Websecurity - Веб безпека

Ще 11.07.2007 я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://map.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на meta.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення

IAA:

В контактній формі немає захисту від автоматизованих запитів (капчі). Атака відбувається через GET або POST запит:

http://map.meta.ua/post_bug.php?err_type=map&site=isMeta&err_descr=test

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у липні 2007 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

Торкнуся теми інформування про витоки інформації, що сталися внаслідок секюріті інцидентів, таких як взлом сайта, проникнення в СУБД, на комп’ютери в LAN, тощо. Зокрема це стосується різних компаній, що мають клієнтську базу і які мали б інформувати своїх клієнтів про такі випадки.

За звичай про витоки інформації (особливо клієнтської) компанії особливо не розголошують, ні публічно, ні клієнтів не інформують. Зокрема це стосується України, на заході такі випадки іноді мають місце, але вони нечисленні - набагато більше випадків приховуються, ніж стають публічними. В тому числі це стосується таких компаній як домен і хостер провайдери, приклади випадків з деякими з них я наведу далі.

Іноді компанії, зокрема ті ж хостери, повідомляють своїх клієнтів, що їм змінили паролі, але нічого більше не згадуючи. Або ж додаючи, що цю зміну вони зробили за для безпеки своїх користувачів - такі вони компанії, що дуже піклуються про безпеку власних користувачів (при цьому маючи численні дірки на власних сайтах).

Нещодавно я писав про новий закон Євросоюзу, що повинен буде змусити компанії в ЄС повідомляти про взлом протягом 24 годин. Як приймуть цей закон, то в країнах ЄС компаніям доведеться вже не приховувати інциденти (чи зовсів не сповіщати, чи “не уточнювати”, що саме сталося), а оперативно інформувати своїх клієнтів, при цьому чітко вказуючи, що мав місце саме взлом (чи інший витік інформації). А раз клієнтів проінформують, то і в ЗМІ ця інформація з’явиться. Колись ця практика дійде й до України.

В цій же новині я згадував про інцидент з DreamHost - цього хостера взломали і вони публічно сповістили про це своїх клієнтів. Яких у компанії багато - на хостінгу DreamHost розміщується близько 1,22 млн. доменів. Подібних кроків від провайдерів побачиш не часто. Приведу вам приклад з українських реалій.

Мені доводилося отримувати листи про зміну пароля на сайтах, якими я користуюся, адміни яких робили вигляд, що турбуються про безпеку, тому змінили пароль. Хоча при цьому мають дірявий сайт, бо на його безпеку вони забивають, і зміна пароля користувачам - це найлегший і безкоштовний спосіб “зробити вигляд”.

Наприклад, 30.10.2008 домен провайдер Imena.ua, послугами якого я користуюся для своїх сайтів ще з 2003 року, вислав сповіщення про зміну пароля в адмінку. Пояснювалося це турботою про безпеку. Жодних заяв про взломи чи витоки інформації не було, хоча це перше, що напрошується в якості причини. І якби це в них була така практика - щомісяця змінуювати паролі - то це було б зрозуміло, але це був перший випадок за 5 років і за наступні 3,5 років більше таких змін не було. Й таких “тихих” змін паролів, без жодних заяв про взломи, серед україньских компаній я гадаю відбується чимало.

Нещодавно, 31.01.2012, вийшов Mozilla Firefox 10. Нова версія браузера вийшла майже через півтора місяця після виходу Firefox 9.

Mozilla офіційно представила реліз веб-браузера Firefox 10.0. Реліз Firefox 11 очікується через 6 тижнів, у середині березня, а Firefox 12 вийде на початку травня. Крім того, також були випущені Firefox 3.6.26, Firefox 10 for Android, Seamonkey 2.7 і Thunderbird 10.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 10 усунуто 9 уразливостей. З яких 6 критичних уразливостей, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок, а також дві уразливості з високим ступенем небезпеки та одна з помірним.

• Релиз Firefox 10 и сопутствующих проектов Mozilla (деталі)

В даній добірці уразливості в веб додатках:

• Heap-based buffer overflow in libxml2, as used in Google Chrome before 16.0.912.75 (деталі)
• Redirection vulnerability in MBoard (деталі)
• Multiple XSS in GBook PHP guestbook (деталі)
• phpWebSite (userpage) Cross Site Scripting Vulnerabilities (деталі)
• dpconsulenze (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• Denial of service (out-of-bounds read) in libxml2, as used in Google Chrome before 16.0.912.63 (деталі)
• ECHO Creative Company (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• Muzedon (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• netplanet (dettaglio.asp?id) Remote SQL injection Vulnerability (деталі)
• Exploit EChat Server <= v2.5 20110812 - Remote Buffer Overflow Exploit (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uaan.gov.ua (хакерами з Ashiyane Digital Security Team) - 08.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.apb.mns.gov.ua (хакером k4L0ng666) - 22.10.2011 - взломаний державний сайт, на сайті все ще розміщений html файл хакера
• http://fish.com.ua (хакером isyanqar musqaral1)
• http://festival-shopping.com (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://www.holocaust-odessa.org (хакером Hmei7) - 12.10.2011, на сайті все ще розміщений файл хакера

Виявлене переповнення буфера в Suhoshin - секюріті розширенні PHP.

Уразливі версії: Suhoshin 0.9.

Переповнення буфера в коді прозорого шифрування кукі.

• Suhosin PHP Extension Transparent Cookie Encryption Stack Buffer Overflow (деталі)

В даній добірці уразливості в веб додатках:

• Multiple directory traversal vulnerabilities in OpenStack Nova (деталі)
• Chrome Web Solutions (details.php?cat_id) (listing_more.php?id) Remote SQL injection Vulnerability (деталі)
• Dow Group (dynamic.php?id) (sub.php?solutioncat_id) (news_desc.php?id) (product.php?id) Remote SQL injection Vulnerability (деталі)
• indiacon (selloffers.php?cid) Remote SQL injection Vulnerability (деталі)
• CobraScripts (selloffers.php?cid) Remote SQL injection Vulnerability (деталі)
• zFTPServer Suite 6.0.0.52 ‘rmdir’ Directory Traversal (деталі)
• Gopal Systems (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
• cgcraft llc (info.php?id) (news_item.php?id) Remote SQL injection Vulnerability (деталі)
• Vegetav (news_item.php?id) Remote SQL injection Vulnerability (деталі)
• Elgg 1.7.9 <= | Multiple Cross Site Scripting Vulnerabilities (деталі)