20.10.2011
Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку (1-20) та 21.
Ось нова добірка уразливих секюріті сайтів:
Всім секюріті фірмам та розробникам антивірусів слід приділяти більше уваги безпеці власних веб сайтів.
20.03.2012
Ще одна добірка уразливих секюріті сайтів:
ІБ компаніям і секюріті веб проектам варто більше слідкувати за безпекою власних сайтів.
Окрім раніше згаданих сервісів для перевірки DNS серверів, є ще подібний сервіс від Pingdom. Це DNS Health - онлайновий сервіс перевірки DNS, що перевіряє основні налаштування DNS.
За допомогою сервіса DNS Health можна перевірити стан DNS сервера вашого хостера. Зокрема ви можете перевірити наступні налаштування на довільному домені: Delegation, Nameserver, Consistency, SOA, Connectivity, DNSSEC.
Зазначу, що це один з небагатьох аналогічних сервісів, що проводить перевірку DNSSEC. Наприклад, DNSreport від DNSstuff цього не роботить, а DNS Report від viewdns.info цього не робить, але в них є окремий сервіс DNSSEC Test.
Як і більшість раніше згаданих сервісів перевірки DNS, даний онлайн інструмент є безкоштовним.
Минулого року 08.08.2011 та 19.12.2011, відбувся масовий взлом сайтів на сервері Pavlabor. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії Pavlabor. Взлом, що складався з двох взломів (великого та невеликого), відбувся після згаданого масового взлому сайтів на сервері Freehost.
Всього було взломано 93 сайти на сервері української компанії Pavlabor (IP 194.146.180.161). Це наступні сайти: www.pga-01pcg.pavlabor.net, www.dpgn.sumy.ua, www.amuson.sumy.ua, www.poeab-lpga-01s.pavlabor.net, www.jeliba.co.uk, www.bezpekopolis.sumy.ua, www.translation-into-russian-ukrainian.net.ua, www.ddd.sumy.ua, www.lpga-01pc.pavlabor.net, www.dolphin.com.ua, www.englishmaster.kiev.ua, www.dadonov.sumy.ua, www.cea.org.ua, www.ekonomik.com.ua, www.etc.sumy.ua, www.fotoklub.com.ua, www.vodobur.sumy.ua, www.lpa-01pcg.pavlabor.net, www.veterinar.sumy.ua, www.chameleon.sumy.ua, www.zitaio.sumy.ua, www.bilbow.com.ua, www.fotokonkurs.sumy.ua, www.bania.sumy.ua, www.vivat.tv, www.tarsa.ur-kraina.com.ua, www.sumaster.com.ua, www.sumdergrybohorona.gov.ua, www.termostroy.com.ua, www.volkswagen.sumy.ua, www.sollyplus.sumy.ua, www.ssh25.sumy.ua, www.shuzo.sumy.ua, www.scelf.sumy.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua, www.prokuratura.sumy.ua, www.private-design.com.ua, www.sbn.sumy.net.ua, www.b.sumy.net.ua, www.fresh.xnet.sumy.ua, www.xnet.sumy.ua, www.forum.xnet.sumy.ua, www.test.sumy.net.ua, www.fresh.sumy.net.ua, www.lpa.pavlabor.net, www.25.school.sumy.ua, www.2.school.sumy.ua, www.manikur.sumy.ua, www.sano.sumy.ua, www.perotex.com.ua, www.greenprint.com.ua, www.delphicapital.com.ua, www.city.sumy.ua, www.arizona.net.ua, www.182.146.194.in-addr.arpa, www.183.146.194.in-addr.arpa, www.180.146.194.in-addr.arpa, www.181.146.194.in-addr.arpa, www.poeb-lpga-01.pavlabor.net, www.poeab-lpga-02m.pavlabor.net, www.poe.pavlabor.net, www.lp.pavlabor.net, www.cmz-sumy.com, www.poeab-lpga-02s.pavlabor.net, www.joomla.ot4et.com.ua, www.poeab-lpga-01m.pavlabor.net, www.evroremont.sumy.ua, www.openit17.ot4et.com.ua, www.lp-compare.pavlabor.net, www.new.ot4et.com.ua, www.opencart.manikur.sumy.ua, www.pavlabor.net, www.europa-sumy.com, www.kolchuga-lp.pavlabor.net, www.groza.pavlabor.net, www.ot4et.com.ua, www.forum.pavlabor.net, www.evropa-sumy.com, www.openit.ot4et.com.ua, www.lpau.pavlabor.net, www.manuscript.net.ua, www.works.sumy.ua, www.kapro.sumy.ua, www.medbib.zt.ua, www.krasnodon.com.ua, gorod-sumy.com.ua, uebersetzung-ins-russische-ukrainische.net.ua, www.grace.com.ua, www.jeliba.com.ua, www.photokonkurs.sumy.ua, www.ur-kraina.com.ua. Серед них українські державні сайти www.sumdergrybohorona.gov.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua.
