Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Mozilla Foundation Security Advisory 2012-11 (libpng integer overflow) (деталі)
• Family Connections 2.7.2 Multiple XSS (деталі)
• XSS in OneOrZero AIMS (деталі)
• appRain CMF <= 0.1.5 (uploadify.php) Unrestricted File Upload Vulnerability (деталі)
• Webcalendar 1.2.4 ‘location’ XSS (деталі)
• Apache MyFaces information disclosure vulnerability (деталі)
• eFront Community++ v3.6.10 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - File Include Vulnerabilities (деталі)
• OnxShop CMS v1.5.0 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - SQL Injection Vulnerabilities (деталі)

В лютому була виявлена та оприлюднена у березні SQL Injection уразливість (обмежена до Information Leakage) в WordPress. А також цікава можливість виявлення кількості користувачів на сайті (через той же вразливий функціонал). Вони були знайдені HauntIT.

Раніше я вже писав про DoS уразливість в WordPress.

SQL Injection (Information Leakage):

Дана уразливість в profile.php в параметрі user_id дозволяє зареєстрованому користувачу з правами Subscriber та вище провести SQL Injection атаку. Вона обмежена лише можливістю отримати імена користувачів в системі, тобто це Information Leakage.

• WordPress 3.3.1 Post-Auth SQL Injection (деталі)
• WordPress 3.3.1 User Count Enumeration (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

Продовжуючи розпочату традицію, після попереднього відео про атаку через ActiveX в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про Address Bar Spoofing в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Google Chrome Location Bar Spoofing

В ролику демонструється Address Bar Spoofing уразливість в браузері Google Chrome. Дана уразливість дозволяє підробити URL в адресному рядку браузера (що може бути використано для проведення фішинг атак). Спочатку в адресному рядку відображається одна адреса, а потім у вікні завантажується інший сайт (при збереженні адреси попереднього сайта).

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявленні численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 7, JRE 7.

19 різних уразливостіей, у тому числі з можливістю доступу до файлів і виконання коду.

• Security vulnerabilities in Java SE (деталі)

В даній добірці уразливості в веб додатках:

• Integer overflow in libpng, as used in Google Chrome before 17.0.963.56 (деталі)
• PHP code Injection in Kayako Support Suite (деталі)
• Information disclosure in Kayako Support Suite (деталі)
• Cross-Site Scripting in Kayako Support Suite (деталі)
• openttd security update (деталі)
• Integer signedness error in libpng, as used in Google Chrome before 17.0.963.83 and other products (деталі)
• ATutor 2.0.3 Multiple XSS vulnerabilities (деталі)
• BoltWire 3.4.16 Multiple XSS vulnerabilities (деталі)
• phpVideoPro Multiple XSS vulnerabilities (деталі)
• Beehive Forum 101 Multiple XSS vulnerabilities (деталі)

В WordPress 2.9, що вийшла 19.12.2009, як було заявлено розробниками системи, зокрема була виправлена Abuse of Functionality уразливість в WordPress. Що могла привести до DoS, а в деяких випадках до повного захоплення сайта (при наявності інсталятора на сайті). Розробники WP заявили, що вони зробили автоматичне виправлення таблиць в БД.

Але 24.03.2012 я знайшов Denial of Service уразливість в даному секюріті функціоналі движка, а потім також перевірив, що виправлення таблиць в БД не є автоматичним. Тільки адмін сайта, коли виявить, що його сайт не працює, понен сам вручну запустити виправлення таблиць (і щоб не використовувати інші програми, до WP був доданий зручний скрипт). Тобто AoF уразливість, про яку я писав в травні 2009, так виправлена не була. І все ще можливе проведення атак через неї.

В WP 2.9 і вище, скрипт repair.php - це захист проти моєї атаки на WP через атаку на MySQL. Який сам має DoS уразливість.

Раніше я вже писав про XSS та FPD уразливості в WordPress.

DoS:

Постійно відправляючи запити до скрипта http://site/wp-admin/maint/repair.php (функції “Repair Database” та “Repair and Optimize Database”) можна створити велике навантаження на сайт (і увесь сервер). І чим більше даних в БД сайта, тим більше навантаження від кожного запиту.

http://site/wp-admin/maint/repair.php?repair=1&_wpnonce=a4ca36d5ff
http://site/wp-admin/maint/repair.php?repair=2&_wpnonce=a4ca36d5ff

Атака спрацює лише при увімкненому WP_ALLOW_REPAIR в wp-config.php. Захист від CSRF (токенами) обходиться тим, що для використання цього функціоналу не потрібна авторизація. Тому можна віддалено отримати _wpnonce та провести DoS атаку.

