Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• IBM Websphere Application Server - Network Deployment Untrusted Data Deserialization Remote Code Execution (Metasploit) (деталі)
• Cisco Prime Infrastructure Health Monitor - TarArchive Directory Traversal (Metasploit) (деталі)
• FaceSentry Access Control System 6.4.8 - Remote SSH Root (деталі)
• Apache Tomcat - CGIServlet enableCmdLineArguments Remote Code Execution (Metasploit) (деталі)
• Microsoft Exchange 2003 - base64-MIME Remote Code Execution (деталі)

У липні, 09.07.2019, вийшов Mozilla Firefox 68. Нова версія браузера вийшла через півтора місяці після виходу Firefox 67.

Mozilla офіційно випустила реліз веб-браузера Firefox 68, а також мобільну версію Firefox 68 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 69 вийде 3 вересня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 60.8.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 68.0 усунуто численні уразливості в 21 патчі, що так само як в попередній версії. Серед яких дві добірки уразливостей позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Mozilla типово виправляє по декілька дір за один патч.

Раніше, 03.03.2013, я знайшов Fingerprinting та Insufficient Anti-automation уразливості на сайті bonus.privatbank.ua. В той час вислав ці уразливості банку. Також виявив на сайті ще численні уразливості, які ПБ виправив і заплатив мені, але не ці.

Insufficient Anti-automation:

В формах на головній сторінці та інших сторінках не було захисту від автоматизованих атак. Що дозволяло спамити смс-ками на мобільні телефони. Подібні уразливості я знаходив на багатьох сайтах банка. Fingerprinting уразливості - це були витоки версій веб сервера та використання старих його версій.

ПриватБанк тоді проігнорував ці уразливості, але через кілька років приховано виправив. Таким чином банк кинув мене, як це було з дірками на st.privatbank.ua та інших сайтах ПБ.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://marisel.com.ua - інфекція була виявлена 17.12.2018. Зараз сайт не входить до переліку підозрілих
• http://discover-uzhhorod.com - інфекція була виявлена 09.01.2019. Зараз сайт не входить до переліку підозрілих
• http://utor.pp.ua - інфекція була виявлена 22.03.2019. Зараз сайт не входить до переліку підозрілих
• http://kibas.at.ua - інфекція була виявлена 23.03.2019. Зараз сайт не входить до переліку підозрілих
• http://dontstopathetop.at.ua - інфекція була виявлена 23.03.2019. Зараз сайт не входить до переліку підозрілих

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.