Архів за Серпень, 2014

XSS уразливість в In-Portal CMS

23:50 23.08.2014

Сьогодні я знайшов Cross-Site Scripting уразливість в In-Portal CMS. Про що найближчим часом повідомлю розробникам системи.

Це уразливість в tagcloud.swf, яку я виявив ще в 2009 році в WP-Cumulus для WordPress, а потім писав про численні плагіни і теми для різних CMS з даною флешкою. Ось цього разу виявив її в темі для In-Portal CMS на офіційному сайті системи.

Раніше я вже писав про уразливості в In-Portal CMS.

Cross-Site Scripting (WASC-08):

http://site/themes/theme_name/inc/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Десятий масовий взлом сайтів на сервері Delta-X

22:47 23.08.2014

З 01.09.2012 по 02.12.2012, з 02.01.2013 по 27.12.2013 та з 09.01.2014 по 26.07.2014 відбувся десятий масовий взлом сайтів на сервері Delta-X, після дев’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний новий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 4 сайти були дефейснуті в 2012 році, 136 сайтів в 2013 році та 88 сайтів в 2014 році.

Всього було взломано 228 сайтів на сервері української компанії Delta-X (IP 91.206.200.43). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти krp-grcz.gov.ua (в 2013) і sev.archives.gov.ua (в 2014).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

DoS атаки та захист від них

17:26 23.08.2014

Продовжуючи розпочату традицію, після попереднього відео про атаку на веб браузер на Android, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS атаки та захист від них. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 21 - Evil DoS Attacks and Strong Defenses

Рік тому на конференції DEFCON 21 відбувся виступ Sam Bowne та Matthew Prince. В своєму виступі вони розповіли про злі DoS атаки та сильний захист від даних атак.

Вони розповіли про відомі та нові DoS і DDoS атаки, а також про ефективні методи захисту від них. Рекомендую подивитися дане відео для розуміння сучасних атак в LAN та Інтернет.

Вийшов WordPress 3.9.2

22:41 22.08.2014

У серпні, 06.08.2014, вийшла нова версія WordPress 3.9.2.

WordPress 3.9.2 це багфікс та секюріті випуск нової 3.9 серії. В якому розробники виправили декілька багів та 5 уразливостей. Серед виправлених уразливостей:

  • виправлений Denial of Service уразливість в обробнику XML движка (XML Blowup Attack DoS).
  • виправлений потенційний Code Execution при обробці віджеті (WordPress не вразливий по замовчування).
  • виправлена Information Disclosure через XML entity атаки в GetID3 бібліотеці.
  • доданий захист проти підбору CSRF токенів (можливість їх підбору була відома багато років, вже одно разу покращували алгоритм генерації токенів, але знову в WP поскаржилися на слабкість алгоритму і вони знову його покращили).
  • виправлена Cross-Site Scripting уразливість в адмінці, що розробники назвали “additional security hardening”.

Також для гілок 3.7.x і 3.8.x були випущені версії 3.7.4 і 3.8.4 з виправленням цих уразливостей.

Обхід перевірки сертифіката в Apache HttpComponents

20:15 22.08.2014

Виявлена можливість обходу перевірки клієнтського сертифіката в Apache HttpComponents.

Уразливі версії: Apache HttpComponents 4.3.

Обхід перевірки сертифіката через конструкції типу O=”foo,CN=www.apache.org”

  • Apache HttpComponents client: Hostname verification susceptible to MITM attack (деталі)

Добірка експлоітів

17:26 22.08.2014

В даній добірці експлоіти в веб додатках:

  • Citrix Netscaler 9.3-62.4 Disclosure / Cross Site Scripting Vulnerabilities (деталі)
  • Barracuda Networks Message Archiver 650 - Persistent XSS Vulnerability (деталі)
  • Raritan PowerIQ 4.1.0 - SQL Injection Vulnerability (деталі)
  • Adobe Flash Player Type Confusion Remote Code Execution Exploit (деталі)
  • McAfee ePolicy Orchestrator 4.6.0-4.6.5 (ePowner) - Multiple Vulnerabilities (деталі)

Восьма річниця роботи проекту

23:52 21.08.2014

Вісім років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося вісім років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю 8-) .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною був презентований Webcam Monitor, оновлені DAVOSET та Backdoored Web Application.

Також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Похакані сайти №269

22:46 21.08.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://mediarnbo.org (проросійськими хакерами) - 09.08.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.zoulg.gov.ua (хакером Nofawkx Al) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://energomarket.net.ua (хакером Hmei7) - 10.03.2014, зараз сайт вже виправлений адмінами
  • http://www.pallet-west.com.ua (хакером d3b~X) - 20.03.2014, зараз сайт вже виправлений адмінами
  • http://www.lenivets.info (хакером d3b~X) - 31.03.2014, зараз сайт вже виправлений адмінами

Численні уразливості в OpenSSL

20:19 21.08.2014

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

DoS і зниження версії протоколу в сервері і клієнті, пошкодження пам’яті і витік інформації в клієнті.

Добірка уразливостей

17:23 21.08.2014

В даній добірці уразливості в веб додатках:

  • Multiple vulnerabilities in five Zoom ADSL Modem/Routers (деталі)
  • SQL Injection in Orbit Open Ad Server (деталі)
  • Сross-Site Request Forgery (CSRF) in XCloner Standalone (деталі)
  • SQL Injection in mAdserve (деталі)
  • Multiple vulnerabilities on D-Link Dir-505 devices (деталі)