Websecurity - Веб безпека

Сьогодні вийшла нова версія програми DAVOSET v.1.1. В новій версії:

• Додав логування.
• Покращив з’єднання з деякими серверами.
• Виправив підрахунок трафіку.

Також додав в readme.txt опис різних атак з використанням мого інструменту.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.rar.

В даній добірці експлоіти в веб додатках:

• OpenPLI v3.0 beta (OpenPLi-beta-dm7000-20130127-272) - Multiple Vulnerabilities (деталі)
• Raidsonic IB-NAS5220 and IB-NAS4220-B - Multiple Vulnerabilities (деталі)
• Ultra Mini HTTPD 1.21 - Stack Buffer Overflow Vulnerability (деталі)
• nginx 1.3.9/1.4.0 x86 Brute Force Remote Exploit (деталі)
• WinRM VBS Remote Code Execution Vulnerability (деталі)

18.05.2013

У квітні, 14.04.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

12.07.2013

Cross-Site Scripting (WASC-08):

http://site/path/images/js/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/path/images/js/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Content Spoofing (WASC-12):

http://site/path/images/js/swfupload/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E
http://site/path/images/js/swfupload/swfupload.swf?buttonImageURL=http://demo.swfupload.org/v220/images/logo.gif

Уразливі TinyMCE Image Manager 1.1 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Private Messages, Xorbin Analog Flash Clock та Xorbin Digital Flash Clock. Для котрих з’явилися експлоіти. WP Private Messages - це плагін для відправлення приватних повідомлень, Xorbin Analog Flash Clock - це аналоговий годинник на флеші, Xorbin Digital Flash Clock - це цифровий годинник на флеші.

• WordPress WP-Private-Messages SQL Injection (деталі)
• Xorbin Analog Flash Clock 1.0 For WordPress XSS (деталі)
• Xorbin Digital Flash Clock 1.0 For WordPress XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• SAP Portal PDC Information Disclosure (деталі)
• SAP SDM Denial of Service (деталі)
• Certain HP LaserJet Pro Printers, Unauthorized Access to Data (деталі)
• Stored Cross-site Scripting (’XSS’) in Airvana HubBub C1-600-RT Femtocell (деталі)
• Denial of Service vulnerability in War FTP Daemon 1.82 (деталі)

У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Content Spoofing (WASC-12):

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf

В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.

Full path disclosure (WASC-13):

http://site/wp-content/themes/iloveit/

FPD в index.php та інших php-файлах (в папці та підпапках).

Вразливі всі версії теми I Love It для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://korsunr.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gprda.gov.ua (хакерами з z3ran gaza hack3er tema) - 24.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivea.com.ua (хакером MMCF)
• http://eloplast.com.ua (хакером ghost-dz) - 13.02.2013, зараз сайт вже виправлений адмінами
• http://www.fanphone.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами

Виявлене переповнення буфера в nginx.

Уразливі версії: nginx 1.4.

Переповнення буфера при обробці відповіді сервера HTTP зазначеного в proxy_pass.

• nginx security update (деталі)

В даній добірці експлоіти в веб додатках:

• Zoom X4 / X5 SQL Injection / Authentication Bypass Vulnerabilities (деталі)
• TP-Link TL-WA701N / TL-WA701ND - Multiple Vulnerabilities (деталі)
• Edimax EW-7206-APg and EW-7209APg - Multiple Vulnerabilities (деталі)
• SikaBoom Remote Buffer overflow exploit (деталі)
• Apache CXF prior to 2.5.10, 2.6.7 and 2.7.4 - Denial of Service (деталі)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків, e-commerce, банерних систем та електронних платіжних систем (України та США):

• sugarsync.com
• img.com.ua
• pravex.com
• Приват24 для Android та iOS
• kredobank.com.ua
• platon.ua

Також згадував про взломані онлайн магазини в Уанеті та Рунеті:

• mobilutsk.com
• autosoundshop.ru
• prevention.com.ua
• evamag.kiev.ua
• glavnyk.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• majorich.com
• webhosting.com.ua
• trendmagazine.com.ua
• topspeed.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.