Websecurity - Веб безпека

16.10.2012

У жовтні, 09.10.2012, я знайшов Cross-Site Scripting уразливість на секюріті сайті https://goog.li. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.01.2013

XSS:

https://goog.li/?q=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дана уразливість вже виправлена.

В січні, 24.01.2013, вийшла нова версія WordPress 3.5.1.

WordPress 3.5.1 це секюріті та багфікс випуск нової 3.5 серії. В якому розробники виправили декілька уразливостей і 37 багів. Причому до багів віднесли FPD, що виникали при некоректній роботі плагінів. Полюбляють вони відносити дірки до багів, особливо FPD, і не перераховувати їх в списку виправлених уразливостей (тим самим штучно зменшуючи їх кількість, не кажучи вже про часте приховане виправлення уразливостей).

А також був виявлений баг з WP на IIS, який не допускає оновлення з версії 3.5 на 3.5.1. В цьому випадку розробники створили інструкції по проведенню оновлення WordPress на веб сервері IIS.

Стосовно покращення безпеки, то були виправлені наступні уразливості: server-side request forgery та remote port scanning через XML-RPC (використовуючи пінгбеки), 2 Cross-Site Scripting дірки в ядрі движка та 1 XSS в сторонній бібліотеці Plupload, що постачається з движком. З WP 3.5.1 постачається нова виправлена версія Plupload.

Якщо ці дві дірки в XML-RPC вони виправили, то Brute Force дірку, про яку я писав ще рік тому, вони так до цих пір виправити не спромоглися. І враховуючи, що після відключення по дефолту XML-RPC в WP 2.6, вони його включили по дефолту в версії 3.5, то це повернуло BF через XML-RPC в маси.

Виявлена можливість витоку інформації в PHP.

Уразливі версії: PHP 5.3.

Розкриття вмісту пам’яті в openssl_encrypt().

• Memory disclosure in PHP 5.3.9 through 5.3.13 (деталі)

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), and Web Session Hijacking (деталі)
• CubeCart 5.0.7 and lower versions | Insecure Backup File Handling (деталі)
• CubeCart 5.x | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• TEMENOS T24 R07.03 Reflected Cross-Site Scripting (деталі)
• CubeCart 5.x | Multiple Cross Site Scripting Vulnerabilities (деталі)
• TomatoCart 1.x | Cross Site Request Forgery Protection Bypass via JavaScript Hijacking (деталі)
• TEMENOS T24 R07.03 Authentication Bypass (деталі)
• TomatoCart 1.x | Unrestricted File Creation (деталі)
• Arbitrary File Upload and Code Execution in Accusoft Prizm Content Connect (деталі)
• OrangeHRM 2.7.1 Vacancy Name Persistent XSS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Asset-Manager, Photo Plus / Photo Search та SB Uploader. Для котрих з’явилися експлоіти. Asset-Manager - це плагін для управління документами і контролю версій, Photo Plus / Photo Search - це плагіни для роботи з фотографіями, SB Uploader - це плагін для завантаження зображень на сайт.

• WordPress Asset-Manager PHP File Upload (деталі)
• WordPress Photo Plus / Photo Search XSS / CSRF (деталі)
• WordPress SB Uploader 3.9 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, McAfee Labs прогнозує захід руху Anonymous.

У традиційному річному звіті Threat Predictions (Прогноз загроз) експерти McAfee Labs перелічують найбільш небезпечні тенденції в сфері інтернет-безпеки і роблять прогноз на майбутнє. Цікаво, що в 2013 році вони очікують зменшення кількості атак від хактивістського руху Anonymous.

Подивимося чи справдяться прогнози від McAfee та Symantec .

За повідомленням news.1k.by, взломаний хмарний сервіс Dropbox: компанія підсилює захист.

Влітку 2012 року постраждали користувачі, що довіряють свої файли хмарному сервісу Dropbox. Сотні користувачів почали скаржитися на велику кількість спам-повідомлень у своїх скриньках, і в Dropbox підтвердили, що це їхня провина: у ході недавнього взлому сайта компанії були вкрадені паролі й адреси електронної пошти користувачів. Повідомляється, що постраждало небагато користувачів.

