Websecurity - Веб безпека

Сім років тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося сім років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були презентовані DDoS attacks via other sites execution tool (DAVOSET) та Backdoored Web Application, оновлені SQL Shell і Тестування: уразливості та атаки.

Також був зроблений новий розділ на сайті - Обхід XSS фільтрів (що призначений для перевірки браузерів для обходу XSS фільтрів). А також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Feed, Category-Grid-View-Gallery та WordPress Booking System. Для котрих з’явилися експлоіти. Feed - це плагін для керування RSS-фідами на сайті, Category-Grid-View-Gallery - це плагін для створення галерей зображень, WordPress Booking System - це система продажу білетів.

• WordPress feed plugin Sql Injection (деталі)
• WordPress Category-Grid-View-Gallery XSS (деталі)
• WordPress Booking System Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, як заробити $20 тис. за один день на простому базі Facebook.

Протягом декількох років ви могли змінити пароль будь-якому іншому користувачу Facebook, просто змінивши елемент profile_id у формі fbMobileConfirmationForm при аутентифікації з мобільного телефону.

Фахівець з безпеки Джек Уітттен пояснив суть уразливості, що пов’язана з неправильною обробкою параметрів скриптом для підтвердження номера телефону, що прив’язується до аккаунту.

Те, що Facebook дірявий, я писав неодноразово. Сам знаходив багато уразливостей на сайтах цієї соцмережі. А деякі люди навіть заробляють на дірках в Facebook (як от $20000 за цю дірку). Враховуючи, що на Facebook увесь час знаходять різні уразливості і ця дірка існувала на сайті багато років, все це говорить, що власники соцмережі не проводять аудити безпеки (чекаючи, що їм на блюдці принесуть дірки в їхній соціальній мережі).

За повідомленням www.opennet.ru, rubygems.org піддався взлому.

Rubygems.org, популярний репозиторій модулів для додатків на Ruby, був скомпрометований невідомими зловмисниками, що одержали доступ до сервера шляхом експлуатації уразливості в YAML-парсері фреймворка Ruby on Rails, у якому в січні було виправлено кілька критичних проблем безпеки.

Виявлено, що в процесі атаки була задіяна проблема безпеки в парсері Psych YAML, але уразливість була експлуатована не через HTTP, а через інтерфейс обробки метаданих Rubygems.

Торік я писав про взломи репозиторіїв Linux та FreeBSD, а цього року я писав про бекдор у віджеті соціальних мереж для WordPress, що був вставлений в код після компрометації акаунта розробника віджету. А це ще один приклад атаки на репозиторії, для включення бекдорів у вихідний код.

За повідомленням www.xakep.ru, Брайан Кребс розсекретив партнерську програму FeodalCash.

Журналіст і блогер, що спеціалізується на інформаційній безпеці, Брайан Кребс провів нове журналістське розслідування. Цього разу у фокусі його уваги виявилося російськомовне співтовариство FeodalCash, члени якого одержують партнерську винагороду за встановлення шкідливих програм на комп’ютери користувачів. Зокрема трояна Win32/Tarcloin, що здійснює майнінг біткоінів на комп’ютері жертви.

Я вже писав про випадки нелегального майнінга біткоінів. А це ціла партнерка для розповсюдження троянів для генерації Bitcoin.

Виявлені пошкодження пам’яті в PHP.

Уразливі версії: PHP 5.3.

Пошкодження пам’яті при роботі з XML, DoS у функції jdtojewish.

• Vulnerability in PHP (деталі)
• Re: Vulnerability in PHP (деталі)

В даній добірці уразливості в веб додатках:

• SAP SMD Agent Code Injection (деталі)
• SAP CCMS Agent Code Injection (деталі)
• Multiple vulnerabilities in CTERA Portal (деталі)
• Struts 2.3.14.3 GA (fast-track) release available (деталі)
• Struts 2.3.14.1 GA (fast track | security) (деталі)

У червні, 28.06.2013, я знайшов Denial of Service, Content Spoofing, Privilege Escalation, Server-Side Request Forgery, Cross-Site Scripting, Full path disclosure та XML External Entities уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що минулого місяця сповістив адміністрацію сайта.

В 2008 році я вже писав про уразливості на www.blog.privatbank.ua, а це нові дірки на цьому сайті. В останнє стосовно ПриватБанка я писав про уразливість в Приват24 для Android.

Ці всі уразливості відносяться до WordPress. Вразлива версія якого використовується на www.blog.privatbank.ua. Раніше я вже писав про численні уразливості в WordPress 3.5.1, що були виправлені у версії 3.5.2. І серед них я детально описав Content Spoofing, Denial of Service, Full path disclosure, Cross-Site Scripting та XML External Entities уразливості. А також навів дві Denial of Service уразливості, що стосуються і WP 3.5.2.

Дані уразливості досі не виправлені, тому що ПриватБанк відмовився це робити (бо цей сайт для них не актуальний). На що я порадив їм закрити сайт і вони пообіцяли подумати над цим.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.1. В новій версії:

• Додав нові сервіси в обидва списки зомбі.
• Покращив роботу з сервісами, що не підтримують “http://” для цільового сайта.
• Покращив з’єднання з деякими серверами.

Всього додав 105 нових зомбі-сервісів. Тепер в основному списку 25 сервісів, а в повному списку 137 сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.1.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.korop-rada.gov.ua (хакером D34th-N0t3) - 17.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.udaikhm.gov.ua (хакерами з TeaM MosTa) - 27.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zotspri.net.ua (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://plafonds.com.ua (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://moneyfest.biz.ua (хакером muStireiS) - 07.2013, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• BMC Service Desk Express 10.2.1.95 - Multiple Vulnerabilities (деталі)
• Sybase EAServer 6.3.1 Multiple Vulnerabilities (деталі)
• Apple Quicktime 7 Invalid Atom Length Buffer Overflow Vulnerability (деталі)
• HP Managed Printing Administration jobAcct Remote Command Execution (деталі)
• QNX QCONN Remote Command Execution Vulnerability (деталі)

22.05.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading та Cross-Site Scripting уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про уразливості в TinyMCE Image Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.07.2013

Arbitrary File Uploading (WASC-31):

Можлива атака через “1.asp” в імені папки. Це обхідний метод для виконання довільного коду на веб сервері IIS.

TinyMCE Image Manager AFU.html

Cross-Site Scripting (WASC-08):

Це persistent XSS на Linux/Unix та reflected XSS на Windows. Код спрацює одразу після відправки запиту на створення папки і в подальшому при запитах до коннектора (при будь-яких операціях, за виключенням створення папки з існуючим іменем).

TinyMCE Image Manager XSS.html

Уразливі TinyMCE Image Manager 1.1 та попередні версії.