Websecurity - Веб безпека

24.03.2012

У березні, 09.03.2012, я знайшов Brute Force, Insufficient Anti-automation та Abuse of Functionality уразливості на сайті http://palatka.net.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на a1market.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

22.08.2012

BF (в формі логіна для користувачів):

http://palatka.net.ua

BF (в формі логіна в адмінку):

http://palatka.net.ua/admin.php

IAA:

http://palatka.net.ua/vojjti.shtml

http://palatka.net.ua/ostavit-otzyv.shtml

На даних сторінках немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://palatka.net.ua/vojjti.shtml

Через даний функціонал можна виявляти логіни.

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vinrada.gov.ua (хакером shmook) - 29.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sevpfu.gov.ua (хакером shmook) - 31.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gaysin-rda.gov.ua (хакерами з Turkish Energy Team) - 05.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivinas.gov.ua (хакерами з Turkish Energy Team) - 08.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.udai.gov.ua (хакером TURK KURSUNU) - 02.08.2012 - похаканий державний сайт, зараз сайт не працює (тимчасово закритий)

Продовжуючи розпочату традицію, після попереднього відео про ClickJacking веб камери, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід httpOnly в Firefox і Java. Рекомендую подивитися всім хто цікавиться цією темою.

Bypass httpOnly in Firefox 8.0.1 and Java plugin 7ux

Існує такий захист кукісів як httpOnly. В ролику демонструється обхід httpOnly в Firefox. Для атаки використовується функція Packages браузера Firefox (підтримується починаючи з Firefox 3.6) та Java плагін (вразлива версія Java 7u1).

Атака відбувається під час виконання JS коду в браузері (тобто під час проведення XSS атаки на користувача). Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці уразливості в веб додатках:

• HP SNMP Agents for Linux, Remote Cross Site Scripting (XSS), URL Redirection (деталі)
• Phonalisa v5.0 VoiP - Multiple Web Vulnerabilities (деталі)
• Puppet vulnerabilities (деталі)
• Multiple CSRF Vulnerabilities in GLPI Version 0.83.2 (деталі)
• Cross site scripting vulnerability found in GLPI 0.83.2 (деталі)
• HP System Health Application and Command Line Utilities for Linux, Remote Execution of Arbitrary Code (деталі)
• mono security update (деталі)
• extplorer security update (деталі)
• PHP Jobsite v1.36 - Cross Site Scripting Vulnerabilities (деталі)
• Reserve Logic v1.2 Booking CMS - Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Predict, Generic Plugin та Resume Submissions / Job Postings. Для котрих з’явилися експлоіти. WP-Predict - це плагін для створення опитувань, Generic Plugin Shell Upload - це експлоіт для різних вразливих плагінів WP, що дозволяють завантажувати php-файли (зокрема плагіни з uploadify), Resume Submissions / Job Postings - це плагін для розміщення резюме та вакансій.

• WordPress WP-Predict 1.0 Blind SQL Injection (деталі)
• WordPress Generic Plugin Shell Upload (деталі)
• WordPress Resume Submissions / Job Postings 2.5.1 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

14.07.2012

Виявлені численні уразливості безпеки в Python.

Уразливі версії: Python 2.7.

DoS, міжсайтовий скриптінг, витік інформації.

• Vulnerabilities in Python (деталі)

21.08.2012

Додаткова інформація.

• Vulnerabilities in python-pycrypto (деталі)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, електронних торгівельних систем та банків (України та США):

• shop.cafepress.com
• plimus.com
• palatka.net.ua
• fotos.ua
• forum.ua
• kredobank.com.ua
• energobank.com.ua
• peb.com.ua
• jsbni.kiev.ua
• www.my-comfort.com.ua

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• scan-tools.net
• alpha-ug.com.ua
• scuba-d.com.ua
• whatisit.com.ua
• beltguys.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• drummer.in.ua
• my-tv.com.ua
• yaposhka.kh.ua
• footclub.pp.ua
• fashionpeople.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

В даній добірці експлоіти в веб додатках:

• proftpd multiple exploit for VU#912279 (деталі)
• GNOME Nautilus code execution PoC (деталі)
• Mod_proxy from apache 1.3 Integer overflow PoC (деталі)
• Microsoft Internet Explorer outerHTML exploit (деталі)
• Apache mod_dav / svn Remote Denial of Service Exploit (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://minjust.gov.ua - інфікований державний сайт - інфекція була виявлена 30.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://dvs.gov.ua - інфікований державний сайт - інфекція була виявлена 30.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://ozero-svityaz.com.ua - інфекція була виявлена 26.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://companion.ua - інфекція була виявлена 05.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://stroitel.dp.ua - інфекція була виявлена 17.07.2012. Зараз сайт не входить до переліку підозрілих.

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Переповнення в _php_stream_scandir, обхід open_basedir у функціоналі SQLite.

• Vulnerabilities in PHP (деталі)