З зазначених 93 сайтів 92 сайти були взломані хакером DEATH_K1NG та 1 сайт хакерами з RHK.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремого взлому одного сайта). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
Виявлена можливість витоку інформації в nginx.
Уразливі версії: nginx 1.0.
Некоректна відповідь від сервера може приводити до витоку вмісту пам’яті.
В даній добірці уразливості в веб додатках:
01.02.2012
У січні, 17.01.2012, під час аудиту сайта свого клієнта, я знайшов численні уразливості в системі Enterprise Java Beans Certificate Authority (EJBCA), зокрема Cross-Site Scripting, Brute Force та Abuse of Functionality. EJBCA - це PKI сервер. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.
10.03.2012
XSS:
http://site/ejbca/publicweb/webdist/certdist?cmd=revoked&issuer=%3Cscript%3Ealert(document.cookie)%3C/script%3E&serno=1Brute Force:
http://site/ejbca/enrol/browser.jsp
http://site/ejbca/enrol/server.jsp
http://site/ejbca/enrol/keystore.jsp
http://site/ejbca/enrol/cvcert.jsp
Abuse of Functionality:
У вищезгаданих чотирьох фунціоналах можливий підбор логінів. В даних формах виводяться різні повідомлення при коректному і некоректному логіні, що дозволяє виявити логіни користувачів.
Уразливі EJBCA 4.0.7 та попередні версії. Розробники виправили дану XSS уразливість в новій версії EJBCA 4.0.8, що вийшла 09.02.2012, але при цьому вони не стали виправляти BF і AoF уразливості, вважаючи, що вони низького ризику. Але я порадив їм виправити їх також.
За повідомленням www.xakep.ru, у Sony вкрали файлів на 253 мільйона доларів.
Черговий взлом корпоративної мережі компанії Sony. Цього разу облікові записи користувачів залишилися в недоторканності, зате загублена коштовна власність - зловмисникам удалося одержати нелегальний доступ і скопіювати більш 50000 музичних записів, у тому числі дуже коштовні і рідкі записи Майкла Джексона. Власне, ці записи і являють собою головну цінність. Загальна вартість украдених файлів оцінюється приблизно в $253 млн.
За наявною інформацією крадіжка файлів відбулася незабаром після відомого взлому корпоративної мережі Sony PlayStation Network у квітні минулого року. Нагадаю, що торік відбулося два гучних інциденти пов’язаних з даною корпораціює: Anonymous взломали Sony PlayStation Network, а Lulz Security взломали сайт Sony Pictures.
За повідомленням bugtraq.ru, анонімний тінейджер з російським студентом вибралися з гуглівської пісочниці.
На початку березня Google Chrome був взломаний на конкурсах Pwnium і Pwn2Own. Два рази в рамках Pwnium і один раз в рамках Pwn2Own. Що наочно демонструє дірявість даного браузера.
Цього року Google вирішила не спонсувати черговий конкурс Pwn2Own, виявивши, що правила дозволяють учасникам ховати від виробників виявлені уразливості. Замість цього був оголошений паралельний конкурс Pwnium.
Перші $60000 узяв російський студент Сергій Глазунов - як я і передбачав після оголошення конкрусу Pwnium - дві уразливості якого дозволили обійти пісочницю Chrome, в якості демонстрації запустивши калькулятор на цільовій машині. Аналогічних результатів у рамках Pwn2Own домоглася команда VUPEN, що відмовилася відкрити використані уразливості. Команда VUPEN і стала переможцем на Pwn2Own. І незадовго до закінчення конкурсу деякий тінейджер, під псевдонімом Pinkie Pie, представив свій комплект із трьох уразливостей, що також дозволили вибратися з хромовської пісочниці і виконати довільний код.
За повідомленням www.xakep.ru, чи потрібний HTTPS як стандарт для всіх сайтів.
