Наближається 2013 рік і я поздоровляю вас з Новим Роком!
Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам 
.
Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.
І для гарного святкового настрою можете послухати композицію Delight (Mix) з мого нового альбому.
Виявлені численні уразливості безпеки в браузерах Maxthon і Avant.
Уразливі продукти: Maxthon, Avant Browser.
Міжсайтовий скриптінг, витік інформації, виконання коду.
В даній добірці експлоіти в веб додатках:
12.07.2012
Сьогодні я знайшов Cross-Site Scripting уразливості на http://portal.rada.gov.ua - сайті Верховної Ради України. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже неодноразово писав про дірки на сайті Парламенту. В останнє - коли писав про уразливості на kmu.gov.ua, rada.gov.ua та president.gov.ua, а також я неодноразово писав про дірки та взломи на різних піддоменах rada.gov.ua.
Детальна інформація про уразливості з’явиться пізніше.
31.12.2012
XSS:
Дані уразливості досі не виправлені.
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Facebook Survey, FireStorm Real Estate та Madebymilk. Для котрих з’явилися експлоіти. Facebook Survey - це плагін для проведення опитування на FB, FireStorm Real Estate - це плагін для розміщення списків нерухомості, Madebymilk - це тема движка.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
За повідомленням www.xakep.ru, чорний ринок вкрадених паролів.
У процесі роботи ботнетів і банківських троянів відбувається збір великої кількості паролів. Звичайно зловмисникам цікаві тільки облікові дані від фінансових сервісів, таких як онлайн-банкінг. Що ж робити з іншою інформацією, не пропадати ж їй.
Виявляється, на паролі до інтернет-магазинів, соціальних мереж та інших сайтів теж існує попит. А деякі хакери викладають паролі в публічний доступ.
За повідомленням www.opennet.ru, виявлено шкідливе ПЗ для Linux-серверів, оформлене у формі модуля до http-сервера Apache.
Антивірусна компанія ESET повідомила про виявлення нового шкідливого ПЗ Linux/Chapro.A, використовуваного зловмисниками для організації атак на відвідувачів сайтів, розміщених на взломаних Linux-серверах. Особливістю Linux/Chapro.A є те, що шкідливий код оформлений у вигляді модуля для веб-сервера Apache, що здійснює підстановку iframe- чи JavaScript-блоків, що експлуатують браузери, у трафік сайтів на сервері.
Про руткіт для Nginx та шкідливі модулі Apache я вже писав. Дана тема стає все більш актуальною.
За повідомленням www.xakep.ru, троян Upclicker ховається за кліком мишки.
Автори шкідливих програм використовують різні способи ховатися від віртуальних машин, де їхню функціональність намагаються досліджувати фахівці антивірусних компаній. Вони перевіряють наявність процесів з визначеними назвами, визначені значення реєстру, порти та інше.
Експерти компанії FireEye знайшли троян Upclicker, що демонструє новий трюк: він відслідковує активність миші і починає роботу тільки після того, як користувач натисне і відпустить ліву кнопку миші. Таким чином, у звичайній віртуальній машині троян не покаже ніякої активності, тому що там вся активність зазвичай автоматизована і ніхто не працює з мишею.
Даний метод також може використовуватися для обходу веб антивірусів, бо деякі з них використовують віртуальні машини. Про різні методи обходу веб антивірусів я писав в своїх статтях.
Виявлена можливість проведення DoS атаки проти Microsoft Exchange.
Уразливі версії: Microsoft Exchange 2007, Exchange 2010.
Некоректна обробка RSS-підписок.
Продовжуючи тему технологій захисту від XSS атак, після статті про HttpOnly, розповім про іншу технологію захисту від XSS атак. Яку я розробив ще у лютому 2008 року. Цей метод використовує JavaScript для того щоб протидіяти XSS атакам.
Суть методу полягає в перевизначенні деяких методів DOM. Зокрема методу cookie класу document. Для цього потрібно вказати наступний JavaScript код:
HTMLDocument.prototype.__defineGetter__("cookie",function(){return null;});Подібно до раніше описаного методу захисту з використанням HttpOnly, це вбереже від класичних атак на викрадення кукіса. Але це не вбереже від інших атак через XSS уразливості. Бо XSS атаки не обмежуються лише викраденням кукісів, про що я наголошував неодноразово.
Даний метод я побачив в IPB на початку 2008 року, коли досліджував виявлену мною Persistent XSS в IPB. В 2.х версіях движка цей алгоритм використовувся в якості XSS-фільтру, тому в браузерах Mozilla і Firefox не можна було дістатися кукісів.
Порівняно з HttpOnly, даний метод має ряд переваг:
1. На відміну від HttpOnly, цей метод підтримують не тільки нові браузери, але й старі. Якщо для Firefox підтримка того методу наявна лише з Mozilla Firefox 3.0.6, то підтримка цього методу є в усіх версіях Firefox, а також в старих версіях Mozilla і в усіх версіях Seamonkey (на яку було перейменовано програмний пакет Mozilla). Підтримуються усі браузери на движку Gecko та Opera (перевірялося в 10.62, можливо попередні версії також підтримуються).
2. Легкість впровадження. Для підтримки не потрібно додавати HttpOnly властивість до кукісів, достатньо розмістити необхідний JS код. Який може бути розміщений в js-файлі, що включений в усі сторінки сайта.
3. Окрім захисту від викраденням кукісів, цей метод можна розширити для захисту від інших видів XSS атак.
Наприклад, можна заборонити використання document.write, що унеможливіть створення іфреймів чи іншого html-коду для проведення CSRF атак чи розміщення шкідливого коду.
HTMLDocument.prototype.__defineGetter__("write",function(){return null});Недолік лише один - підтримуються не всі браузери. Лише Mozilla Firefox (та інші браузери на движку Gecko) та Opera.
Так що цей метод може бути корисним. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.
Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune, Meridian є ще інші уразливі теми (шаблони).
Я написав про 16 їхніх тем (серед яких було два різновиди двох тем), а всього у них 47 тем для WordPress. З них лише три безкоштовні, а всі інші теми від RocketTheme є платними (потрібно купити підписку в “клуб”, щоб отримати до них доступ). І Rokbox постачається з усіма цими темами, окрім Grunge, які мають всі раніше згадані уразливості.
В цих 32 темах, як і попередніх 16 (14 тем + 2 різновиди), мають місце Cross-Site Scripting, Content Spoofing, Full path disclosure та Information Leakage уразливості. Про що вже повідомив розробникам цих тем. Це наступні шаблони від RocketTheme: Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus. А також шаблон Grunge має FPD дірки.
Content Spoofing (WASC-12):
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://siteXSS (WASC-08):
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2BFull path disclosure (WASC-13):
У всіх цих темах є FPD в index.php (http://site/wordpress/wp-content/themes/rt_novus_wp/ і так само для інших тем), що спрацьовує при налаштуваннях PHP по замовчуванню. Також FPD потенційно є в інших php-файлах цих тем.
Information Leakage (WASC-13):
В деяких темах, подібно до rt_mixxmag_wp, може бути розміщений error log з FPD.
http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_logУразливі всі версії всіх вищенаведених тем для WordPress.
У грудні місяці Microsoft випустила 7 патчів. Що трохи більше ніж у листопаді.
У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 12 уразливостей в програмних продуктах компанії. П’ять патчів закривають критичні уразливості і два патчі закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012. А також Microsoft Office, Internet Explorer, Exchange, SharePoint Server та Office Web Apps.
* 
You are currently browsing the archives for Грудень, 2012.
Copyright © 2006-2024 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.