Після цього випадку компанія додала двохфакторну аутентифікацію в свій сервіс. Як це часто трапляється, двохфакторну аутентифікацію додають лише після взлому (а то і багаторазового) власної системи - таке я бачив у багатьох компаніях, регулярно з’являються повідомлення в новинах про доданий OTP захист на сайтах. А щоб завчасно подумати про безпеку, то на це у компаній бажання немає, тільки коли користувачі й клієнти постраждають, тоді починають чухати потилицю.

При тому, що це не перший інцидент з Dropbox - в 2011 році були оприлюднені уразливості на цьому сервісі, що дозволяли отримати доступ до даних інших користувачів (і без будь-якої аутентифікації). Такі уразливості дозволили б обійти й двохфакторну аутентифікацію, тому це не панацея, як заявляють Dropbox і всі компанії, що впроваджують OTP. І якщо ті дірки в Dropbox вже виправлені, то через нові дірки можна буде обійти аутентифікацію та отримати доступ до даних користувачів.

За повідомленням www.xakep.ru, Google Drive: бекдор в Google-акаунт.

Якщо в користувача на комп’ютері встановлена програма Google Drive, то будь-який сторонній може легко зайти в його Google Account, а після цього - одержати доступ до всіх особистих документів, електронної пошти й щоденника.

Фахівці з безпеки попереджають, що ця уразливість присутня в усіх версіях десктопних клієнтів під Windows і Mac OS X. Програма не запитує пароль ні при запуску, ні при вході в акаунт через браузер.

Ще один дірявий хмарний сервіс для збереження файлів. Цей функціонал Google Drive дозволяє обійти аутентифікацію, в тому числі двохфакторну, в Google Account. Й за наявною інформацією, десктопний клієнт Dropbox працює таким самим чином. Що дозволяє обійти двохфакторну аутентифікацію і в цьому сервісі.

В статті Атаки на банковские системы розповідається про методи атак на банківські системи. Зокрема з використанням шкідливого програмного забезпечення, націленого на махінації із системами онлайн-банкінга. Це так звані банківські трояни - “банкери”. Які відомі вже багато років, але останнім часом вони стали більш поширеними зі зростанням кількості користувачів онлайн-банкінга. В статті описаний універсальний російський банківський троян Ibank.

В даній статті розглянуті наступні аспекти атак на системи ДБО:

• Огляд методів атаки
• Технології
• Мішені
• Схеми
• Аналіз шкідливої програми Ibank
• Загальні відомості
• Інсталяція й особливості функціонування
• Шпигунська діяльність
• Механізм збору даних
• Цільові системи
• Блокування антивірусів
• Мережева активність
• Віддалене керування
• Технологія автозаливу

Про уразливості в системі Інтернет-банкінгу IFOBS, що використовується багатьма українськими банками, я вже писав. Тому атакувати системи ДБО можна через уразливості в них. Або ж можна атакувати користувачів за допомогою троянів, як описано у даній статті. Таким чином тема безпеки онлайн-банкінгу зараз є дуже актуальною.

В даній добірці експлоіти в веб додатках:

• Microsoft SQL Server Database Link Crawling Command Execution (деталі)
• Thinksns Arbitrary File Upload Vulnerability (metasploit) (деталі)
• Ubiquiti AirOS <= 5.5.2 Remote POST-Auth Root Command Execution (деталі)
• Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free (деталі)
• Nagios Core 3.4.3 Buffer Overflow Vulnerability (деталі)

В презентації Malware mitigation, Ramses Gallego розповідає про шкідливе програмне забезпечення. Про поточну ситуацію зі шкідливим ПЗ в Інтернеті та про методи протидії йому.

0-day уразливість в Oracle Java використовується для встановлення шкідливого коду.

Уразливі версії: Oracle JDK 7, JRE 7.

Апплет може дати дозвіл самому собі.

• Java 7 Update 11 confirmed to be vulnerable (деталі)
• ‘Fix’ for Issue 32 exploited by new Java 0-day code (деталі)
• Oracle Java 7 Security Manager Bypass Vulnerability (деталі)