Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 05.12.2011. Зараз сайт входить до переліку підозрілих.
• http://vitada.org.ua - інфекція була виявлена 15.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://ourwork.vn.ua - інфекція була виявлена 09.2011. Зараз сайт входить до переліку підозрілих.
• http://ayax-print.com.ua - інфекція була виявлена 27.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://my-tv.com.ua - інфекція була виявлена 11.11.2011. Зараз сайт не входить до переліку підозрілих.

Після публікації описів уразливостей в мережевих пристроях D-Link, а раніше цього року я оприлюднив численні уразливості в ADSL роутері Iskra Callisto 821+, я надам вам ще одну інформацію, що стосується мережевих пристроїв - про зараження трояном роутера. Причому як раз D-Link DSL-500T, про дірки в якому я писав.

В статті Троян в роутере: заражение D-link 500T в домашних условиях розповідається про зараження трояном роутера DSL-500T від D-Link. Враховуючи численні уразливості в пристрої, атакувати його для заміни прошивки на “протроянену” цілком можливо.

В даній статті розглянуті наступні аспекти зараження трояном роутера:

• Збір інформації.
• Установка засобів розробки і компіляція прошивки.
• Створення своєї програми.
• Модифікація файлової системи.
• Запис образа файлової системи.
• Способи відновлення у випадку невдачі.
• Деякі ідеї поширення.
• Захист роутера.

Можливість зараження троянами мережевих пристроїв, в тому числі D-Link, є доволі небезпечною. Тому що антивіруси на комп’ютерах не зможуть виявити віруси на тих же роутерах, тому вцілому такі віруси буде набаго важче виявити. А з врахуванням уразливостей в мережевих пристроях, таких як логіни і паролі по замовчуванню, віруси, що потраплять на комп’ютери, можуть автоматизовано проводити інфікування всіх вразливих мережевих пристоїв в LAN.

В даній добірці уразливості в веб додатках:

• SAP NetWeaver SPML - XML CSRF user creation (деталі)
• Cross-site scripting (XSS) vulnerability in Webmin (деталі)
• redmine security update (деталі)
• SAP NetWeaver - Authentication bypass (Verb Tampering) (деталі)
• movabletype-opensource security update (деталі)
• myBloggie 2.1.6 SQL-Injection, Advanced INSERT INTO Injection technique (деталі)
• Javascript Injection in Microsoft Lync 4.0.7577.0 (деталі)
• JFreeChart - Path Disclosure vulnerability (деталі)
• EQDKP plus Cross Site Scripting and Bypass file extension (деталі)
• moodle security update (деталі)

Існує такий сервіс як AOS. AhnLab Online Security (AOS) - це повнофункціональне й економічно ефективне рішення для захисту віддалених банківських операцій. AOS являє собою браузер, що запускається автоматично, як тільки користувач підключається до системи інтернет-банкінга, і проводить ряд превентивних мір, таких як запобігання перехоплення паролів доступу і паролів підтвердження платежу, захист від підміни платіжних реквізитів, блокування вірусів та іншої хакерскої активності.

Таким чином, ця система здатна протистояти таким хакерським інструментам як ZUES - найбільш небезпечним, на сьогодні, шкідливим комплексам стосовно онлайн-транзакцій.

І з грудня 2010 року розробник AOS співпрацює з компанією Інком, про уразливий сайт якої я вже писав.

AhnLab Inc, постачальник інтегрованих рішень по забезпеченню інформаційної безпеки, оголосив про початок партнерських взаємин із системним інтегратором “Інком”. Головною задачею співробітництва є забезпечення українських компаній можливостями пропонувати своїм клієнтам безпечні сервіси інтернет-банкінга.

• AOS - сервис для безопасности интернет-банкинга (деталі)

Продовжуючи розпочату традицію, після попереднього відео про обхід аутентифікації через SQL Injection, пропоную нове відео на веб секюріті тематику. Цього разу відео про 50 шляхів для ін’єкції SQL. Рекомендую подивитися всім хто цікавиться цією темою.

50 Ways to Inject Your SQL

В даному відео ролику розповідається про SQL Injection уразливості. Це музичне відео (такий собі музичний кліп), в якому йдеться про 50 шляхів якими можна провести ін’єкцію SQL коду у веб додатках. І звертається увага веб розробників, що потрібно слідувати за даними, які передаються в SQL запиті .

У відео також показані приклади SQL Injection на різних сайтах. Рекомендую подивитися дане відео для розуміння векторів атак через SQL Injection.

19.10.2011

У липні, 11.07.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://incom.ua - сайті секюріті компанії Інком. Про що вже попередньо повідомляв представникам компанії (але вони забили на ці дірки) і найближчим часом детально сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Що цікаво, деякий час тому Інком завершив PCI DSS аудит сайта Альфа-Банка. При тому, що я ще торік знайшов численні дірки на www.alfabank.com.ua, про які неодноразово повідомляв представникам банка, але ні в минулому році, ні в цьому, вони так і не спромоглися виправити жодної дірки. Зате знайшли кошти на PCI DSS аудит . Зазначу, що навіть якщо вони виправлять дірки (виявлені в рамках PCI DSS аудиту) в своєму онлайн-банкінгу, все рівно залишиться можливість атак через головний домен, на якому багато уразливостей.

