Websecurity - Веб безпека

У грудні 2012 року я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів. Це еталонний тест сканерів бекдорів.

В травні 2013 року я провів порівняльне тестування різних сканерів бекдорів - Тестування сканерів бекдорів серед плагінів для WordPress. В якому я перевірив сканери за допомогою мого BWA.

Сьогодні я випустив нову версію додатку - Backdoored Web Application v.1.0.2. В якій я додав новий бекдор на PHP. Це дозволить ще краще тестувати сканери бекдорів.

Скачати: bwa_v.1.0.2.rar.

Раніше я писав про грудневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію січні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.ivanrda.gov.ua (хакером ALP3R) - 05.01.2017
zakjust.gov.ua (хакером Dr.SiLnT HilL) - 10.01.2017
oblradack.gov.ua (хакером TheWayEnd) - 16.01.2017
В січні взломали 45 сайтів, з них 20 державних сайтів, на сервері Укртелекому, включно з gur.gov.ua.

Проукраїнськими хакерами були атаковані наступні сайти:

Січневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт vostok-13.org (через скаргу хостеру) - 15.01.2017

У січні, 19.01.2017, вийшли PHP 5.6.30, PHP 7.0.15 і PHP 7.1.1. У версії 5.6.30 виправлено багато багів і уразливостей, у версії 7.0.15 виправлено багато багів і уразливостей, у версії 7.1.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x і 7.1.x.

У PHP 5.6.30, 7.0.15 і 7.1.1 виправлено:

• Некоректне читання при декодуванні в модулі WDDX.
• Витоки пам’яті в модулях в PHP 7.0.15.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• Barracuda Networks Firewall 6.1.2 #36 - Filter Bypass & Exception Handling Vulnerability + PoC Video (деталі)
• CSRF & XSS Wing FTP Server Admin <= v4.4.5 (деталі)
• Cross-Site Scripting vulnerability in ntop (деталі)
• FrontRange DSM - Multiple Vulnerabilities (деталі)
• Barracuda Networks Firewall 6.1.5 - Filter Bypass & Persistent Vulnerabilities (деталі)

01.08.2015

У травні, 10.05.2014, я знайшов Brute Force та Cross-Site Request Forgery уразливості в Transcend Wi-Fi SD Card. Це флешка з бездротовим доступом.

Стосовно мережевих пристроїв, зокрема Wireless Router, раніше я писав про уразливості в D-Link DIR-300 та TP-Link TL-WR741N.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

28.01.2017

До флеш карти можна під’єднатися в двох режимах: Direct Share та Internet Mode. В першому режимі пристрій з Wi-Fi під’єднується до цієї карти, а в другому режимі сама карта під’єднується до Wi-Fi пристроїв (точки доступу, роутера чи смартфону з увімкненим Personal Hotspot) - тоді всі комп’ютери в LAN отримають до неї доступ. Розглянемо перший режим, про другий напишу пізніше.

Predictable Resource Location (WASC-34):

При вставленні карти в цифрову камеру і включенні камери, одразу працює Wi-Fi та можна під’єднатися до неї в режимі Direct Share. Використовуючи SSID та пароль по замовчуванню. Мало вірогідно, що після початку використання карти її власник змінить ці налаштування. Ні програмне забезпечення, ні документація до карти не дає порад по зміні цього паролю чи паролю до адмінки.

Отримати доступ до всіх файлів на карті можна за допомогою додатків для iOS і Android. Після запуску програми лише потрібно ввести логін і пароль до адмінки.

Також в режимі Direct Share на карту можна зайти в браузері в адмінку та отримати доступ до всіх файлів на флеш карті. Використовуючи логін і пароль по замовчуванню.

Brute Force (WASC-11):

В адмінці 192.168.11.254 немає захисту від BF атак, бо використовується Basic Authentication. Мало вірогідно, що після початку використання карти її власник змінить логін і пароль до адмінки. Але якщо змінить, то їх можна підібрати.

Cross-Site Request Forgery (WASC-09):

В адмінці є CSRF уразливості. Зокрема ця: в процесі логіна немає капчі, тому окрім відсутності захисту від BF, також можлива CSRF атака. Можна віддалено зайти в адмінку (з логіном і паролем по замовчуванню) для проведення подальших CSRF атак.

<img src=”http://admin:admin@192.168.11.254″>

Вразлива Transcend Wi-Fi SD Card 16 GB, Firmware v.1.8. Ця модель з іншими прошивками та інші моделі також можуть бути вразливими.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Application layer DDoS attack
• Christmas tree packet
• DDoS mitigation
• DNS Flood
• Interest Flooding Attack

У січні, 24.01.2017, вийшов Mozilla Firefox 51. Нова версія браузера вийшла через півтора місяці після виходу Firefox 50.

Mozilla офіційно випустила реліз веб-браузера Firefox 51, а також мобільну версію Firefox 51 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 52 намічений на 7 березня, а Firefox 53 на 18 квітня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.7.

В браузері було зроблено покращення безпеки, зокрема додане виведення попередження при зверненні без використання HTTPS до сторінок, що містять форму введення паролю, змінено оформлення діалогу збереження паролів та додана підтримка збереження паролів для форм без події відправлення.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 51.0 усунуто 24 уразливості, серед яких п’ять позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 51 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvitapoltava.gov.ua (хакером Aziz Laabidi) - 04.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rzhyschiv-rada.gov.ua (хакером RxR) - 21.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vms-rada.gov.ua (хакером H4-Tn) - 29.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.municipal.gov.ua (хакерами з Fallaga Team) - 31.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sops.gov.ua (хакером RxR) - 08.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами

У січні місяці Microsoft випустила 4 патчі. Що менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Edge та SharePoint Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

У грудні, 02.12.2016, через півтора місяці після виходу Google Chrome 54, вийшов Google Chrome 55.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 36 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

• Выпуск web-браузера Chrome 55 (деталі)