Архів за Квітень, 2013

За подвійною бронею

20:17 20.04.2013

В статті За двойной броней розповідається про двохфакторну аутентифікацію. Про переваги таких систем, про сервіс Duo Security, що надає послуги двохфакторної аутентифікації, та про захист різних сервісів за допомогою такої системи (веб сайти, RDP, SSH та будь-які веб сервіси).

В даній статті розглянуті наступні аспекти систем двохфакторної аутентифікації:

  • Що пропонує Duo Security
  • Що може бути другим фактором
  • Проста реєстрація
  • Захищаємо RDP
  • Захищаємо SSH
  • Додаткові налаштування
  • Сервіси-аналоги

В наш час деякі компанії та популярні веб сайти додали підтримку двохфакторної аутентифікації на свої ресурси, зокрема відправлення OTP на мобільний телефон. Про що я писав у новинах.

Не кажучи вже, що такі е-комерс сайти як Приват24, LiqPAY та інші системи електронних платежів давно мають підтримку OTP (а деякі системи працюють виключно з використанням OTP). З використанням послуг Duo Security та подібних сервісів, усі бажаючи зможуть додати на свій веб сайт чи в інший сервіс підтримку двохфакторної аутентифікації.

Слабкі дозволи в Firefox для Android

17:09 20.04.2013

Виявлені слабкі дозволи в Firefox для Android.

Уразливі версії: Mozilla Firefox 19.0.

Слабкі дозволи на каталог app_tmp дозволяють перезапис доповнень для браузера.

  • World read and write access to app_tmp directory on Android (деталі)

Уразливості в плагінах для WordPress №103

23:53 19.04.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

  • WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
  • WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
  • WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інфікованість Уанета за останні роки

22:41 19.04.2013

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2010 - 2012 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2010, 2011 і 2012 роках.

За весь 2010 рік в Уанеті було інфіковано 264 веб сайтів.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

За весь 2012 рік в Уанеті було інфіковано 202 веб сайтів.

Інфіковані сайти в Уанеті

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси). Деяке зменшення кількості інфікованих сайтів в 2012 році явно пов’язане з тим, що торік я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Динаміка зараження сайтів в Уанеті.

В 2010 році активність зросла на 294% порівняно з 2009 роком (зростання в 3,94 рази). В порівнянні з 2008 роком активність зросла на 6500% (в 66 разів).

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

В 2012 році активність зменшилась на 13% порівняно з 2011 роком (спад в 1,15 рази). В порівнянні з 2008 роком активність зросла на 4950% (в 50,5 разів).

Динаміка зараження сайтів в Уанеті

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. І хоча через зменшення моїх досліджень наявне загальне зменшення динаміки в останні два роки, кількість інфікованих державних сайтів зросла.

Шифрування в публічних хмарах

20:06 19.04.2013

В презентації Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques, Dave Asprey розповідає про шифрування в публічних хмарах. Про безпеку інформації при використанні публічних хмарних сервісів, зокрема про шифрування даних. Щоб у випадку взлому такого сервісу (а я неодноразово писав про такі інциденти), ваші дані були в безпеці.

Добірка експлоітів

17:25 19.04.2013

В даній добірці експлоіти в веб додатках:

  • AvantBrowser Version 2013 build 23 Remote Code Excution Vulnerability (деталі)
  • GreenBrowser all Version Remote Code Excution Vulnerability (деталі)
  • Ruby Gem md2pdf Command Injection Vulnerability (деталі)
  • Free Float FTP Server USER Command Buffer Overflow Vulnerability (деталі)
  • Java Web Start Launcher ActiveX Control - Memory Corruption (деталі)

Численні уразливості в темі Colormix для WordPress

23:58 18.04.2013

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.

Похакані сайти №223

22:41 18.04.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.gutszndn.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, дефейс на сайті вже виправлений адмінами, але зараз він взломаний black SEO і на ньому розміщені лінки на порно сайти
  • http://romen-region.gov.ua (хакерами з Kosova Hackers Crew) - 07.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://paritet-info.com (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
  • http://srkom.snu.edu.ua (хакером joker)
  • http://vipdirection.com (хакером haxorsistz) - 04.2013, зараз сайт вже виправлений адмінами

Уразливості в Apache mod_security

20:09 18.04.2013

Виявлені уразливості безпеки в Apache mod_security.

Уразливі версії: Apache mod_security 2.6.

Доступ до локальних даних, вичерпання ресурсів.

Уразливості на www.payu.ua

17:26 18.04.2013

12.12.2012

У листопаді, 05.11.2012, я знайшов Insufficient Anti-automation, Brute Force і Abuse of Functionality уразливості на http://www.payu.ua - сайті системи онлайн платежів PayU. Про що найближчим часом сповіщу адміністрацію сайта.

Як і всі ті сайти платіжних систем власники яких заявляли про відповідність PCI DSS і на яких я знаходив дірки, на сайті www.payu.ua заявлена відповідність PCI DSS. Але їм ще потрібно виправляти чимало уразливостей, щоб цього досягти.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua та plimus.com.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2013

Insufficient Anti-automation:

http://www.payu.ua/zayavka-na-podklyuchenie

Не було захисту від автоматизованих атак. Зараз поставили капчу.

Brute Force:

https://secure.payu.ua/cpanel/

Окрім BF тут ще і CSRF. Капча обходиться видаленням кукіса.

Abuse of Functionality / Insufficient Anti-automation:

https://secure.payu.ua/cpanel/recover_password.php

Витік логінів/емайлів. Капча обходиться видаленням кукіса.

Виправили лише одну IAA уразливість. Всі інші уразливості досі не виправлені.