecurity - Веб безпека

За повідомленням www.xakep.ru, 700000 сайтів взломані за один раз.

700000 сайтв, підключених до мережі InMotion Hosting, атаковані TiGER-M@TE. Це був не просто взлом сервера, був атакований весь центр збереження й обробки даних. Список усіх 700000 взломаних сайтів доступний в Інтернеті.

TiGER-M@TE - це той самий хакер, що задефейсив сайт Google Bangladesh. Даний взлом може бути самим масовим взломом сайтів. 700 тисяч сайтів взломаних одним хакером - це набагато більше, ніж 11065 сайтів на п’яти серверах Delta-X (причому взломаних різними хакерами на протязі трьох діб).

За повідомленням www.anti-malware.ru, Facebook захистить користувачів від шкідливих лінок за допомогою Websense.

Соціальна мережа Facebook оголосила про партнерство з компанією Websense, щоб захистити своїх користувачів від небезпечних лінок, що ведуть на сайти зі шкідливим ПЗ і фішингові ресурси.

Після того як Mail.ru додав в свою веб пошту захист від шкідливих сайтів за допомогою WOT, Facebook заключив аналогічне партнерство з Websense. Причому, якщо WOT - це публічний сервіс виявлення шкідливих сайтів, про який я писав раніше, то мені не відомо про такий сервіс від Websense, лише відомі їхні звіти (що базуються на їхніх даних), які вони регулярно публікують. Тим не менш, Websense достатньо розпіарився, раз саме їхній сервіс обрав Facebook (а не інших гравців цього ринку).

За повідомленням www.theregister.co.uk, Java, Adobe vulns blamed for Windows malware mayhem.

Не обновлення додатків, в тому числі третіх сторін, стала основною причиному, чому машини на Windows стають інфікованими шкідливим ПЗ. П’ять продуктів винні в 99,8% взломів комп’ютерів Інтернет-користувачів, як заявляє датська секюріті фірма CSIS.

Системи з вразливими версіями Java JRE, Adobe Reader і Acrobat та Adobe Flash найбільше знаходяться під ризиком атаки. До п’ятірки програмних продуктів, уразливості в яких найчастіше використовуються для атаки, увійшлі наступні програми: Java (37%), Adobe Reader/Acrobat (32%), Flash (16%) та Internet Explorer (10%).

В даній добірці уразливості в веб додатках:

• HP 3COM/H3C Intelligent Management Center tftpserver WRQ Remote Code Execution Vulnerability (деталі)
• Multiple XSS vulnerabilities in CosmoShop (деталі)
• HP 3COM/H3C Intelligent Management Center img Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in CosmoShop (деталі)
• HP 3COM/H3C Intelligent Management Center tftpserver DATA/ERROR Remote Code Execution Vulnerability (деталі)
• SAP NetWeaver Integration Directory - multiple XSS (деталі)
• HP Intelligent Management Center (IMC), Remote Execution of Arbitrary Code (деталі)
• SAP NetWeaver Runtime - multiple XSS (деталі)
• HP/Palm webOS, Execution of Arbitrary Code, Denial of Service (DoS), Unauthorized File System Write Access (деталі)
• SugarCRM list privilege restriction bypass (деталі)

13.01.2011

У жовтні, 25.10.2010, я знайшов HTTP Response Splitting, Cross-Site Scripting та Redirector уразливості на проекті http://www.ex.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.ex.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

07.10.2011

HTTP Response Splitting:

http://www.ex.ua/delete_object/1?back=http://1%0AHeader:1

XSS (через HTTP Response Splitting):

• alert(document.cookie)
• цікавий

Redirector (URL Redirector Abuse):

http://www.ex.ua/delete_object/1?back=http://websecurity.com.ua

Дані уразливості досі не виправлені. Що дуже типово для ламерів-адмінів цього сайта.

Через п’ять днів після реліза чотирнадцятої версії Chrome, фахівці компанії Google представили екстрене оновлення для браузера, обновивши додаток до версії 14.0.835.186.

Причиною оперативного випуску патча стала виявлена в коді Flash-плагіна критична zero-day-уразливість. Тобто діра, що допускає можливість захоплення зловмисниками повного контролю над комп’ютером користувача і для якої виробник програмного продукту - Adobe Systems - ще не встиг випустити відповідну заплатку.