10.12.2011

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://incom.ua/administrator/

Дані уразливості досі не виправлені. Використавши Джумлу дирумлу на своєму сайті й при цьому не виправивши дірок в ній, Інком отримав чимало дірок (ці та інші уразливості). І встановлення WAF не виправило ситуації повністю, так як його, при бажанні, можна обійти, що я показав на прикладі цих двох дірок.

У листопаді, 17.11.2011, я виявив численні уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router). Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це другий advisory з серії записів про уразливості в продуктах D-Link. Попередній був про уразливості в D-Link DSL-500T ADSL Router.

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Predictable Resource Location:

http://192.168.0.50

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів та інших мережевих пристроїв, але D-Link в нових своїх пристроях почав змінювати цю ситуацію.

Для захисту від проблем з дефолтним паролем, D-Link зробили в адмінці наступне: при першому заході в адмінку обов’язково потрібно змінити пароль. Тобто перед тим як почати змінювати налаштування, потрібно буде змінити пароль по замовчуванню. І подібний підхід потрібно використовувати всім виробникам мережевих пристроїв. Але Windows-додаток для конфігурування пристрою, що постачається на CD, не змінює пароля, лише змінює інші налаштування точки доступа. Таким чином можна налаштувати пристрій, при цьому залишивши дефолтний пароль, що залишить пристрій вразливим до атак.

Brute Force:

В формі логіна http://192.168.0.50 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF уразливості в панелі керування, про які я розповім згодом.

За повідомленням www.xakep.ru, Imperva прогнозує тенденції в сфері кібер-безпеки на 2012 рік.

Іmperva анонсувала свої прогнози з приводу тенденцій у сфері кібер-безпеки на 2012 рік. Це аналітичне дослідження покликане допомогти компаніям захистити себе від загрози з боку хакерів та інсайдерів.

У дев’ятку ведучих трендів кібер-безпеки на 2012 рік увійшли:

• SSL виявиться під перехресним вогнем.
• HTML 5 виходить у світ.
• DDoS-атаки продовжать удосконалюватися.
• Спільна робота і його “злий двійник”.
• NoSQL = немає безпеки?
• Зірвано покрив з консумерізації IT.
• Анти-соціальні ЗМІ.
• Збільшення кількості “людей-посередників”.
• “Безпека” перемагає “відповідність”.

За повідомленням www.xakep.ru, у Конго задефейсили Google, Gmail, Youtube, Yahoo, Apple.

Хакер з ніком AlpHaNiX задефейсив домени Google, Gmail, Youtube, Yahoo, Apple і т.д. у Конго. Він використовував тактику отруєння кеша DNS. На початку року в статті Атака через захоплення домену я вже розповідав про такі атаки.

Список взломаних сайтів: http://apple.cd, http://yahoo.cd, http://gmail.cd, http://google.cd, http://youtube.cd, http://linux.cd, http://samsung.cd, http://hotmail.cd, http://microsoft.cd.

За повідомленням www.xakep.ru, Veracode: 80% додатків не є безпечними.

80% додатків як і раніше не є досить безпечними, і помилки в коді можуть зробити біля половини всіх додатків для Android небезпечними, відповідно до останньої доповіді компанії Veracode.

Четверта доповідь State of Software Security Report охопив близько 10 000 додатків - що в два рази більше, ніж у попередньому звіті - і в ньому були застосовані більш строгі критерії аналізу. Близько 8 з 10 додатків не відповідають прийнятим стандартам, відповідно до доповіді, що констатував наявність міжсайтового скриптінга в 68% усіх веб-додатків і SQL Injection уразливості в третині з них.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://mkt.od.ua (хакером FeeLCoMz) - 30.09.2011

Файли, що використовуються для RFI атак:

http://mkt.od.ua/e107_files/downloads/fx29id1.txt - файл все ще розміщений на сайті.

В даній добірці уразливості в веб додатках:

• SAP NetWeaver J2EE MeSync – information disclose (деталі)
• vBulletin - Multiple Open Redirects (деталі)
• subversion security update (деталі)
• SAP NetWaver Virus Scan Interface - multiple XSS (деталі)
• PopScript Multiple Vulnerabilities (деталі)
• rails security update (деталі)
• Squiz Matrix - Cross-Site Scripting Vulnerability (деталі)
• SAP NetWeaver TH_GREP module - Code injection vulnerability (NEW) (деталі)
• Multiple Cross-Site Scripting vulnerabilities in BLOG:CMS (деталі)
• fex security update (деталі)