Повсюдне поширення безкоштовного Wi-Fi дозволило зловмисникам красти ідентифікаційні дані прямо під час використання бездротових мереж. Для вирішення цього питання вимагаються серйозні зміни прийнятих веб-стандартів, вважає Джефф Атвуд, автор популярного блога Coding Horror.
Більшість відомих сайтів вирішують цю проблему чи за рахунок зашифрованого HTTPS-трафіка для всіх залогінених користувачів, чи надаючи його як опцію. Наприклад, Twitter перейшов на HTTPS за замовчуванням деякий час тому, а Gmail зробив це ще в січні 2010 року.
Зазначу, що не всі сайти потребують SSL для доступу до них (наприклад, сайти, що не мають акаунтів користувачів), тому немає потреби всім сайтам використовувати HTTPS. А ось тим сайтам, які мають в цьому потребу, їм варто звернути на це увагу.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Серед різних партнерських програм (партнерок), що існують в Інтернеті, окрім легальних існують також нелегальні. Це партнерки, що платять за розміщення шкідливого коду.
Вперше я дізнався про таку партнерку ще в 2005 році з новин. Власники партнерки платили адмінам сайтів за розміщення iframe з шкідливим кодом і зараження відвідувачів їхніх сайтів. І з тих пір в онлайн ЗМІ періодично з’являються повідомлення про виявлення нових подібних “шкідливих партнерок”.
Як я зазначав торік в своїй доповіді Системи виявлення інфікованих веб сайтів на конференції UISG та ISACA Kiev Chapter #6, розміщення вірусів адмінами на своїх сайтах, через участь у таких партнерках, є одним з методів поширення шкідливого ПЗ в Інтернеті. Але цей метод менш поширений, порівняно зі створенням вірусних сайтів, на які заманюються відвідувачі через спам (емайл спам, спам на різних сайтах і форумах та використання black SEO методів), та порівняно зі взломом легітимних сайтів і розміщенням вірусів на них.
Тим не менш подібні партнерки існують й увесь час з’являються нові. Прикладом такої партнерки є сайт iframepay.com, що я виявив у лютому під час своїх секюріті досліджень.
Можете ознаймотися з інформацією від Safe Browsing для iframepay.com. За інформацією Google цей сайт зараз є інфікованим і він інфікував 891 сайт (це та кількість учасників цієї партнерки, що була виявлена Гуглом).
Зазначу, що один з інфікований сайтів market-ua.org.ua, про який я писав раніше, був інфікований саме через розміщення коду з цієї партнерської програми. Явно адмін цього сайта свідомо розмістив код iframepay.com, щоб заробити грошей на цій партнерці (знаючи або не знаючи про поширення вірусів через неї).
Домен iframepay.com редиректить на www.web-rom.ru. Схоже, що цей домен належить даному рекламному агентству і саме www.web-rom.ru є головним доменом партнерки. Причому на офіційному сайті партнерки не зазначається про “вірусну спрямованість”, на відміну від тих вірусних партнерок, які про це заявляють публічно. Тому можна стверджувати про наявність двох типів шкідливих партнерок: публічні й непублічні. Й до другого типу може належати будь-яка партнерська програма, власники якої почали розміщувати віруси, або чий сайт був взломаний (тому що будь-яку банерну систему можуть взломати і розмістити через неї шкідливий код).
Ця партнерка працює вже декілька років (з 2008), Не виключено, що вони починали як звичайна партнерка по розміщеню реклами, а з часом почали підсовувати і віруси. Тим самим підставляючи всіх учасників своєї системи, що розмістили її код на своїх сайтах. Які через це опиняються серед числа інфікованих сайтів в serp Гугла та Яндекса й блокуються в цих пошукових системах.
У лютому, 23.02.2012, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://tools.pingdom.com. Про що найближчим часом сповіщу адміністрацію сайта.
Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.
Abuse of Functionality:
http://tools.pingdom.com/fpt/#!/http://google.com
http://tools.pingdom.com/ping/?target=http://google.com&o=2
Дані функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до першого функціоналу призведе до багатьох запитів до цільового сайта (тому що завантажується сторінка веб сайта і всі ресурси з цієї сторінки), а до другого функціоналу - до п’яти запитів до цільового сервера.
Insufficient Anti-automation:
В даних функціоналах немає захисту від автоматизованих запитів (капчі).
* 
You are currently browsing the archives for Березень, 2012.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.