Якщо до раніше згаданої AoF вразливі всі версії WordPress, то до DoS вразливі версії 2.9 - 3.3.1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uecr.gov.ua (хакером Over-X) - 16.01.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kostopil-rada.gov.ua (хакером SouTHRaNDA) - 11.02.2012 - похаканий державний сайт, адмінка сайта все ще дефейснута
• http://invtur.com.ua (хакерами з S.V Crew) - 03.2012, зараз сайт вже виправлений адмінами
• http://сходница.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт не працює (на цьому домені)
• http://dspdesign.rv.ua (хакером Edo) - 08.04.2012

20.12.2011

У листопаді, 25.11.2011, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті https://www.allmoney.com.ua (іших дірок там також вистачає). Про що найближчим часом сповіщу адміністрацію сайта.

ALLmoney - це електронна платіжна система. При цьому з численними уразливостями на сайті. Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на easypay.ua.

Раніше на цьому домені знаходився дірявий сайт обмінника www.allmoney.com.ua, про одну зі знайдених мною уразливостей в якому я вже писав. В 2009 році вони продали домен і купили для свого обмінника новий домен. А нові власники allmoney.com.ua з часом запустили на ньому свою ЕПС, при цьому продовживши старі “діряві традиції”.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.04.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

IAA:

В даній формі немає захисту від автоматизованих запитів (капчі).

https://www.allmoney.com.ua/reg/recover.php

Дані уразливості досі не виправлені. Що дуже несерйозно для електронної платіжної системи.

В лютому були виявлені та оприлюднені у березні Cross-Site Scripting та Full path disclosure уразливості в WordPress. Вони були знайдені HauntIT.

Раніше я вже писав про Persistent XSS уразливість в WordPress.

XSS (persistent):

Дана уразливість в post.php дозволяє зареєстрованому користувачу з правами Editor та вище провести Persistent XSS атаку. XSS код можна розмістити в полі content і він виконається на індексній сторінці та сторінці запису. Якщо для адміна підтримка всіх тегів - це звичайна практика і стандартний функціонал, то для Editor контент повинен бути обмежений. І вбудовані анти-XSS фільтри обмежують деякі вектори атак для менших ролей в системі, але не всі вектори й фільтри можуть бути обійдені.

FPD:

http://site/wp-admin/media-upload.php?type=image&tab=’&post_id=1

Одна з багатьох FPD в адмінці (про багато інших в попередніх версіях WP я писав раніше) - це уразливість в media-upload.php.

• WordPress 3.3.1 Post-Auth Cross Site Scripting (деталі)
• WordPress 3.3.1 Post-Auth Information Disclosure (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

В своїх звітах про Інфіковані хостери в 1 півріччі 2011 року та Інфіковані хостери в 2 півріччі 2011 року я розповів, що в Уанеті було 129 інфікованих сайтів в першому півріччі та 104 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2011 році було інфіковано 233 сайти (виявлених мною). Всього було 80 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так і другому півріччі минулого року (18 провайдерів), а деякі робили це і 2010 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AGORA, AIKOTECH, ALBAINTERNET, ALGATA, ALKAR, ANSUA, APEXNCC, AZAR, Adamant, BGNET, Besthosting, Bluehost, CTISYSTEMS, CaroNet, Colocall, Compubyte Limited, DATASVIT, DORIS, Datagroup, Delta-X, Dprc, Dream Line, FAUST, Freehost, GARANT, HBUA, HOSTING, Hetzner, HostPark, HostPro, Hvosting, INLINE, ITLAS, Infocom, InformService, Interframe, KMU, LUCKYLINE, LeaseWeb, MACHOSTER Internet Hosting Provider, MHost, MNS, Masterhost, MiroHost, NAVIGATOR, NET, NTUU, Network Operations Center, OVERSUN, Operator of Virtual Data Computing, PAVLABOR, Pavlabor, ProstoHosting, QL, RENOME, ROOT, RTCOMM, SEVENUP, SMARTYMEDIA, STEADFAST, Service Online, Taras Shevchenko University of Kyiv, The Planet, UAIPT, UARNet, UKRINDEX, Ukrainian Internet Names Center, Uteam, VEGA, VOLZ, Volia, Webalta, Wnet, hostia28, inferno.name, Візор, Мета, Укртелеком, Яндекс.

Найбільші інфіковані хостери (TOP-10):

1. Compubyte Limited - 18 сайтів
2. Freehost - 15 сайтів
3. HostPro - 13 сайтів
4. Colocall - 11 сайтів
5. Datagroup - 10 сайтів
6. Webalta - 10 сайтів
7. Укртелеком - 9 сайтів
8. MiroHost - 9 сайтів
9. Volia - 8 сайтів
10. UARNet - 7 сайтів

Всього було виявлено хостінги 217 сайтів з 233. У випадку інших 16 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).