• Google устранила критическую уязвимость в Chrome 14 (деталі)

В статті Безопасность расширений Opera - новые векторы атак через аддоны браузеров розповідається про безпеку розширень до браузерів, зокрема до Opera. Про вектори атак через доповнення до браузера.

В даній статті розглянуті наступні аспекти безпеки розширень Opera:

• Розширення зсередини.
• XSS.
• Потенційні цілі.
• Як передавати дані.
• Взаємодія розширень і безпека.
• Користувацькі скрипти в Opera.

Використання стандартних веб технологій (таких як HTML, CSS і JavaScript) для розробки доповнень, призводить до появи уразливостей в аддонах до браузерів, аналогічних тим, які ми зустрічаємо у веб додатах. Тому розробникам доповнень до браузерів (так само як і плагінів, таких як Flash та інші) слід краще слідкувати за безпекою власних програм.

В даній добірці уразливості в веб додатках:

• HP 3COM/H3C Intelligent Management Center tftpserver mode Remote Code Execution Vulnerability (деталі)
• Re: Cross-Site Scripting vulnerability in Nagios (деталі)
• HP 3COM/H3C Intelligent Management Center imcsyslogdm Remote Code Execution Vulnerability (деталі)
• Air Contacts Lite (iPhone / iPod App Denial Of Service) (деталі)
• HP 3COM/H3C Intelligent Management Center tftpserver opcode_table Remote Code Execution Vulnerability (деталі)
• Cross-Site Scripting vulnerability in Nagios (деталі)
• HP 3COM/H3C Intelligent Management Center dbman sprintf Remote Code Execution Vulnerability (деталі)
• SQL injection vulnerability in CosmoShop (деталі)
• VMware vCenter Server and vSphere Client security vulnerabilities (деталі)
• XSS vulnerability in CosmoShop (деталі)

10.01.2011

У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.bezpeka-service.com.ua - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.bezpeka-service.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.10.2011

Insufficient Anti-automation:

На сторінці контактів (http://www.bezpeka-service.com.ua/_kontakti_0_5_menu_0_2.html) немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://www.bezpeka-service.com.ua/_kontakti_0_5_menu_0_2.html
<script>alert(document.cookie)</script>В полях: ФИО, E-mail, Телефон, Тема письма, Текст.

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dolphin.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://burmistr.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://alyshta.net (хакерами з RKH) - 24.07.2011, зараз сайт вже виправлений адмінами
• http://rotaract.com.ua (хакерами з Tema Own3d Q8)
• http://www.cpc-ua.org (хакером XUGURX) - 29.09.2011, зараз сайт не працює

Продовжуючи розпочату традицію, після попереднього відео про іконкового ніндзя, пропоную нове відео на веб секюріті тематику. Цього разу відео про підбір паролей до MySQL. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit MYSQL Brute force

В даному відео ролику демонструється використання Metasploit Framework для проведення Brute Force атак на MySQL. Розглядається брутфорсінг функціонал Metasploit.

Після вказання файлів з переліком логінів і паролів проводиться атака по словнику. Рекомендую подивитися дане відео для розуміння векторів атак на СУБД, зокрема на MySQL.

В даній добірці уразливості в веб додатках:

• Sybase M-Business Anywhere agSoap.exe password Tag Remote Code Execution Vulnerability (деталі)
• Mutare Software EVM - CSRF and XSS Vulnerabilities (деталі)
• Sybase M-Business Anywhere Server agd.exe encodeUsername Remote Code Execution Vulnerability (деталі)
• InSite Troubleshooting Cross-Site Scripting (деталі)
• Sybase M-Business Anywhere agd.exe username Parameter Remote Code Execution Vulnerability (деталі)
• Kodak InSite Login Page Cross-Site Scripting (деталі)
• Security Notice for CA eHealth (деталі)
• Cross-Site Scripting vulnerabilities in Icinga (деталі)
• Oracle GlassFish Server Administration Console Authentication Bypass (деталі)
• RecordPress Multiple Vulnerabilities (деталі)